Vous êtes sur la page 1sur 255

Edition

2013

Cadre de Rfrence
International
des Pratiques Professionnelles
de lAudit Interne
Inclus :

Dnition de laudit interne

Code de dontologie

Normes internationales

Modalits Pratiques dApplication (MPA)

Dpliant
LIFACI est affili
The Institute of Internal Auditors

Copyright IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en franais rservs.

Dcembre 2012
ISBN : 978-2-915042-47-4

Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque
procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

ebzone communication (www.ebzone.fr) - Impression : Imprimerie Compdit Beauregard

Florida 32701-4201. Tous droits de reproduction rservs.

Ralisation :

Copyright 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,

Sommaire
Avant-propos de lIFACI ..................................................................................................................................... 5
Prface ..................................................................................................................................................................... 7
Dispositions obligatoires ................................................................................................................................ 13
Dnition de laudit interne .................................................................................................................................... 15
Code de dontologie .................................................................................................................................................. 17
Normes internationales .............................................................................................................................................. 23
Introduction .............................................................................................................................................................. 25
Normes de qualication .................................................................................................................................... 27
Normes de fonctionnement ........................................................................................................................... 43
Glossaire ...................................................................................................................................................................... 63
Modalits Pratiques dApplication .............................................................................................................. 73
MPA Srie 1000 : Mission, pouvoirs et responsabilits ........................................................................ 75
MPA Srie 1100 : Indpendance et objectivit ......................................................................................... 79
MPA Srie 1200 : Comptence et conscience professionnelle ...................................................... 91
MPA Srie 1300 : Programme dassurance et damlioration qualit .................................... 103
MPA Srie 2000 : Gestion de laudit interne ............................................................................................. 127
MPA Srie 2100 : Nature du travail .................................................................................................................. 155
MPA Srie 2200 : Planification de la mission ............................................................................................ 183
MPA Srie 2300 : Accomplissement de la mission ............................................................................... 195
MPA Srie 2400 : Communication des rsultats .................................................................................... 215
MPA Srie 2500 : Surveillance des actions de progrs ..................................................................... 233

Inclus dans ce livret, le dpliant du


Cadre de Rfrence International des Pratiques Professionnelles de lAudit Interne

IFACI - dcembre 2012

IFACI - dcembre 2012

Avant-propos de lIFACI

Avant-propos de lIFACI

Nous avons le plaisir de vous prsenter en franais


la version actualise du Cadre de Rfrence International des Pratiques Professionnelles (CRIPP) de
laudit interne, applicable partir du 1er janvier
2013.
Les modications des normes (mise en vidence
en gras) ont essentiellement pour objet de clarier :
La responsabilit individuelle des auditeurs
internes en termes de conformit aux normes
et celle du responsable de laudit interne.
Les sujets pouvant alimenter la discussion avec
le Conseil (Norme 1110 : Indpendance dans
lorganisation et Norme 2210.A3 : Critres
adquats dvaluation du dispositif de
contrle).
La frquence et le format des valuations
externes (Norme 1312).
La ncessit de mettre jour, en tant que de
besoin, le plan daudit en cours danne
(Norme 2010)
La prise en compte des objectifs stratgiques
dans lvaluation des processus de management des risques et de contrle (Normes
2120.A1 et 2130.A1).
Les responsabilits en matire de validation et
de diusion des conclusions de laudit interne
(Norme 2440).
Le suivi des risques accepts par le management (Norme 2600 : Communication relative
lacceptation des risques).
Par ailleurs, le glossaire est enrichi de nouvelles
dnitions sur :
Lopinion globale au niveau de la mission.
Lopinion globale
Le Conseil .

La publication contient la traduction des composantes essentielles du CRIPP ou International Professional Practices Framework-IPPF de lIIA, savoir :
la dnition de laudit interne
le code de dontologie

IFACI - dcembre 2012

les Normes internationales


les modalits pratiques dapplication (MPA)
Un dpliant recense ces lments ainsi que les
guides pratiques et GTAG (Guides daudit des
systmes dinformation) disponibles sur le site
Internet de lIFACI.
Lorsque cela sest avr ncessaire, lIFACI propose
des commentaires appropris. Pour cela, lIFACI
remercie chaleureusement, pour leur forte implication et la pertinence de leurs contributions, les
professionnels qui ont apport leur contribution :
Marie-Elisabeth Albert, La Poste
Emeline Bredy, Agence Nationale pour la Rnovation Urbaine
Jos Bouaniche, Caisse des dpts et consignations
Christophe Butikofer, SFR
Julien Cornuche, SPB
Pierre Drouard, Renault
Benot Harel, IFACI Certication
Batrice Ki-Zerbo, IFACI
Jacques Renard, Consultant
Comme vous lavez remarqu, ce cadre de rfrence nest pas g car la profession continue et
continuera dvoluer. Vous tes donc invit
consulter rgulirement notre site Internet pour
prendre connaissance de mises jour.
Ce cadre de rfrence actualis tmoigne du
professionnalisme et de la vitalit de notre profession. Il contient les mthodes et pratiques les plus
mme de rpondre vos besoins et aux attentes
de vos organisations. Reportez-y-vous souvent et
appliquez-le toujours.

Philippe Mocquard
Dlgu Gnral

IFACI - dcembre 2012

Prface

Prface

Notre profession connat des changements


trs rapides. Cest dans ce contexte que le
Conseil dadministration de lInstitute of Internal Auditors (IIA) a mis en place un comit de
pilotage international et un groupe de travail
pour rviser le Cadre de Rfrence des
Pratiques Professionnelles ainsi que lorganisation de lIIA en ce qui concerne les lignes
directrices et les processus associs. Le
groupe de travail a mis laccent sur la rvision
du primtre du Cadre de Rfrence et sur
lamlioration de la cohrence et de la transparence des processus dlaboration, de rvision et de publication des lignes directrices.
Les travaux se sont achevs avec llaboration
dun nouveau Cadre de Rfrence International des Pratiques Professionnelles (CRIPP) et la
rorganisation du Conseil des Pratiques
Professionnelles (CPP). Le CPP coordonne lapprobation et la publication des lignes directrices du CRIPP comme mentionn dans le
nouvel ordre de mission approuv par le
Conseil en Juin 2007.
En gnral, un cadre de rfrence fournit une
structure schmatique permettant de
comprendre la relation entre un corpus de
connaissances et une ligne directrice. En tant
que systme cohrent, le cadre de rfrence
permet duniformiser llaboration, linterprtation, lapplication des concepts et des
mthodologies ainsi que les techniques utilises dans un domaine ou une profession
donne. Justement, lobjectif du CRIPP est
dorganiser, dune manire plus claire et plus
opportune, les lignes directrices approuves

IFACI - dcembre 2012

par lIIA. De ce fait, la position de lIIA en tant


quorgane normalisateur de la profession daudit interne est renforce au niveau mondial.
En prenant en compte la pratique actuelle de
laudit interne ainsi que son dveloppement
futur, le CRIPP aidera les professionnels et les
parties prenantes du monde entier tre
sensible la demande croissante de services
daudit interne dexcellente qualit.
Puisque le CRIPP est la structure conceptuelle
qui organise les lignes directrices mises par
lIIA, son primtre a t rduit pour ne prendre en compte que les lignes directrices dveloppes par les comits techniques
internationaux de lIIA selon les procdures
appropries. On distingue deux catgories de
lignes directrices approuves par lIIA :
des dispositions obligatoires. Le respect
de ces lments est exig et la ligne directrice est labore selon le processus requis
qui inclut une consultation publique. La
conformit aux principes mis en exergue
dans les lignes directrices obligatoires est
indispensable pour la pratique professionnelle de l'audit interne et,
des dispositions fortement recommandes. La conformit ces lignes directrices, approuves par lIIA, est fortement
recommande. Elles proposent des
pratiques pour la mise en uvre eective
de la dnition de laudit interne, du Code
de Dontologie de lIIA et des Normes
Internationales pour la Pratique Profession- nelle de lAudit Interne (Normes).

Le CRIPP comprend dsormais les lments suivants :

Dispositions obligatoires

Elments

Dfinition

Dfinition

La dnition de laudit interne tablit lobjectif fondamental,


la nature et le champ d'application de laudit interne.

Code de dontologie

Le Code de dontologie tablit les principes et attentes rgissant le comportement des individus et des organisations dans
la conduite de laudit interne.
Il dcrit les rgles minimales de conduite ainsi que des
comportements attendus plutt que des activits spciques.

Normes internationales
pour la pratique professionnelle de laudit
interne (Normes)

Les Normes sont des principes qui fournissent un cadre pour


la ralisation des missions et la promotion de laudit interne.
Elles se composent de Normes de qualication, de Normes
de fonctionnement et de Normes de mises en uvre.
Les Normes sont des exigences obligatoires constitues :
de dclarations sur les exigences fondamentales pour la
pratique professionnelle de laudit interne et pour lvaluation de sa performance. Elles sont internationales et
applicables au niveau du service et au niveau individuel.
dinterprtations clariant les termes ou les concepts utiliss dans les dclarations.
Il est ncessaire de considrer le texte dans sa totalit (cest-dire les dclarations et les interprtations) an de comprendre et dappliquer correctement les Normes. Les termes
spciques utiliss dans les Normes sont explicits dans le
Glossaire.

IFACI - dcembre 2012

Prface

Dispositions fortement recommandes

Elments

Dfinition

Prises de position

Les Prises de position aident lensemble des parties prenantes,


y compris celles qui ne sont pas des professionnels de laudit
interne, comprendre les principaux enjeux en matire de
gouvernance, de risque ou de contrle. Elles prcisent galement le rle et les responsabilits de laudit interne.

Modalits pratiques
dapplication (MPA)

Les Modalits Pratiques dApplication fournissent une


approche et une mthodologie mais ne prcisent pas les
processus et les procdures dtailles.
Ce sont des lignes directrices qui aident les auditeurs internes
dans l'application du Code de dontologie et des Normes
ainsi que la promotion des meilleures pratiques.
Ces pratiques concernent notamment :
des problmatiques internationales, nationales ou spciques certains secteurs d'activit ;
des missions d'audit spciques ;
des questions lgales ou rglementaires.

Guides pratiques

Les guides pratiques sont des lignes directrices dtailles pour


la conduite des activits daudit interne.
Ce sont des processus et des procdures dtaills tels que des
outils, des techniques, des programmes, des approches
squentielles (par exemple, des modles de livrables).

Les changements les plus signicatifs du


nouveau Cadre de Rfrence sont :
les amliorations de processus. Elles se
traduisent par une augmentation du type
dlments constitutifs du Cadre de Rfrence, une plus grande transparence et
des cycles de rvision dnis pour toutes
les lignes directrices. La priodicit de rvision du CRIPP a t xe trois ans. Mme
si le contenu du CRIPP ne change pas
forcment tous les trois ans, lIIA sengage

IFACI - dcembre 2012

le rviser selon cette priodicit et y


apporter les modications ncessaires.
lexclusion de l'accompagnement au
dveloppement professionnel. Cet
lment ne fait plus partie du Cadre de
Rfrence. Il tait constitu de donnes
(par exemple, des supports de formation,
des publications ou des rapports de
recherche) que les auditeurs internes
pouvaient utiliser pendant leurs travaux.
Dans la mesure o le CRIPP ne prend en

considration que les lignes directrices


approuves par l'IIA, ces donnes ne
correspondent plus au nouveau Cadre de
Rfrence tel que dni ci-dessus.
lajout des interprtations aux Normes
pour prciser certains termes. Elles ne sont
pas systmatiques mais lorsquelles sont
ncessaires, elles suivent immdiatement
la Norme concerne.
la rduction du primtre des modalits
pratiques dapplication. Elles ne concernent que la mthodologie et lapproche
ncessaires la mise en uvre du Code
de dontologie et des Normes. Les
donnes actuelles sur les outils et les techniques ont t transfres dans les guides
pratiques.
Lajout des guides pratiques et des prises
de position. Les guides pratiques sont des
lignes directrices correspondant des
outils ou des techniques. Ils comprennent
des processus et des procdures dtaills,
des programmes, des approches squentielles (par exemple, des modles de livrables). Les prises de position concernent la
vision de lIIA sur les rles et responsabilits de laudit interne vis--vis dune
problmatique donne.
Par dnition, laudit interne est une activit
objective dassurance et de conseil qui contribue la cration de valeur ajoute et lamlioration des oprations dune organisation
donne. Il aide cette organisation atteindre
ses objectifs en valuant, par une approche
systmatique et mthodique, ses processus
de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur ecacit.
Au niveau mondial, laudit interne est exerc
dans des environnements divers ainsi que
10

dans des organisations dont l'objet, la taille, la


complexit et la structure dirent. De plus,
les lois et les usages varient dun pays lautre.
Ces dirences peuvent avoir une incidence
sur la pratique de laudit interne dans chaque
environnement. La mise en uvre du CRIPP
sera donc dtermine par lenvironnement
dans lequel laudit interne assume les responsabilits qui lui sont assignes. Aucune information du CRIPP ne devrait tre interprte
de manire contradictoire avec les lois et
rglements applicables. Si dans certaines
circonstances linformation contenue dans le
CRIPP est contradictoire avec la lgislation ou
la rgulation, les auditeurs internes sont
encourags prendre contact avec lIIA ou un
conseiller juridique pour avoir des lignes
directrices complmentaires.
Comme indiqu prcdemment, le CRIPP est
constitu de deux types de lignes directrices :
1. les lignes directrices
comprennent :

obligatoires

la Dnition de laudit interne ;


le Code de dontologie ;
les Normes.

Le caractre obligatoire des Normes est


renforc par lutilisation du terme Must .
Ce mot est utilis dans les Normes pour
indiquer une exigence imprative. Dans
certains cas exceptionnels, le vocable
Should est utilis dans les Normes
lorsque le respect de la disposition est
recommand sauf si, en faisant preuve de
jugement professionnel, des adaptations
sont justies par les circonstances.
Le respect des principes noncs dans les
lignes directrices obligatoires est indispen-

IFACI - dcembre 2012

Prface

sable pour que les auditeurs internes et


laudit interne assument leurs responsabilits. Comme prcis dans le Code de
Dontologie, les auditeurs internes
doivent accomplir leurs missions conformment aux Normes. Lexpression auditeurs internes est utilise pour dsigner
les membres de lInstitut, les laurats des
certications professionnelles proposes
par lIIA ou les candidats ces certications, ainsi que les personnes qui ralisent
des missions daudit interne conformment la Dnition de lIIA.
Les lignes directrices obligatoires sont
applicables aux individus et aux entits
qui ralisent des missions daudit interne.
2. les lignes directrices recommandes
comprennent :

les prises de position ;


les modalits pratiques dapplication ;
les guides pratiques.

Bien quapprouves par lIIA et labores


par un comit technique international de
lIIA et/ou un institut, les lignes directrices
fortement recommandes ne sont pas

IFACI - dcembre 2012

obligatoires. Elles ont t dveloppes


pour donner un large panel de solutions
applicables pour rpondre aux exigences
obligatoires de lIIA. Les dispositions fortement recommandes ne donnent pas
une rponse dnitive chaque contexte
particulier. De ce fait, elles doivent tre
utilises comme des guides. LIIA recommande le recourt lavis dautres professionnels pour les questions relatives
certains situations particulires. Ces lignes
directrices sont senses tre utilises par
des auditeurs internes comptents qui
font preuve de jugement professionnel.
Dans les prochaines annes, avec leur implication dans le dveloppement des lignes
directrices, les auditeurs internes feront en
sorte que le CRIPP continue tre plus
robuste. Toutes les parties prenantes concernes sont invites faire des commentaires et
des propositions propos de lIPPF. Pour les
avis professionnels, les commentaires et les
suggestions, envoyer un message
guidance@theiia.org. Pour trouver les futures
mises jour du CRIPP, les auditeurs internes
sont invits consulter les pages Professional
Guidance sur le site http://www.theiia.org.

11

12

IFACI - dcembre 2012

Dispositions
obligatoires

Dispositions obligatoires

DISPoSItIoNS oblIgAtoIrES

IFACI - dcembre 2012

13

14

IFACI - dcembre 2012

Dispositions
obligatoires

Dfinition de laudit interne

Dfinition de laudit interne


Laudit interne est une activit indpendante et objective qui donne une organisation une
assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer,
et contribue crer de la valeur ajoute.
Il aide cette organsiation atteindre ses objectifs en valuant, par une approche systmatique
et mthodique, ses processus de management des risques, de contrle, et de gouvernement
dentreprise, et en faisant des propositions pour renforcer leur ecacit.

Version franaise de la dnition internationale, approuve le 21 mars 2000 par le Conseil dAdministration de lIFACI.

IFACI - dcembre 2012

15

16

IFACI - dcembre 2012

Dispositions
obligatoires

Code de Dontologie

Code de Dontologie
Prambule
Pourquoi un Code de Dontologie ?
Pourquoi donc les Normes naplaniraient-elles pas toutes les dicults auxquelles lauditeur interne peut se trouver
confront, en indiquant de manire systmatique, la bonne conduite adopter ? Cette question est lgitime et appelle
des rponses qui permettent de prciser la raison dtre du Code de Dontologie :
Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier qui est le leur. Les lois nationales, les rglements et les risques propres aux dirents secteurs conomiques,
les formes juridiques des organisations et leurs modalits de fonctionnement, et le rle finalement dvolu laudit
interne, crent des situations particulires ; un dveloppement trop extensif de normes tendrait ramener systmatiquement la diversit de la ralit une situation type. Dans ces conditions, le Code de Dontologie de la profession identifie des valeurs essentielles qui ne nient par loriginalit de chaque situation. Il guide la rflexion de chaque
auditeur interne et fournit la trame du Code de Dontologie mettre en place dans chaque service daudit interne.
Expliciter et illustrer les notions dindpendance et dobjectivit, ces pralables sont indispensables la
qualit de lvaluation eectue par lauditeur interne. Il est essentiel que ces deux notions, que lauditeur doit
respecter, soient dfinies avec clart et prcision : ainsi pourra-t-il choisir la dmarche approprie face des situations
dlicates. En eet, lauditeur interne et notamment le responsable de laudit interne, se trouvent frquemment
confronts au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre lpreuve de situations
personnelles moralement diciles et confuses. Le Code de Dontologie rappelle les principes fondamentaux susceptibles dviter ou de clarifier les situations impropres lexercice dun jugement professionnel serein. Ils permettent
dobtenir les conseils dun suprieur hirarchique et de dterminer, en son me et conscience, la dmarche quil
convient de suivre en cas de situation dlicate.
Tmoigner du niveau lev dintgrit de laudit interne : Il est important et utile que chacun sache que
lauditeur interne seorce de toujours agir avec honntet et rigueur. Lexistence dun Code de Dontologie de laudit
interne, sign par les auditeurs internes et annex la charte daudit interne constitue, notre sens, le tmoignage
dun engagement favorisant un climat dhonntet et dintgrit.
Contribuer la qualit des rsultats de laudit en rappelant lexigence de confidentialit et de comptence. En eet, la confiance accrue des audits permet un meilleur travail.

IFACI - dcembre 2012

17

Introduction
Le Code de Dontologie de lInstitut a pour but de promouvoir une culture de lthique au sein
de la profession daudit interne.
Dnition de laudit interne
Laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer, et contribue crer de la valeur
ajoute. Il aide cette organisation atteindre ses objectifs en valuant,
par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en
faisant des propositions pour renforcer leur ecacit.
Compte tenu de la conance place en laudit interne pour donner une assurance objective sur
les processus de gouvernement dentreprise, de management des risques, et de contrle, il tait
ncessaire que la profession se dote dun tel code.
Le Code de Dontologie va au-del de la dnition de laudit interne et inclut deux composantes
essentielles :
1. Des principes fondamentaux pertinents pour la profession et pour la pratique de laudit
interne ;
2. Des rgles de conduite dcrivant les normes de comportement attendues des auditeurs
internes. Ces rgles sont une aide la mise en uvre pratique des principes fondamentaux
et ont pour but de guider la conduite thique des auditeurs internes.
On dsigne par auditeurs internes les membres de lInstitut, les titulaires de certication professionnelles de lIIA ou les candidats celles-ci, ainsi que les personnes proposant des services
entrant dans le cadre de la dnition de laudit interne.

Champ dapplication et caractre obligatoire


Le Code de Dontologie sapplique aux personnes et aux entits qui fournissent des services daudit interne.
Toute violation du Code de Dontologie par des membres de lInstitut, des titulaires de certications professionnelles de lIIA ou des candidats celles-ci, fera lobjet dune valuation et sera
traite en accord avec les statuts de lInstitut et ses directives administratives. Le fait quun comportement donn ne gure pas dans les rgles de conduite ne lempche pas dtre inacceptable ou
dshonorant et peut donc entraner une action disciplinaire lencontre de la personne qui sen
est rendu coupable.

18

IFACI - dcembre 2012

Dispositions
obligatoires

Code de Dontologie

Principes fondamentaux
Il est attendu des auditeurs internes quils respectent et appliquent les principes fondamentaux
suivants :
1. Intgrit :
Lintgrit des auditeurs internes est la base de la conance et de la crdibilit accordes
leur jugement.
2. Objectivit :
Les auditeurs internes montrent le plus haut degr dobjectivit professionnelle en collectant,
valuant et communiquant les informations relatives lactivit ou au processus examin. Les
auditeurs internes valuent de manire quitable tous les lments pertinents et ne se laissent
pas inuencer dans leur jugement par leurs propres intrts ou par autrui.
3. Confidentialit :
Les auditeurs internes respectent la valeur et la proprit des informations quils reoivent ; ils
ne divulguent ces informations quavec les autorisations requises, moins quune obligation
lgale ou professionnelle ne les oblige le faire.
4. Comptence :
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expriences
requis pour la ralisation de leurs travaux.

Rgles de conduite
1. Intgrit
Les auditeurs internes :
1.1. Doivent accomplir leur mission avec honntet, diligence et responsabilit.
1.2. Doivent respecter la loi et faire les rvlations requises par les lois et les rgles de la profession.

Commentaire IFACI
Par exemple, dans le secteur public en France, selon larticle 40 du Code de procdure pnale : toute autorit constitue,
tout ocier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un
dlit est tenu d'en donner avis sans dlai au procureur de la Rpublique et de transmettre ce magistrat tous les
renseignements, procs-verbaux et actes qui y sont relatifs .

IFACI - dcembre 2012

19

1.3. Ne doivent pas sciemment prendre part des activits illgales ou sengager dans des
actes dshonorants pour la profession daudit interne ou leur organisation.
Commentaire IFACI
Il convient de prciser que la notion de dshonneur est culturelle, quelle dpend des poques, des individus, de lthique de
lorganisation et de nombreux autres facteurs.

1.4. Doivent respecter et contribuer aux objectifs thiques et lgitimes de leur organisation.
Commentaire IFACI
Cette rgle de conduite appelle la question suivante : quentend-on par objectif thique et objectif lgitime ? On peut dfinir
lgitime comme conforme aux lois, aux rglements et lobjet social tandis quthique fait rfrence aux valeurs morales et
divers principes. Il appartient chaque auditeur interne de donner ces deux mots un sens adapt la situation
particulire dans laquelle il se trouve.
Dans le cas o lorganisation aurait des objectifs non thiques ou non lgitimes ou jugs tels par lauditeur, ce Code de
Dontologie ne contraint pas lauditeur interne les respecter et encore moins y contribuer, pas plus quil ne linterdit.
Cette situation, si elle se produisait, ne dispenserait pas lauditeur interne de garder leur gard un parfait esprit critique.
2. Objectivit
Les auditeurs internes :
2.1. Ne doivent pas prendre part des activits ou tablir des relations qui pourraient
compromettre ou risquer de compromettre le caractre impartial de leur jugement. Ce
principe vaut galement pour les activits ou relations daaires qui pourraient entrer
en conit avec les intrts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3

Doivent rvler tous les faits matriels dont ils ont connaissance et qui, sils ntaient pas
rvls, auraient pour consquence de fausser le rapport sur les activits examines.

Commentaire IFACI
Cest donc en interne, et essentiellement dans le cadre du rapport daudit, que ces faits matriels doivent tre rvls. Il
convient toutefois dtre bien conscient que des informations dlicates destines a priori la direction gnrale et/ou au
comit daudit sont susceptibles dtre connues lextrieur de lorganisation. Cest ainsi que les rapports daudit interne
peuvent tre communiqus la justice. Pour le secteur bancaire, le rglement 97-02 modifi du CRBF, prcise que les
rapports daudit interne sont tenus la disposition des commissaires aux comptes et du secrtariat gnral de la
Commission bancaire. Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec
discernement, prudence et circonspection.
20

IFACI - dcembre 2012

Dispositions
obligatoires

Code de Dontologie

3. Confidentialit
Les auditeurs internes :
3.1. Doivent utiliser avec prudence et protger les informations recueillies dans le cadre de
leurs activits.
Commentaire IFACI
Il est important de prciser que la confidentialit et les rgles de conduite y arentes sappliquent toute personne
proposant des services entrant dans la dfinition de laudit interne. Le responsable de laudit interne, dans le cas o il
soustraite une mission, lextrieur du service daudit interne ou de lorganisation, doit veiller ce quune clause de cet
ordre soit intgre dans le contrat de prestation.
Commentaire IFACI
LIFACI prconise que le responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit pour des faits
minemment graves commis par la direction gnrale et pouvant mettre en danger la continuit dexploitation, condition
que ces faits soient avrs et que le rle de laudit interne en la matire soit dment explicit dans une charte dthique.

Commentaire IFACI
En fonction des termes de larrt portant application de larticle 156 de la Loi de Modernisation de lEconomie qui prvoit
au sein des tablissements de crdit, les conditions dinformation des organes de direction, dadministration et de
surveillance concernant lecacit des systmes de contrle interne, daudit interne et de gestion des risques, et le suivi
des incidents rvls notamment par ces systmes, sont fixs par arrt. Cet arrt prvoit les conditions dans lesquelles
ces informations sont transmises la Commission bancaire, en outre, larticle 154 de la LME prvoit des sanctions
(emprisonnement et amende financire) en cas dabsence de rponse aux demandes dinformations de la Commission
bancaire ou de communication de renseignements inexacts.

3.2. Ne doivent pas utiliser ces informations pour en retirer un bnce personnel, ou dune
manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux objectifs
thiques et lgitimes de leur organisation.
Commentaire IFACI
Est assimilable bnfice personnel non seulement le bnfice procur un tiers apparent ou ami, mais aussi
l'utilisation des informations recueillies dans le cadre de l'activit d'audit des fins trangres cette activit, telles que la
communication des associations caritatives, humanitaires, et plus gnralement but louable, soutenues par l'auditeur
interne : les auditeurs internes doivent respecter la valeur et la proprit des informations qu'ils reoivent.

IFACI - dcembre 2012

21

4. Comptence
Les auditeurs internes :
4.1. Ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances, le
savoir faire et lexprience ncessaires.
4.2. Doivent raliser leurs travaux daudit interne dans le respect des Normes Internationales
pour la Pratique Professionnelle de lAudit Interne.
4.3. Doivent toujours seorcer damliorer leur comptence, lecacit et la qualit de leurs
travaux.

22

IFACI - dcembre 2012

Dispositions
obligatoires

Normes internationales

NormES INtErNAtIoNAlES

IFACI - dcembre 2012

23

24

IFACI - dcembre 2012

Dispositions
obligatoires

Normes internationales

Introduction
Laudit interne est exerc dans dirents environnements juridiques et culturels ainsi que dans
des organisations dont l'objet, la taille, la complexit et la structure sont divers. Il peut tre en outre
exerc par des professionnels de l'audit, internes ou externes l'organisation.
Comme ces dirences peuvent inuencer la pratique de l'audit interne dans chaque environnement, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de
l'audit interne de lIIA (ci-aprs les Normes ) pour que les auditeurs internes et laudit interne s'acquittent de leurs responsabilits.
Lorsque la lgislation ou la rglementation empchent les auditeurs internes ou laudit interne de
respecter certaines dispositions des Normes, il est ncessaire den respecter les autres dispositions
et de procder une communication approprie.
Si les Normes sont conjointement utilises avec des dispositions dautres organes de rfrence, les
communications de laudit interne peuvent le cas chant, citer lutilisation dautres Normes. Sil y
a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et laudit
interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci
sont plus exigeantes.
Les Normes ont pour objet :
1. de dnir les principes fondamentaux de la pratique de l'audit interne ;
2. de fournir un cadre de rfrence pour la ralisation et la promotion d'un large champ dintervention d'audit interne valeur ajoute ;
3. d'tablir les critres d'apprciation du fonctionnement de l'audit interne ;
4. de favoriser l'amlioration des processus organisationnels et des oprations.
Les Normes sont des principes obligatoires constitues :
de dclarations sur les conditions fondamentales pour la pratique professionnelle de laudit
interne et pour lvaluation de sa performance. Elles sont internationales et applicables tant
au niveau du service quau niveau individuel ;
dinterprtations clariant les termes et les concepts utiliss dans les dclarations.
Les Normes utilisent des termes ayant un sens spcique qui est prcis dans le Glossaire. En particulier les Normes utilisent le mot must pour spcier une exigence imprative et le mot
should lorsque le respect de la disposition est recommand sauf si, en faisant preuve de jugement professionnel, des adaptations sont justies par les circonstances.
Il est indispensable de prendre en considration les dclarations et les interprtations ainsi que
les signications spciques du Glossaire pour comprendre et appliquer correctement les Normes.
Les Normes se composent des Normes de qualication, des Normes de fonctionnement et des

IFACI - dcembre 2012

25

Normes de mise en uvre. Les Normes de qualication noncent les caractristiques que doivent
prsenter les organisations et les personnes accomplissant des missions d'audit interne. Les Normes
de fonctionnement dcrivent la nature des missions d'audit interne et dnissent des critres de
qualit permettant de mesurer la performance des services fournis. Les Normes de qualication
et les Normes de fonctionnement sappliquent tous les services daudit. Les Normes de mise en
uvre prcisent les Normes de qualication et les Normes de fonctionnement en indiquant les
exigences applicables dans les activits dassurance (A) ou de conseil (C).
Dans le cadre de missions d'assurance, l'auditeur interne procde une valuation objective en
vue de formuler en toute indpendance une opinion ou des conclusions sur une entit, une opration, une fonction, un processus, un systme ou tout autre sujet. Lauditeur interne dtermine la
nature et l'tendue des missions dassurance. Elles comportent gnralement trois types d'intervenants : (1) la personne ou le groupe directement impliqu dans lentit, lopration, la fonction,
le processus, le systme ou le sujet examin autrement dit le propritaire du processus, (2) la
personne ou le groupe ralisant l'valuation l'auditeur interne, et (3) la personne ou le groupe
qui utilise les rsultats de l'valuation l'utilisateur.
Les missions de conseil sont gnralement entreprises la demande d'un client. Leur nature et
leur primtre font l'objet d'un accord avec ce dernier. Elles comportent gnralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en l'occurrence l'auditeur interne,
et (2) la personne ou le groupe donneur d'ordre auquel ils sont destins le client. Lors de la ralisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivit et n'assumer aucune
fonction de management.
Les Normes sappliquent aux auditeurs internes et l'activit daudit interne. Tous les auditeurs
internes ont la responsabilit de se conformer aux Normes relatives lobjectivit, aux comptences et la conscience professionnelle individuelles. De plus, ils doivent se conformer aux
Normes relatives aux responsabilits associes leur poste. Les responsables de laudit interne
ont la responsabilit dassurer la conformit globale de l'activit daudit interne avec les
Normes et den rendre compte.
La revue et la mise jour des Normes est un processus continu. The International Internal Audit
Standards Board mne une large consultation et des discussions avant de publier les Normes.
Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont
consultables sur le site internet de l'IIA et sont distribus tous les instituts alis.
Les suggestions et commentaires concernant les Normes peuvent tre adresss :
The Institute of Internal Auditors
Standards and Guidance
247, Maitland Avenue.
Altamonte Springs, Florida 32701-4201 USA
Courrier lectronique : guidance@theiia.org
Site web : www.theiia.org

26

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

NormES DE
quAlIFICAtIoN

IFACI - dcembre 2012

27

28

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

Normes de qualification
1000 mission, pouvoirs et responsabilits

MPA 1000-1 :
Charte daudit interne

La mission, les pouvoirs et les responsabilits de l'audit interne doivent tre


formellement dnis dans une charte daudit interne, tre cohrents avec la dnition de laudit
interne, le Code de Dontologie ainsi quavec les Normes. Le responsable de laudit interne doit
revoir priodiquement la charte daudit interne et la soumettre lapprobation de la direction
gnrale et du Conseil.
Interprtation :
La charte d'audit interne est un document ociel qui prcise la mission, les pouvoirs et les responsabilits de cette activit. La charte dnit la position de l'audit interne dans l'organisation y compris
la nature de la relation fonctionnelle entre le responsable de laudit interne et le Conseil ; autorise
l'accs aux documents, aux personnes et aux biens, ncessaires la ralisation des missions ; dnit
le champ des activits d'audit interne. Lapprobation nale de la charte daudit interne relve de la
responsabilit du Conseil.
Commentaire IFACI
Le terme Conseil est explicit dans le Glossaire des Normes.
Dans la pratique, le responsable de laudit interne a, lorsquil existe, une relation fonctionnelle avec le comit spcialis du
Conseil mandat pour les questions lies la gestion des risques, au contrle interne et laudit interne. Il sagit le plus
souvent du comit daudit ou du comit de contrle interne et des risques.
La nature de cette relation fonctionnelle est prcise dans linterprtation de la Norme 1110.
LIFACI considre que la charte daudit interne devra galement dfinir le rattachement hirarchique du responsable de
l'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le rle de laudit interne dans
le gouvernement dentreprise recommande que laudit interne soit clairement rattach hirarchiquement la direction
gnrale .
Quel que soit son niveau de rattachement, le responsable de laudit interne devra prsenter le contenu de la charte la
direction gnrale afin dassurer la cohrence entre les responsabilits et les pouvoirs attribus laudit interne. La prise de
position IFA/IFACI prconise que le comit daudit prenne connaissance des documents formalisant lorganisation gnrale
du service daudit interne et en particulier la charte de laudit interne. Lindpendance est confirme par lapprobation de
ces documents par le Conseil.

IFACI - dcembre 2012

29

La revue priodique de la charte garantit ladquation permanente de la capacit dintervention de laudit interne avec les
missions qui lui sont assignes.

1000.A1 La nature des missions d'assurance ralises pour l'organisation doit tre
dnie dans la charte d'audit interne. S'il est prvu d'eectuer des missions d'assurance l'extrieur de l'organisation, leur nature doit tre galement dnie dans la
charte d'audit interne.
1000.C1 La nature des missions de conseil doit tre dnie dans la charte d'audit
interne.

1010 reconnaissance de la dfinition de laudit interne, du Code de Dontologie


ainsi que des Normes dans la charte d'audit interne
Le caractre obligatoire de la dnition de laudit interne, du Code de Dontologie ainsi
que des Normes doit tre reconnu dans la charte d'audit interne.
Le responsable de laudit interne prsente la dnition de laudit interne, le Code de Dontologie ainsi que les Normes la direction gnrale et au Conseil.

Commentaire IFACI
Lorsque le responsable de laudit interne soumet la charte pour approbation la direction gnrale et au Conseil (cf. Norme
1000), il prsente en particulier la dfinition de laudit interne, le Code de Dontologie et les Normes. Ces dispositions
obligatoires ont fait leur preuve dans les dirents contextes o laudit interne est pratiqu. Elles constituent le niveau
minimal de professionnalisme requis.

Commentaire IFACI
Une bonne connaissance du CRIPP est ncessaire pour donner du sens la prsentation qui est faite aux instances
dirigeantes. Elle permet dillustrer, de faon pertinente, en quoi la ralisation des objectifs de lorganisation et sa
structuration permettent lapplication des principes du CRIPP.

30

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

1100 Indpendance et objectivit


L'audit interne doit tre indpendant et les auditeurs internes doivent eectuer leurs travaux avec
objectivit.
Interprtation :
Lindpendance cest la capacit de laudit interne assumer, de manire impartiale, ses responsabilits. An datteindre un degr dindpendance ncessaire et susant lexercice de ses responsabilits, le responsable de laudit interne doit avoir un accs direct et non restreint la direction
gnrale et au Conseil. Cet objectif peut tre atteint grce un double rattachement. Les atteintes
lindpendance doivent tre apprhendes dirents niveaux :
au niveau de lauditeur interne ;
au niveau de la conduite de la mission ;
au niveau de laudit interne et de son positionnement dans lorganisation.
Lobjectivit est une attitude impartiale qui permet aux auditeurs internes daccomplir leurs missions
de telle sorte quils soient certains de la qualit de leurs travaux mens sans le moindre compromis.
Lobjectivit implique que les auditeurs internes ne subordonnent pas leur propre jugement celui
dautres personnes. Comme pour lindpendance, les atteintes lobjectivit doivent tre apprhendes au niveau de :
lauditeur interne ;
la conduite de la mission ;
laudit interne et de son positionnement dans lorganisation.

Commentaire IFACI
Lindpendance de laudit interne dpend galement du rattachement hirarchique de son responsable la direction
gnrale et de sa capacit communiquer avec le Conseil.
Au niveau individuel, labsence de subordination au jugement dautres personnes concerne en premier lieu les opinions qui
seraient formules en dehors du service daudit interne.
Lobjectivit dcoule en partie de lapproche systmatique et mthodique prvue dans la dfinition de laudit interne.

IFACI - dcembre 2012

31

1110 Indpendance dans l'organisation

MPA 1110-1 :
Le responsable de l'audit interne doit relever dun niveau hirar- Indpendance dans
lorganisation
chique susant au sein de lorganisation pour permettre au service
daudit interne dexercer ses responsabilits. Le responsable de laudit interne doit conrmer
au Conseil, au moins annuellement, lindpendance de laudit interne au sein de lorganisation.
Interprtation :
Lindpendance au sein de lorganisation est atteinte lorsque le responsable de laudit interne rapporte
fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
approuve la charte daudit interne ;
approuve le plan daudit interne fond sur lapproche par les risques ;
approuve le budget et les ressources prvisionnels de laudit interne ;
soit destinataire des informations adresses par le responsable daudit relatives la ralisation
du plan daudit ou de tout autre sujet arent laudit interne ;
approuve les dcisions lies la nomination et la rvocation du responsable de laudit
interne ;
approuve la rmunration du responsable de laudit interne ;
demande des informations pertinentes au management et au responsable de laudit interne
pour dterminer ladquation du primtre et des ressources de laudit interne.
Commentaire IFACI
Comme soulign propos de la Norme 1000, cest le double rattachement de laudit interne qui permet dasseoir son
indpendance au sein de lorganisation.
Dans sa prise de position sur lurbanisme du contrle interne, lIFACI recommande que laudit interne soit rattach au plus
haut niveau de lorganisation afin de conforter lobjectivit de ses dmarches et armer lindpendance dont il a besoin
pour exercer ses activits ; que ce rattachement soit situ idalement au niveau de la direction gnrale, ultime responsable
du contrle interne comme de la bonne marche des organisations.
Il est souhaitable que les responsabilits du Conseil lgard de laudit soient formalises. Les lments de linterprtation
pourront tre utiliss cet eet et tre complts par dautres bonnes pratiques professionnelles. Par exemple, le comit
daudit est tenu inform, le cas chant :
des zones de risques non couvertes que laudit interne a lui-mme identifies ;
de la ralisation des missions non planifies, y compris les demandes de la direction gnrale ;
des changements de primtre de certaines missions ou des reports ;
de la participation des auditeurs ou du responsable de laudit interne des projets ou des travaux connexes ;
du suivi de la mise en uvre des recommandations ;
des points significatifs de dsaccord avec le management conformment au processus dcrit dans la
norme 2600, etc.

32

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

Lapprobation du budget doit sappuyer sur lanalyse dun certain nombre de critres notamment au regard
du plan daudit raliser.
Pour conforter lindpendance de laudit interne, le Conseil devrait contribuer lvaluation de la
performance du responsable de laudit interne notamment sur la base de la qualit des informations reues.

1110.A1 L'audit interne ne doit subir aucune ingrence lors de la dnition de


son champ d'intervention, de la ralisation du travail et de la communication des
rsultats.
1111 relation directe avec le Conseil
Le responsable de laudit interne doit pouvoir communiquer et
dialoguer directement avec le Conseil.

MPA 1111-1 :
Relation avec le conseil

Commentaire IFACI
Le responsable de laudit interne doit particulirement instaurer des relations rgulires avec le Conseil ou ses comits
spcialiss. Il organise une communication adapte aux besoins de ces instances et aux exigences de sa mission. Il
dmontre, notamment lors de runions dchanges directes, la contribution de laudit interne lexercice de leur
responsabilit.
1120 objectivit individuelle
Les auditeurs internes doivent avoir une attitude impartiale et
dpourvue de prjugs, et viter tout conit d'intrt.

MPA 1120-1 :
Objectivit individuelle

Interprtation :
Est considre comme un conit dintrt, une situation dans laquelle un auditeur interne, qui jouit
dune position de conance, a un intrt personnel ou professionnel venant en concurrence avec ses
devoirs et responsabilits. De tels intrts peuvent empcher lauditeur dexercer ses responsabilits
de faon impartiale. Un conit dintrt peut exister mme si aucun acte contraire lthique ou
malhonnte na t commis. Un conit dintrt peut crer une situation susceptible dentamer la
conance en lauditeur interne, vis--vis du service daudit interne et en la profession. Un conit dintrt peut compromettre la capacit dun individu conduire ses activits et exercer ses responsabilits de manire objective.

IFACI - dcembre 2012

33

1130 Atteinte l'indpendance ou l'objectivit


MPA 1130-1 : Atteintes
Si l'indpendance ou l'objectivit des auditeurs internes sont lindpendance ou
compromises dans les faits ou mme en apparence, les parties lobjectivit
concernes doivent en tre informes de manire prcise. La forme
de cette communication dpendra de la nature de l'atteinte l'indpendance.
Interprtation :
Parmi les atteintes l'indpendance du service daudit interne et l'objectivit individuelle, peuvent
gurer les conits d'intrts personnels, les limitations du champ d'un audit, les restrictions d'accs
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations nancires.
Lidentication des parties qui devraient tre informes dune atteinte l'objectivit et l'indpendance dpend dune part des attentes de la direction gnrale et du Conseil, telles que dcrites dans
la charte d'audit interne, en termes de responsabilits de laudit interne et du responsable daudit
interne, et dautre part de la nature de cette atteinte.
Commentaire IFACI
La mise en uvre de cette Norme doit sappuyer sur la charte daudit interne et le Code de Dontologie.

1130.A1 Les auditeurs internes doivent s'abstenir d'auditer


des oprations particulires dont ils taient auparavant
responsables. L'objectivit d'un auditeur interne est prsume altre lorsqu'il ralise une mission d'assurance pour
une activit dont il a eu la responsabilit au cours de l'anne
prcdente.
1130.A2 Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent tre
supervises par une personne ne relevant pas de l'audit
interne.

MPA 1130.A1-1 : Audit


des oprations dont
les auditeurs internes
ont t auparavant
responsables

MPA 1130.A2-1 :
Responsabilits
exerces par laudit
interne au titre
dautres fonctions

1130.C1 Les auditeurs internes peuvent tre amens raliser des missions de
conseil lies des oprations dont ils ont t auparavant responsables.
1130.C2 Si l'indpendance ou l'objectivit des auditeurs internes sont susceptibles d'tre compromises lors des missions de conseil qui leur sont proposes, ils
doivent en informer le client donneur d'ordre avant de les accepter.

34

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

1200 Comptence et conscience professionnelle


Les missions doivent tre conduites avec comptence et conscience
professionnelle.
1210 Comptence

MPA 1200-1 :
Comptence et
conscience
professionnelle

MPA 1210-1 :
Comptence

Les auditeurs internes doivent possder les connaissances, le savoirfaire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles.
Lquipe daudit interne doit collectivement possder ou acqurir les connaissances, le
savoir-faire et les autres comptences ncessaires l'exercice de ses responsabilits.
Commentaire IFACI
La connaissance des Normes est indispensable pour mettre en uvre une approche mthodique. Pour une pratique
professionnelle de laudit interne il faut galement mobiliser dautres comptences en termes de savoir-tre et de savoirfaire (connaissance des mtiers de lorganisation, de sa culture), ce qui permet de renforcer lobjectivit et
lindpendance des auditeurs internes.

Interprtation :
Les connaissances, le savoir-faire et les autres comptences sont une expression gnrique utilise
pour dcrire la capacit professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer ecacement leurs responsabilits professionnelles. Les auditeurs internes sont encourags
dmontrer leurs comptences en obtenant des certications et qualications professionnelles
appropries telles que le CIA (Certied Internal Auditor) et tout autre diplme promu par lIIA ou par
dautres organisations professionnelles appropries.
Commentaire IFACI
Les auditeurs internes peuvent dmontrer qu'ils dtiennent les savoirs et savoir-faire indispensables
l'exercice de leur mtier en obtenant les qualifications professionnelles galement proposes par l'IFACI.
Ces qualifications attestent que leurs titulaires ont les connaissances et les comptences qui leur permettront
de conduire une mission daudit de manire autonome et professionnelle, en sappuyant sur la dmarche
prconise par les Normes.
1210.A1 Le responsable de l'audit interne doit obtenir MPA 1210.A1-1 :
l'avis et l'assistance de personnes qualies si les auditeurs Recours des
internes ne possdent pas les connaissances, le savoir-faire prestataires externes
et les autres comptences ncessaires pour s'acquitter de
tout ou partie de leur mission.

IFACI - dcembre 2012

35

1210.A2 Les auditeurs internes doivent possder des connaissances susantes


pour valuer le risque de fraude et la faon dont ce risque est gr par lorganisation.
Toutefois, ils ne sont pas censs possder l'expertise d'une personne dont la responsabilit premire est la dtection et l'investigation des fraudes.
1210.A3 Les auditeurs internes doivent possder une connaissance susante des
principaux risques et contrles relatifs aux technologies de l'information, et des techniques d'audit informatises susceptibles d'tre mises en uvre dans le cadre des
travaux qui leur sont cons. Toutefois, tous les auditeurs internes ne sont pas censs
possder l'expertise d'un auditeur dont la responsabilit premire est l'audit informatique.
1210.C1 Le responsable de l'audit interne doit dcliner une mission de conseil
ou obtenir l'avis et l'assistance de personnes qualies si les auditeurs internes ne
possdent pas les connaissances, le savoir-faire et les autres comptences ncessaires pour s'acquitter de tout ou partie de la mission.
Commentaire IFACI
Chaque auditeur pris individuellement na pas besoin davoir toutes les connaissances ncessaires la conduite de la
mission. Ces comptences doivent tre disponibles collectivement. Quil sagisse de mission dassurance ou de conseil, cest
au responsable daudit interne de veiller ce que la constitution de lquipe soit cohrente avec les objectifs de la mission.

1220 Conscience professionnelle

MPA 1220-1 :
Conscience
professionnelle

Les auditeurs internes doivent apporter leur travail la diligence et


le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et comptent. La conscience professionnelle n'implique pas l'infaillibilit.
1220.A1 Les auditeurs internes doivent apporter tout le soin ncessaire leur
pratique professionnelle en prenant en considration les lments suivants :
l'tendue du travail ncessaire pour atteindre les objectifs de la mission ;
la complexit relative, la matrialit ou le caractre signicatif des domaines
auxquels sont appliques les procdures propres aux missions d'assurance ;
ladquation et l'ecacit des processus de gouvernement dentreprise, de
management des risques et de contrle ;
la probabilit d'erreurs signicatives, de fraudes ou de non-conformit;
le cot de la mise en place des contrles par rapport aux avantages escompts.

36

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

1220.A2 Pour remplir ses fonctions avec conscience professionnelle, l'auditeur


interne doit envisager l'utilisation de techniques informatiques daudit et danalyse
des donnes.
1220.A3 Les auditeurs internes doivent exercer une vigilance particulire l'gard
des risques signicatifs susceptibles d'aecter les objectifs, les oprations ou les
ressources. Toutefois, les procdures d'audit seules, mme lorsqu'elles sont menes
avec la conscience professionnelle requise, ne garantissent pas que tous les risques
signicatifs seront dtects.
1220.C1 Les auditeurs internes doivent apporter une mission de conseil toute
leur conscience professionnelle, en prenant en considration les lments suivants :
les besoins et attentes des clients, y compris sur la nature, le calendrier et la
communication des rsultats de la mission ;
la complexit de celle-ci et l'tendue du travail ncessaire pour atteindre les
objectifs xs ;
son cot par rapport aux avantages escompts.

1230 Formation professionnelle continue


Les auditeurs internes doivent amliorer leurs connaissances, savoirfaire et autres comptences par une formation professionnelle
continue.

MPA 1230-1 :
Formation
professionnelle
continue

Commentaire IFACI
La valeur cre par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes.
Le dveloppement et le maintien des comptences doivent tre une priorit et faire l'objet de toute l'attention ncessaire.

IFACI - dcembre 2012

37

1300 Programme d'assurance et d'amlioration


qualit

MPA 1300-1 :
Programme
dassurance et
damlioration qualit

Le responsable de l'audit interne doit laborer et tenir jour un programme


d'assurance et d'amlioration qualit portant sur tous les aspects de l'audit interne.
Interprtation :
Un programme d'assurance et d'amlioration qualit est conu de faon valuer :
la conformit de laudit interne avec la dnition de laudit interne et les Normes ;
le respect du Code de Dontologie par les auditeurs internes.
Ce programme permet galement de sassurer de lecacit et de lecience de lactivit daudit
interne et didentier toutes opportunits damlioration.

1310 Exigences du programme d'assurance et d'amlioration qualit


Le programme d'assurance et d'amlioration qualit doit comporter
des valuations tant internes quexternes.
1311 valuations internes

MPA 1310-1 :
Exigences du
programme
dassurance et
damlioration qualit
MPA 1311-1 :
Evaluations internes

Les valuations internes doivent comporter :


une surveillance continue de la performance de l'audit interne ;
des valuations priodiques, eectues par auto-valuation ou par d'autres
personnes de l'organisation possdant une connaissance susante des pratiques
d'audit interne.
Interprtation :
La surveillance continue fait partie intgrante de la supervision quotidienne, de la revue et du suivi
de lactivit daudit interne. La surveillance continue est intgre dans les procdures et les pratiques
courantes de gestion du service daudit interne. Ce contrle utilise les processus, les outils et les informations ncessaires lvaluation du service daudit interne en termes de conformit la dnition
de laudit interne, au Code de Dontologie et aux Normes.
Les valuations priodiques sont conduites pour apprcier galement la conformit du service daudit interne la dnition de laudit interne, au Code de Dontologie et aux Normes.
Une connaissance susante des pratiques daudit interne suppose au moins la comprhension de
lensemble des lments du cadre de rfrence international des pratiques professionnelles.

38

IFACI - dcembre 2012

1312 valuations externes


Des valuations externes doivent tre ralises au moins tous les
cinq ans par un valuateur ou une quipe dvaluateurs qualis,
indpendants et extrieurs l'organisation. Le responsable de l'audit
interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ;
et
des qualications de l'valuateur ou de l'quipe d'valuation
externes ainsi que de leur indpendance y compris au regard
de tout conit d'intrt potentiel.

MPA 1312-1 :
Evaluations externes
MPA 1312-2 :
Evaluations externes :
auto-valuation avec
validation
indpendante
MPA 1312-3 :
Indpendance de
lquipe dvaluation
externe dans le secteur
priv

MPA 1312-4 :
Indpendance de
Interprtation :
lquipe dvaluation
Les valuations externes peuvent prendre la forme dune valuation externe dans le secteur
entirement externalise ou dune auto-valuation avec validation ind- public
pendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles et
de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.
Commentaire IFACI
Le principe dune valuation externe tmoigne de la capacit de laudit interne ne pas sexonrer de ses propres exigences
professionnelles.
La direction gnrale devrait tre pralablement informe des modalits dimplication du Conseil et plus
particulirement des lments qui lui seront communiqus.
Une valuation externe plus frquente peut tre envisage en fonction de lvolution de lenvironnement, du
profil de risque de lorganisation, de la sensibilit des parties prenantes, de la nature des travaux de laudit
interne et de son organisation.
Des lments complmentaires concernant la qualification des valuateurs externes sont disponibles au 7 de la MPA
1312-1 Evaluations externes .

IFACI - dcembre 2012

39

Dispositions
obligatoires

Normes de qualification

1320 rapports relatifs au programme d'assurance et d'amlioration qualit


Le responsable de l'audit interne doit communiquer les rsultats du programme d'assurance et d'amlioration qualit la direction gnrale ainsi quau Conseil.
Commentaire IFACI
La conformit la dfinition de laudit interne, au Code de Dontologie et aux Normes ncessite une dclinaison concrte de
ces principes dans les procdures du service daudit interne qui faciliteront leur appropriation par les auditeurs. Lutilisation
du Rfrentiel Professionnel de lAudit Interne (RPAI) dvelopp par IFACI Certification peut aider mettre en uvre le
Programme dassurance et damlioration qualit.

Interprtation :
La forme, le contenu ainsi que la frquence des communications relatives aux rsultats du
programme d'assurance et d'amlioration qualit sont dnis lors de discussions avec la direction
gnrale et le Conseil, et tiennent compte des responsabilits de laudit interne et de celles du responsable de laudit interne comme dnies dans la charte daudit interne. Pour dmontrer la conformit
la dnition de laudit interne, au Code de Dontologie et aux Normes, les rsultats des valuations
internes priodiques et des valuations externes doivent tre communiqus ds lachvement de ces
valuations. Les rsultats de la surveillance continue sont quant eux communiqus au moins une
fois par an. Ces rsultats incluent lapprciation de lvaluateur ou de lquipe dvaluation sur le
degr de conformit de lactivit daudit interne.

1321 utilisation de la mention conforme aux Normes internationales pour la pratique professionnelle de laudit interne
Le responsable de laudit interne peut indiquer que lactivit daudit
interne est conduite conformment aux Normes internationales pour
la pratique professionnelle de l'audit interne seulement si, les rsultats
du programme d'assurance et d'amlioration qualit lont dmontr.

MPA 1321-1 :
Utilisation de la
mention conforme
aux Normes
internationales pour la
pratique
professionnelle de
laudit interne

Interprtation :
Le service daudit interne est en conformit avec les Normes lorsquil respecte les exigences de
la Dfinition de laudit interne, du Code de dontologie et des Normes.
Les rsultats du programme dassurance et damlioration qualit incluent les rsultats des
valuations internes et des valuations externes. Tout service daudit interne disposera de rsultats dvaluations internes. Les services daudit interne qui ont plus de cinq ans danciennet
disposeront galement des rsultats de leurs valuations externes.

40

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de qualification

Commentaire IFACI
Quelle que soit lanciennet du service, les rsultats dune valuation externe sont indispensables pour pouvoir utiliser cette
mention. En eet, la Norme 1310 prcise que le programme dassurance et damlioration qualit doit comporter des
valuations tant internes quexternes . Comme indiqu dans le 3 de la MPA 1321-1 lemploi de ces formules nest pas
appropri tant quune valuation externe na pas dmontr que laudit interne fonctionne en conformit avec la dfinition
de laudit interne, le Code de dontologie et les Normes . La mise en uvre de cette Norme doit tre cohrente avec la
Norme 1322.
Ces indications de conformit ou de non-conformit au niveau du service sont dclines pour les missions avec les Normes
2430 et 2431.
1322 Indication de non-conformit
Quand la non-conformit de lactivit daudit interne avec la dnition de laudit interne,
le Code de Dontologie ou encore les Normes a une incidence sur le champ d'intervention
ou sur le fonctionnement de l'audit interne, le responsable de laudit interne doit informer
la direction gnrale et le Conseil de cette non-conformit et de ses consquences.
Commentaire IFACI
Lindication de non-conformit ne se limite pas au positionnement de laudit interne ou son pilotage, cette dclaration
concerne lensemble du processus daudit :
les activits transversales telles que llaboration de procdures, la gestion des ressources, la coordination avec les
autres acteurs du contrle ou la communication ;
le cur du mtier avec la planification, la ralisation des missions et le suivi des recommandations.
La mise en uvre de cette Norme doit tre cohrente avec la Norme 2431. Plusieurs non-conformits lors des missions
devraient poser la question de la conformit de lactivit daudit interne.

IFACI - dcembre 2012

41

42

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

NormES DE FoNCtIoNNEmENt

IFACI - dcembre 2012

43

44

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

Normes de Fonctionnement
2000 gestion de l'audit interne
Le responsable de laudit interne doit grer ecacement cette activit de faon garantir quelle
apporte une valeur ajoute lorganisation.
Interprtation :
Lactivit daudit interne est gre ecacement quand :
les rsultats des travaux de laudit interne rpondent aux objectifs et responsabilits dnis
dans la charte daudit interne ;
laudit interne est exerc conformment la dnition de laudit interne et aux Normes ;
les membres de lquipe daudit agissent en respectant le Code de Dontologie et les Normes.
Le service daudit interne apporte de la valeur ajoute lorganisation (ainsi qu ses parties
prenantes) lorsquil fournit une assurance objective et pertinente et quil contribue lecience ainsi
qu lecacit des processus de gouvernement dentreprise, de management des risques et de
contrle interne.
MPA 2010-1 :
La prise en compte des
2010 Planification
risques et des menaces
pour llaboration du
Le responsable de l'audit interne doit tablir un plan daudit fond plan daudit
sur les risques an de dnir des priorits cohrentes avec les objecMPA 2010-2 :
tifs de l'organisation.
Prise en compte du
management des
risques dans la
Interprtation :
planification de laudit
Il incombe au responsable de laudit interne de dvelopper un plan daudit interne
fond sur les risques. Pour ce faire, le responsable de laudit interne prend en
compte le systme de management des risques dni au sein de lorganisation, il tient notamment
compte de lapptence pour le risque dnie par le management pour les direntes activits ou
branches de lorganisation. Si ce systme de management des risques nexiste pas, le responsable de
laudit interne doit se baser sur sa propre analyse des risques aprs avoir pris en considration le
point de vue de la direction gnrale et du Conseil. Le responsable de laudit interne doit, le cas
chant, rviser et ajuster le plan afin de rpondre aux changements dans les activits, les
risques, les oprations, les programmes, les systmes et les contrles de lorganisation.
Commentaire IFACI
Le systme de management des risques est lun des lments prendre en considration pour ltablissement de lordre de
priorits des missions. Au pralable, le responsable de laudit interne doit valuer lecacit du processus de management
des risques de lorganisation pour sassurer que le primtre de ce processus recouvre lunivers daudit et que les

IFACI - dcembre 2012

45

informations fournies sont fiables et utiles pour lanalyse des risques quil ralise.
Par ailleurs, le responsable de laudit interne prend en compte dautres donnes :
la date et les rsultats des prcdentes missions ;
les demandes de la direction gnrale, du comit daudit et dautres organes de direction ;
les changements importants intervenus (ou envisags) dans les processus et les activits de lorganisation ;
la composition de lquipe daudit interne, ses comptences et les modifications envisages au niveau des ressources,
etc.
Le plan initial est un contrat (gnralement annuel) avec les organes dirigeants. En ce qui concerne les
ventuelles modifications, les organes dirigeants devront tre sollicits bon escient au regard des enjeux.

2010.A1 Le plan d'audit interne doit s'appuyer sur une valuation des risques
documente et ralise au moins une fois par an. Les points de vue de la direction
gnrale et du Conseil doivent tre pris en compte dans ce processus.
Commentaire IFACI
Le plan daudit ne doit pas rsulter dun simple recensement des activits et des entits de lorganisation.
Le responsable de laudit interne doit avoir une approche mthodique fonde sur des informations factuelles pour dfinir le
contour des missions et hirarchiser les dirents sujets. Il veille conserver la trace des lments qui ont permis daboutir
aux priorits quil dfinit.
2010.A2 Le responsable de laudit interne doit identier et prendre en considration les attentes de la direction gnrale, du Conseil et des autres parties prenantes
concernant les opinions et dautres conclusions de laudit interne.
2010.C1 Lorsqu'on lui propose une mission de conseil, le responsable de l'audit
interne, avant de l'accepter, devrait considrer dans quelle mesure elle est susceptible de crer de la valeur ajoute, d'amliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont t acceptes doivent
tre intgres dans le plan d'audit.

2020 Communication et approbation

MPA 2020-1 :
Communication et
approbation

Le responsable de l'audit interne doit communiquer la direction


gnrale et au Conseil son plan d'audit et ses besoins, pour examen
et approbation, ainsi que tout changement important susceptible d'intervenir en cours
d'exercice. Le responsable de l'audit interne doit galement signaler l'impact de toute limitation de ses ressources.

46

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2030 gestion des ressources

MPA 2030-1 :
Gestion des ressources
Le responsable de l'audit interne doit veiller ce que les ressources
aectes cette activit soient adquates, susantes et mises en uvre de manire ecace pour raliser le plan d'audit approuv.
Interprtation :
On entend par ressources adquates, la combinaison de connaissances, savoir-faire et autres comptences ncessaires la ralisation du plan daudit. On entend par ressources susantes, la quantit
de ressources ncessaires la ralisation du plan daudit. Les ressources sont mises en uvre ecacement quand elles sont utilises de manire optimiser la ralisation du plan daudit.

2040 rgles et procdures


Le responsable de l'audit interne doit tablir des rgles et procdures fournissant un cadre l'activit d'audit interne.

MPA 2040-1 :
Rgles et procdures

Interprtation :
La forme et le contenu des rgles et procdures dpendent de la taille, de la manire dont est structur
laudit interne et de la complexit de ses travaux.
Commentaire IFACI
La complexit des travaux dpend du contexte de la mission (environnement plus ou moins stable, activits rcurrentes ou
non, caractre transverse, novateur). Elle peut galement varier en fonction de la qualit du dispositif de contrle
interne sous-jacent, du niveau de dtail des tests envisags, de la technicit des oprations audites...
2050 Coordination
An dassurer une couverture adquate et dviter les doubles
emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
La coordination des acteurs permet une couverture eciente des risques de lorganisation.
En ayant un rle actif dans cette concertation, le responsable daudit interne se donne les
moyens de mieux atteindre les objectifs qui lui sont assigns.

IFACI - dcembre 2012

MPA 2050-1 :
Coordination
MPA 2050-2 :
Cartographie des
services donnant une
assurance sur les
dispositifs de contrle
et de management des
risques
MPA 2050-3 :
Sappuyer sur les
travaux dautres
prestataires de services
dassurance

47

2060 rapports la direction gnrale et au Conseil

MPA 2060-1 : Rapports


Le responsable de l'audit interne doit rendre compte priodique- la direction gnrale
et au conseil
ment la direction gnrale et au Conseil des missions, des pouvoirs
et des responsabilits de l'audit interne, ainsi que du degr de ralisation du plan daudit.
Il doit plus particulirement rendre compte :
de lexposition aux risques signicatifs (y compris des risques de fraude) et des
contrles correspondants ;
des sujets relatifs au gouvernement dentreprise et ;
de tout autre problme rpondant un besoin ou une demande de la direction
gnrale ou du Conseil.
Interprtation :
La frquence et le contenu de ces rapports sont dtermins lors de discussions avec la direction gnrale et le Conseil et dpendent de limportance des informations communiquer et de lurgence des
actions correctives devant tre entreprises par la direction gnrale et le Conseil.

2070 responsabilit de lorganisation en cas de recours un prestataire externe


pour ses activits daudit interne
Lorsque lactivit daudit interne est ralise par un prestataire de service externe, ce dernier
doit alerter lorganisation quelle reste responsable du maintien dun audit interne ecace.
Interprtation :
Cette responsabilit est dmontre par le programme dassurance et damlioration qualit, lequel
value la conformit avec la Dnition de laudit interne, le Code de dontologie et les Normes.
Commentaire IFACI
Lorsque, des activits d'audit interne sont confies des prestataires externes, le responsable de l'audit interne est la
personne, qui au sein de lorganisation a comme mission principale la surveillance de l'excution du contrat de services et
de la qualit de ces activits. Il rend compte la direction gnrale et au Conseil des activits d'audit interne.
Si les activits daudit interne sont totalement externalises, il convient dtre particulirement vigilant sur les risques
datteinte lindpendance ou lobjectivit (cf. Normes 1110, 1120 et 1130).

48

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2100 Nature du travail


L'audit interne doit valuer les processus de gouvernement d'entreprise, de management des
risques et de contrle, et contribuer leur amlioration sur la base dune approche systmatique
et mthodique.
Commentaire IFACI
Le service daudit labore sa propre mthode dvaluation des processus de gouvernement dentreprise, de management
des risques et de contrle en utilisant des bonnes pratiques identifies dans le Cadre de Rfrence International des
Pratiques Professionnelles de laudit interne (en particulier les Modalits Pratiques dApplication, les guides dapplication et
les prises de position), les publications de lIFACI (cahiers de la recherche, actes de colloques, etc.), les changes avec les
pairs, la veille, etc.
Le processus de contrle vise lensemble du dispositif de contrle interne. Il ne faut pas le restreindre aux procdures ou aux
activits de contrle, mais galement prendre en compte lorganisation, le pilotage et la surveillance du processus qui se
fondent sur une approche par les risques et une diusion fiable de linformation.
2110 gouvernement d'entreprise

MPA 2110-1 :
Gouvernement
dentreprise :
Dfinition

L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son
amlioration. cet eet, il dtermine si le processus rpond aux MPA 2110-2 :
Gouvernement
objectifs suivants :
dentreprise : Relations
promouvoir des rgles d'thique et des valeurs appropries avec les risques et le
contrle interne
au sein de l'organisation ;
garantir une gestion ecace des performances de l'organi- MPA 2110-3 :
Gouvernement
sation, assortie d'une obligation de rendre compte ;
dentreprise :
communiquer aux services concerns de l'organisation les Evaluations
informations relatives aux risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination de leurs activits.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour lapplication de cette Norme.

2110.A1 L'audit interne doit valuer la conception, la mise en uvre et l'ecacit


des objectifs, des programmes et des activits de l'organisation lis l'thique.
2110.A2 Laudit interne doit valuer si la gouvernance des systmes dinformation
de lorganisation soutient la stratgie et les objectifs de lorganisation.

IFACI - dcembre 2012

49

Commentaire IFACI
Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En eet, les systmes
dinformation doivent supporter les objectifs actuels et futurs de lorganisation et contribuer la qualit du contrle interne
(gestion du portefeuille des investissements IT, matrise de la fiabilit et de la disponibilit des informations, etc.).
Laudit interne sappuiera sur des rfrentiels professionnels pour valuer la gouvernance des systmes dinformation (voir
Gouvernance du systme dinformation / IFACI, AFAI, CIGREF (2011)).

2120 management des risques


L'audit interne doit valuer lecacit des processus de management des risques et contribuer leur amlioration.

MPA 2120-1 :
Evaluer la pertinence
des processus de
management des
risques

Interprtation :
MPA 2120-2 :
An de dterminer si les processus de management des risques sont e- Gestion du risque li
lactivit daudit
caces, les auditeurs internes doivent sassurer que :
interne
les objectifs de lorganisation sont cohrents avec sa mission et y
contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun au
sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.
Commentaire IFACI
Afin dvaluer lecacit des processus de management des risques de son organisation, laudit interne sappuie utilement
sur des rfrentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework ou lISO 31000, et tient compte de
la Recommandation de l'Autorit des Marchs Financiers (AMF) sur Les dispositifs de gestion des risques et de contrle
interne : Cadre de Rfrence (juillet 2010).

50

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2120.A1 L'audit interne doit valuer les risques arents au gouvernement d'entreprise, aux oprations et aux systmes d'information de l'organisation au regard
de :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
2120.A2 Laudit interne doit valuer la possibilit de fraude et la manire dont ce
risque est gr par lorganisation.
Commentaire IFACI
Lvaluation de la possibilit doccurrence de fraude ncessite la vrification de la qualit de lenvironnement de contrle, de
la bonne gestion des aspects thiques et de lexistence dune culture dexemplarit.
Nanmoins, il ne faut pas oublier quune situation faible probabilit doccurrence peut avoir des consquences
dramatiques si elle ne se ralise pas. Mme si cela nest pas toujours vident, lauditeur interne doit galement essayer de
rpondre la question du caractre significatif (cf. glossaire) du risque de fraude.
Commentaire IFACI
Sans forcment attendre la planification dune mission spcifique sur le risque de fraude, les auditeurs internes doivent, lors
de leurs missions habituelles, avoir une forte sensibilit sur les problmes de fraude.

2120.C1 Au cours des missions de conseil, les auditeurs internes doivent couvrir
les risques lis aux objectifs de la mission et demeurer vigilants vis--vis de lexistence
de tout autre risque susceptible dtre signicatif.
2120.C2 Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour valuer les processus de management
des risques de l'organisation.
2120.C3 Lorsque les auditeurs internes aident le management dans la conception
et lamlioration des processus de management des risques, ils doivent sabstenir
dassumer une responsabilit oprationnelle en la matire.

IFACI - dcembre 2012

51

2130 Contrle
Laudit interne doit aider lorganisation maintenir un dispositif de
contrle appropri en valuant son ecacit et son ecience et en
encourageant son amlioration continue.

MPA 2130-1 :
Evaluer la pertinence
des processus contrle

Commentaire IFACI
Le dispositif de contrle sentend au sens large de contrle interne. Il ne se limite pas aux activits de contrle (cf.
commentaire de la Norme 2100).
2130.A1 L'audit interne doit valuer la pertinence et l'e- MPA 2130.A1-1 :
cacit du dispositif de contrle choisi pour faire face aux Fiabilit et intgrit de
risques relatifs au gouvernement d'entreprise, aux oprations linformation
et systmes d'information de l'organisation. Cette valuation MPA 2130.A1-2 :
doit porter sur les aspects suivants :
Lvaluation du
latteinte des objectifs stratgiques de lorganisa- dispositif mis en place
par lorganisation pour
tion ;
protger la vie prive
la abilit et l'intgrit des informations nancires et
oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.
2130.C1 Les auditeurs internes doivent utiliser leurs connaissances des dispositifs
de contrle acquises lors de missions de conseil lorsquils valuent les processus de
contrle de lorganisation.

2200 Planification de la mission


Les auditeurs internes doivent concevoir et documenter un plan pour
chaque mission. Ce plan de mission prcise les objectifs, le champ d'intervention, la date et la dure de la mission, ainsi que les ressources alloues.

MPA 2200-1 :
Planification de la
mission
MPA 2200-2 :
Utilisation dune
approche TopDown , fonde sur les
risques, pour identifier
les contrles valuer
dans le cadre dune
mission daudit interne

2201 Considrations relatives la planification


Lors de la planication de la mission, les auditeurs internes doivent prendre en compte :
les objectifs de l'activit soumise l'audit et la manire dont elle est matrise ;
les risques signicatifs lis l'activit, ses objectifs, les ressources mises en uvre et

52

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu un niveau acceptable ;
la pertinence et l'ecacit des processus de gouvernement dentreprise, de management des risques et de contrle de l'activit, en rfrence un cadre ou modle
de contrle appropri ;
les opportunits d'amliorer de manire signicative les processus de gouvernement dentreprise, de management des risques et de contrle de l'activit.
2201.A1 Lorsqu'ils planient une mission pour des tiers extrieurs l'organisation,
les auditeurs internes doivent laborer avec eux un accord crit sur les objectifs et
le champ de la mission, les responsabilits et les attentes respectives, et prciser les
restrictions observer en matire de diusion des rsultats de la mission et d'accs
aux dossiers.
2201.C1 Les auditeurs internes doivent tablir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilits de
chacun et plus gnralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit tre formalis.

2210 objectifs de la mission

MPA 2210-1 :
Objectifs de la mission

Les objectifs doivent tre prciss pour chaque mission.


2210.A1 L'auditeur interne doit procder une valuation
prliminaire des risques lis l'activit soumise l'audit. Les
objectifs de la mission doivent tre dtermins en fonction
des rsultats de cette valuation.

MPA 2210.A1-1 :
Evaluation des risques
dans la planification
de la mission

2210.A2 En dtaillant les objectifs de la mission, les auditeurs internes doivent


tenir compte de la probabilit qu'il existe des erreurs signicatives, des cas de
fraudes ou de non-conformit et dautres risques importants.
2210.A3 Des critres adquats sont ncessaires pour valuer le gouvernement
dentreprise, le management des risques et le dispositif de contrle. Les auditeurs
internes doivent dterminer dans quelle mesure le management et/ou le Conseil
a dni des critres adquats pour apprcier si les objectifs et les buts ont t
atteints. Si ces critres sont adquats, les auditeurs internes doivent les utiliser dans
leur valuation. S'ils sont inadquats, les auditeurs internes doivent travailler avec
le management et/ou le Conseil pour laborer des critres d'valuation appropris.

IFACI - dcembre 2012

53

Commentaire IFACI
Dans la pratique, le Conseil dlgue la direction gnrale la responsabilit de dfinir les critres adquats
dvaluation et den rendre compte.
Dans lesprit de la norme 2600, lorsque les critres dvaluation sont inadquats, il y a un risque de non
matrise des processus quil convient de discuter avec les managers concerns puis avec la direction gnrale
et enfin avec le Conseil, qui intervient en dernier ressort pour les carts significatifs.

2210.C1 Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrle dans la
limite convenue avec le client.
2210.C2 Les objectifs de la mission de conseil doivent tre en cohrence avec les
valeurs, la stratgie et les objectifs de l'organisation.

2220 Champ de la mission


Le champ doit tre susant pour atteindre les objectifs de la mission.
2220.A1 Le champ de la mission doit couvrir les systmes, les documents, le
personnel et les biens concerns, y compris ceux qui se trouvent sous le contrle
de tiers.
2220.A2 Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes
opportunits en termes de conseil, un accord crit devrait tre conclu pour prciser
les objectifs et le champ de la mission de conseil, les responsabilits et les attentes
respectives. Les rsultats de la mission de conseil sont communiqus conformment
aux Normes applicables ces missions.
2220.C1 Quand ils eectuent une mission de conseil, les auditeurs internes
doivent s'assurer que le champ d'intervention permet de rpondre aux objectifs
convenus. Si, en cours de mission, les auditeurs internes mettent des rserves sur
ce primtre, ils doivent en discuter avec le client donneur d'ordre an de dcider
s'il y a lieu de poursuivre la mission.
2220.C2 Au cours des missions de conseil, les auditeurs internes doivent examiner
les dispositifs de contrle relatifs aux objectifs de la mission et tre attentifs l'existence de tout problme de contrle signicatif.

54

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2230 ressources aectes la mission

MPA 2230-1 :
Les auditeurs internes doivent dterminer les ressources appro- Ressources aectes
la mission
pries et susantes pour atteindre les objectifs de la mission. Ils s'appuient sur une valuation de la nature et de la complexit de chaque mission, des
contraintes de temps et des ressources disponibles.

2240 Programme de travail de la mission


Les auditeurs internes doivent laborer et documenter un
programme de travail permettant d'atteindre les objectifs de la
mission.

MPA 2240-1 :
Programme de travail
de la mission

2240.A1 Le programme de travail doit faire rfrence aux procdures appliquer


pour identier, analyser, valuer et documenter les informations lors de la mission.
Le programme de travail doit tre approuv avant sa mise en uvre. Les ajustements ventuels doivent tre approuvs rapidement.
2240.C1 Le programme de travail d'une mission de conseil peut varier, dans sa
forme et son contenu, selon la nature de la mission.

2300 Accomplissement de la mission


Les auditeurs internes doivent identier, analyser, valuer et documenter
les informations ncessaires pour atteindre les objectifs de la mission.

MPA 2300-1 :
Utilisation
dinformations
caractre personnel
dans la conduite dune
mission

2310 Identification des informations


Les auditeurs internes doivent identier les informations susantes, ables, pertinentes et
utiles pour atteindre les objectifs de la mission.
Interprtation :
Une information susante est factuelle, adquate et probante, de sorte quune personne prudente
et informe, pourrait parvenir aux mmes conclusions que lauditeur. Une information able est une
information concluante et facilement accessible par lutilisation de techniques daudit appropries.
Une information pertinente conforte les constatations et recommandations de laudit, et rpond
aux objectifs de la mission. Une information utile aide lorganisation atteindre ses objectifs.

IFACI - dcembre 2012

55

Commentaire IFACI
Pour dfinir la fiabilit dune information, l'interprtation met laccent sur son accessibilit. En eet, une information
dicilement accessible est une information qu'il va falloir reconstituer partir de calculs, d'algorithmes ou dautres
raisonnements reposant souvent sur des hypothses, d'o une grande dicult valuer une information de ce type sur
des critres comme lexactitude ou lexhaustivit. De plus, le rapport cot-avantage peut limiter de telles recherches.
Nanmoins, la facilit daccs nest pas un critre susant. Si une information est accessible, il restera prouver sa fiabilit
en sassurant quelle peut tre vrifie par dautres personnes et en validant lintgrit de la source dinformation.
2320 Analyse et valuation
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des analyses et valuations appropries.

2330 Documentation des informations


Les auditeurs internes doivent documenter les informations pertinentes pour tayer les conclusions et les rsultats de la mission.
2330.A1 Le responsable de l'audit interne doit contrler
l'accs aux dossiers de la mission. Il doit, si ncessaire, obtenir
l'accord de la direction gnrale et/ou l'avis d'un juriste avant
de communiquer ces dossiers des parties extrieures.

2330.A2 Le responsable de l'audit interne doit arrter des


rgles en matire de conservation des dossiers de la mission
et ce, quelque soit le support darchivage utilis. Ces rgles
doivent tre cohrentes avec les orientations dnies par l'organisation et avec toute exigence rglementaire ou autre.

MPA 2320-1 :
Procdures analytiques
MPA 2320-2 :
Lanalyse causale
MPA 2330-1 :
Documentation des
informations
MPA 2330.A1-1 :
Contrle des dossiers
daudit
MPA 2330.A1-2 :
Autorisation daccs
aux dossiers de la
mission
MPA 2330.A2-1 :
Conservation des
dossiers

2330.C1 Le responsable de l'audit interne doit dnir des procdures concernant


la protection et la conservation des dossiers de la mission de conseil ainsi que leur
diusion l'intrieur et l'extrieur de l'organisation. Ces procdures doivent tre
cohrentes avec les orientations dnies par l'organisation et avec toute exigence
rglementaire ou autre approprie.

56

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2340 Supervision de la mission


Les missions doivent faire l'objet d'une supervision approprie an
de garantir que les objectifs sont atteints, la qualit assure et le
dveloppement professionnel du personnel eectu.

MPA 2340-1 :
Supervision de la
mission

Interprtation :
Ltendue de la supervision est fonction de la comptence et de lexprience des auditeurs internes,
ainsi que de la complexit de la mission. Le responsable de l'audit interne a lentire responsabilit
de la supervision des missions qui sont ralises par ou pour le compte du service daudit interne,
mais il peut dsigner dautres membres de lquipe daudit interne possdant lexprience et la comptence ncessaires pour raliser cette supervision. La preuve de la supervision doit tre documente
et conserve dans les papiers de travail.

2400 Communication des rsultats


Les auditeurs internes doivent communiquer les rsultats de la mission.

2410 Contenu de la communication


La communication doit inclure les objectifs et le champ de la
mission, ainsi que les conclusions, recommandations et plans d'actions.

MPA 2400-1 :
Aspects lgaux de la
communication des
rsultats

MPA 2410-1 :
Contenu de la
communication

2410.A1 La communication nale des rsultats de la mission doit, lorsqu'il y a lieu,


contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsquune
opinion ou une conclusion sont mises, elles doivent prendre en compte les
attentes de la direction gnrale, du Conseil et des autres parties prenantes. Elles
doivent galement sappuyer sur une information susante, able, pertinente et
utile.
Interprtation :
Les opinions au niveau dune mission peuvent tre formules sous forme dchelle de notation, de
conclusions ou de toute autre description des rsultats.
Une telle mission peut tre lie aux contrles dun processus, de risques ou dune unit oprationnelle
spcique. La formulation de ces opinions exige de prendre en compte les rsultats de la mission et
leur caractre signicatif.

IFACI - dcembre 2012

57

Commentaire IFACI
LIIA a publi un guide pratique Formuler et exprimer une opinion daudit interne .
Le rfrentiel de contrle interne constitue un lment essentiel lmission pertinente dune opinion daudit. Lorganisation
devrait sappuyer sur des cadres de rfrence reconnus (COSO, AMF, etc.) pour tablir son rfrentiel de contrle interne. Il
recense notamment les activits de contrle prioritaires qui permettent de matriser les risques significatifs du domaine
audit. Lopinion de laudit interne portera notamment sur la conception et le fonctionnement de ces activits de contrle.

2410.A2 Les auditeurs internes sont encourags faire tat des forces releves,
lors de la communication des rsultats de la mission.
2410.A3 Lorsque les rsultats de la mission sont communiqus des destinataires
ne faisant pas partie de l'organisation, les documents communiqus doivent prciser les restrictions observer en matire de diusion et d'exploitation des rsultats.
2410.C1 La communication sur l'avancement et les rsultats d'une mission de
conseil variera dans sa forme et son contenu en fonction de la nature de la mission
et des besoins du client donneur d'ordre.

2420 qualit de la communication


La communication doit tre exacte, objective, claire, concise,
constructive, complte et mise en temps utile.

MPA 2420-1 :
Qualit de la
communication

Interprtation :
Une communication exacte ne contient pas derreur ou de dformation, et est dle aux faits sousjacents. Une communication objective est juste, impartiale, non biaise et rsulte dune valuation
quitable et mesure de tous les faits et circonstances pertinents. Une communication claire est facilement comprhensible et logique. Elle vite lutilisation dun langage excessivement technique et
fournit toute linformation signicative et pertinente. Une communication concise va droit lessentiel
et vite tout dtail superu, tout dveloppement non ncessaire, toute redondance ou verbiage. Une
communication constructive aide laudit et lorganisation, et conduit des amliorations lorsquelles
sont ncessaires. Une communication complte n'omet rien qui soit essentiel aux destinataires cibles.
Elle intgre toute linformation signicative et pertinente, ainsi que les observations permettant
dtayer les recommandations et conclusions. Une communication mise en temps utile est opportune et propos, elle permet au management de prendre les actions correctives appropries en fonction du caractre signicatif de la problmatique.

58

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2421 Erreurs et omissions


Si une communication nale contient une erreur ou une omission signicative, le responsable de l'audit interne doit faire parvenir les informations corriges tous les destinataires
de la version initiale.

2430 utilisation de la mention conduit conformment aux Normes internationales pour la pratique professionnelle de laudit interne
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont
conduites conformment aux Normes internationales pour la pratique professionnelle
de laudit interne seulement si les rsultats du programme dassurance et damlioration
qualit le dmontrent.
Commentaire IFACI
Mme si la mention de la conformit concerne une mission, les auditeurs internes devront au pralable sassurer de la
conformit de lensemble de lactivit daudit interne.

2431 Indication de non-conformit


Lorsqu'une mission donne n'a pas t conduite conformment au Code de Dontologie
ou aux Normes, la communication des rsultats doit indiquer :
les principes ou les rgles de conduite du Code de Dontologie, ou les Normes avec
lesquelles la mission na pas t en conformit ;
la ou les raisons de la non-conformit ;
l'incidence de la non-conformit sur la mission et sur les rsultats communiqus.
Commentaire IFACI
Cette Norme met laccent sur le respect du Code de Dontologie. Le responsable daudit interne doit encourager
linstauration dchanges rguliers avec les auditeurs internes pour quils puissent exprimer les risques de non-conformit
pendant le droulement de la mission.

IFACI - dcembre 2012

59

2440 Diusion des rsultats


Le responsable de l'audit interne doit diuser les rsultats aux destinataires appropris.

MPA 2440-1 : Diusion


des rsultats de la
mission

MPA 2440-2 :
Communication
Interprtation :
dinformations
Le responsable de l'audit interne a la responsabilit de la revue et de lap- sensibles dans ou en
probation du rapport dnitif avant quil ne soit mis, et dcide qui et de dehors de la ligne
hirarchique
quelle manire il sera dius.
Lorsque le responsable de laudit interne dlgue ces fonctions, il/elle en garde lentire responsabilit.
Commentaire IFACI
Le responsable de l'audit interne doit dfinir, a priori, des rgles homognes de diusion et les modalits
daccs aux rapports daudit.
Ces rgles prtablies pourront tenir compte de la complexit et de la sensibilit de la mission. Pour chaque
catgorie de mission des destinataires habituels pourront tre identifis de mme que les modalits de
gestion des diusions ou des demandes daccs exceptionnelles.

2440-A1 Le responsable de l'audit interne est charg de communiquer les rsultats dnitifs aux destinataires mme de garantir que ces rsultats recevront l'attention ncessaire.
2440-A2 Sauf indication contraire de la loi, de la rglemen- MPA 2440.A2-1 :
tation ou des statuts, le responsable de l'audit doit accomplir Diusion des rsultats
daudit en dehors de
les tches suivantes avant de diuser les rsultats des desti- lorganisation
nataires ne faisant pas partie de l'organisation :
valuer les risques potentiels pour l'organisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diusion en imposant des restrictions quant l'utilisation des
rsultats.
2440-C1 Le responsable de l'audit interne est charg de communiquer les rsultats dnitifs des missions de conseil son client donneur d'ordre.
2440-C2 Au cours des missions de conseil, il peut arriver que des problmes relatifs aux processus de gouvernement d'entreprise, de management des risques et
de contrle soient identis. Chaque fois que ces problmes sont signicatifs pour
l'organisation, ils doivent tre communiqus la direction gnrale et au Conseil.
60

IFACI - dcembre 2012

Dispositions
obligatoires

Normes de fonctionnement

2450 les opinions globales


Lorsquune opinion globale est mise, elle doit prendre en compte les attentes de la direction gnrale, du Conseil et des autres parties prenantes. Elle doit galement sappuyer sur
une information susante, able, pertinente et utile.
Interprtation :
La communication prcisera :
le primtre, y compris la priode concerne par lopinion ;
les limitations de primtre ;
le fait de prendre en compte dautres travaux connexes, y compris ceux dautres services
donnant une assurance sur la matrise des activits ;
le rfrentiel des risques ou de contrle interne ou tout autre critre utilis pour formuler lopinion globale ;
lopinion globale, lavis ou la conclusion donne.
Les causes de la formulation dune opinion globale dfavorable doivent tre explicites.
Commentaire IFACI
LIIA a publi un guide pratique Formuler et exprimer une opinion daudit interne .
Le rfrentiel de contrle interne constitue un lment essentiel lmission pertinente dune opinion daudit. Lorganisation
devrait sappuyer sur des cadres de rfrence reconnus (COSO, AMF, etc.) pour tablir son rfrentiel de contrle interne. Il
recense notamment les activits de contrle prioritaires qui permettent de matriser les risques significatifs du domaine
audit. Lopinion de laudit interne portera notamment sur la conception et le fonctionnement de ces activits de contrle.

2500 Surveillance des actions de progrs


Le responsable de l'audit interne doit mettre en place et tenir jour un
systme permettant de surveiller la suite donne aux rsultats communiqus au management.

MPA 2500-1 :
Surveillance des
actions de progrs

2500-A1 Le responsable de l'audit interne doit mettre en


MPA 2500.A1-1 :
place un processus de suivi permettant de surveiller et de Processus de suivi de
garantir que des mesures ont t eectivement mises en la mission
uvre par le management ou que la direction gnrale a
accept de prendre le risque de ne rien faire.

IFACI - dcembre 2012

61

2500-C1 L'audit interne doit surveiller la suite donne aux rsultats des missions
de conseil conformment l'accord pass avec le client donneur d'ordre.

2600 Communication relative lacceptation des risques


Lorsque le responsable de l'audit interne conclut que le management a accept un niveau de
risque qui pourrait s'avrer inacceptable pour l'organisation, il doit examiner la question avec la
direction gnrale. Si le responsable de laudit interne estime que le problme na pas t
rsolu, il doit soumettre la question au Conseil.
Interprtation :
Lidentification du niveau de risque accept par le management peut rsulter dune mission
dassurance, dune mission de conseil, du suivi des plans dactions du management la suite
de missions daudit interne antrieures, ou dautres moyens. La rponse au risque ne relve pas
du responsable daudit interne.
Commentaire IFACI
Cette Norme devra tre applique avec sagesse et prudence. Sa mise en uvre devrait tre facilite si le responsable de
laudit interne entretient une relation forte et suivie avec le comit daudit interne et son Prsident. Mais les rgles du jeu
devront tre trs claires pour tous les acteurs et tre explicites tant dans la charte daudit interne que dans celle du comit
daudit.
Le responsable de l'audit interne doit notamment agir en fonction de lapptence au risque et des seuils de
tolrance dfinis par lorganisation ou de son opinion sur la qualit des dispositifs de traitement des risques
en place.

62

IFACI - dcembre 2012

Dispositions
obligatoires

glossaire

gloSSAIrE

IFACI - dcembre 2012

63

64

IFACI - dcembre 2012

Dispositions
obligatoires

glossaire

glossaire
Activits d'assurance
II s'agit d'un examen objectif d'lments probants, eectu en vue de fournir l'organisation une
valuation indpendante des processus de gouvernement d'entreprise, de management des
risques et de contrle. Par exemple, des audits nanciers, de performance, de conformit, de scurit des systmes et de due diligence.

Activit d'audit interne


Assure par un service, une division, une quipe de consultants ou tout autre praticien, c'est une
activit indpendante et objective qui donne une organisation une assurance sur le degr de
matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la
valeur ajoute. L'activit d'audit interne aide cette organisation atteindre ses objectifs en valuant,
par une approche systmatique et mthodique, ses processus de gouvernement d'entreprise, de
management des risques et de contrle, en faisant des propositions pour renforcer leur ecacit.

Activits de conseil
Conseils et services y arents rendus au client donneur d'ordre, dont la nature et le champ sont
convenus au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et
d'amliorer les processus de gouvernement d'entreprise, de management des risques et de
contrle d'une organisation sans que l'auditeur interne n'assume aucune responsabilit de management. Quelques exemples : avis, conseil, assistance et formation.

Apptence pour le risque


Niveau de risque quune organisation est prte accepter.

Atteinte
Parmi les atteintes lindpendance du service daudit interne et l'objectivit individuelle peuvent
gurer le conit d'intrts personnel, les limitations du champ d'un audit, les restrictions d'accs
aux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limitations nancires.

IFACI - dcembre 2012

65

Cadre de rfrence international des pratiques professionnelles (CrIPP)


Cadre de rfrence qui structure les lignes directrices dictes par lIIA. Ces lignes directrices sont
soient (1) obligatoires soient (2) approuves et fortement recommandes.

Caractre significatif
Niveau dimportance relative dun vnement, dans un contexte donn et selon des facteurs dapprciation qualitatifs et quantitatifs tels que lampleur, la nature, leet, la pertinence et limpact de
cet vnement. Les auditeurs internes font preuve de jugement professionnel lorsquils apprcient
le caractre signicatif des vnements selon des objectifs pertinents.

Charte
La charte d'audit interne est un document ociel qui prcise la mission, les pouvoirs et les responsabilits de cette activit. La charte dnit la position de l'audit interne dans l'organisation; autorise
l'accs aux documents, aux personnes et aux biens, ncessaires la ralisation des missions ; dnit
le champ des activits d'audit interne. Lapprobation nale de la charte daudit interne relve de
la responsabilit du Conseil.

Code de Dontologie
Le Code de Dontologie de l'Institut comprend les principes applicables la profession et la
pratique de l'audit interne, ainsi que les rgles de conduite dcrivant le comportement attendu
des auditeurs internes. Le Code de Dontologie s'applique la fois aux personnes et aux organismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de
l'thique au sein de la profession d'audit interne.

Conflit d'intrts
Toute relation qui n'est pas ou ne semble pas tre dans l'intrt de l'organisation. Un conit d'intrts peut nuire la capacit d'une personne assumer de faon objective ses devoirs et responsabilits.

Conformit
L'adhsion aux rgles, plans, procdures, lois, rglements, contrats ou autres exigences.

66

IFACI - dcembre 2012

Dispositions
obligatoires

glossaire

Conseil
Le niveau le plus lev des organes de gouvernance, responsable du pilotage, et/ou de la
surveillance des activits et de la gestion de l'organisation. Habituellement, le Conseil (par
exemple, un conseil dadministration, un conseil de surveillance ou un organe dlibrant)
comprend des administrateurs indpendants. Si une telle instance nexiste pas, le terme
Conseil , utilis dans les Normes, peut dsigner le dirigeant de lorganisation.
Le terme Conseil peut renvoyer au comit daudit auquel lorgane de gouvernance a dlgu certaines fonctions.

Contrle (dispositifs de contrle)


Toute mesure prise par le management, le Conseil et d'autres parties an de grer les risques et
d'accrotre la probabilit que les buts et objectifs xs seront atteints. Les managers planient,
organisent et dirigent la mise en uvre de mesures susantes pour donner une assurance raisonnable que les buts et objectifs seront atteints.
Commentaire IFACI
Cette dfinition montre que le terme contrle ne doit pas tre restreint la notion dactivits de contrle. Il concerne
lensemble du dispositif de contrle interne qui comprend un ensemble de moyens, de comportements, de procdures
et dactions adapts aux caractristiques propres de chaque socit qui :
contribue la matrise des activits, lecacit de ses oprations et lutilisation eciente de ses ressources, et
doit lui permettre de prendre en compte de manire approprie les risques significatifs, quils soient oprationnels,
financiers ou de conformit. .
Cette dfinition du cadre de rfrence de lAMF prcise galement que le contrle interne ne se limite donc pas
lensemble des procdures ni aux seuls processus comptables et financiers .

Contrle des technologies de linformation


Contrles qui viennent en appui de la gestion et de la gouvernance de lorganisation et qui
comportent des contrles gnraux et des contrles techniques sur les infrastructures des technologies de linformation dans lesquelles on retrouve les applications, les informations, les installations et les personnes.

Contrle satisfaisant
C'est le cas lorsque le management s'est organis de manire apporter une assurance raisonnable que les risques que court l'organisation, ont t grs ecacement et que les buts et objectifs
de l'organisation seront atteints d'une manire ecace et conomique.

IFACI - dcembre 2012

67

Devrait
Traduction de Should, utilise dans les normes lorsque le respect de la disposition est recommand sauf si, en faisant preuve de jugement professionnel, des adaptations sont justies par
les circonstances.

Doit
Traduction de must, utilise dans les Normes pour indiquer une exigence imprative.

Environnement de contrle
L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de)
contrle dans l'organisation. L'environnement de contrle constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du systme de contrle interne. L'environnement
de contrle englobe les lments suivants :
intgrit et valeurs thiques ;
philosophie et style de direction ;
structure organisationnelle ;
attribution des pouvoirs et responsabilits ;
politiques et pratiques relatives aux ressources humaines ;
comptence du personnel.

Fraude
Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la conance sans
quil y ait eu violence ou menace de violence. Les fraudes sont perptres par des personnes et
des organisations an d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage
personnel ou commercial.

gouvernance des technologies de linformation


La gouvernance des technologies de linformation comprend la direction, les structures organisationnelles et les processus qui garantissent que les technologies de linformation soutiennent la
stratgie et les objectifs de lorganisation.

68

IFACI - dcembre 2012

Dispositions
obligatoires

glossaire

gouvernement d'entreprise
Le dispositif comprenant les processus et les structures mis en place par le Conseil an d'informer,
de diriger, de grer et de piloter les activits de l'organisation en vue de raliser ses objectifs.
Commentaire IFACI
Cette dfinition est dirente dautres approches communment admises. Par exemple, selon les principes de lOCDE, le
gouvernement dentreprise :
concerne lensemble des relations entre la direction dune entreprise, son conseil dadministration, ses actionnaires et
autres parties prenantes ;
fournit le cadre au sein duquel les objectifs de lentreprise sont fixs ;
dfinit les moyens de les atteindre et de surveiller les performances.
Ces principes proposent une vision plus large des dirents acteurs et parties prenantes concernes (direction gnrale,
conseil, actionnaires, rgulateurs, associations).
Par ailleurs, le rle confr au Conseil nest pas universel. Par exemple, en France, le Conseil na pas la responsabilit directe
de mettre en place les processus et les structures ; il a un rle de surveillance des dispositifs dont la mise en uvre est du
ressort de la direction gnrale.

Indpendance
Lindpendance cest la capacit de laudit interne assumer, de manire impartiale, ses responsabilits.

management des risques


Processus visant identier, valuer, grer et piloter les vnements ventuels et les situations
pour fournir une assurance raisonnable quant la ralisation des objectifs de l'organisation.

mission
Une mission, tche ou activit de rvision particulires telles qu'un audit interne, une revue dautovaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de
multiples tches ou activits menes pour atteindre un ensemble dtermin d'objectifs qui s'y
rapportent.

IFACI - dcembre 2012

69

Norme
Document d'ordre professionnel promulgu par the International Internal Auditing Standards
Board (Comit interne l'IIA charg d'laborer les Normes) an de dnir les rgles applicables
un large ventail d'activits d'audit interne et utilisables pour l'valuation de ses performances.

objectifs de la mission
Enoncs gnraux labors par les auditeurs internes et dnissant ce qu'il est prvu de raliser
pendant la mission.

objectivit
Lobjectivit est une attitude impartiale qui permet aux auditeurs internes daccomplir leurs
missions de telle sorte quils soient certains de la qualit de leurs travaux, mens sans compromis.
Lobjectivit implique que les auditeurs internes ne subordonnent pas leur propre jugement
celui dautres personnes.

Opinion au niveau dune mission


Lchelle de notation, la conclusion et/ou toute autre description des rsultats dune mission
daudit interne donne, relative aux lments rentrant dans le cadre des objectifs et du primtre de la mission.

Opinion globale
Les chelles de notation, les conclusions et/ou toute autre description des rsultats dlivrs
par le responsable de laudit interne, un niveau global, et concernant les processus de
gouvernement dentreprise, de management des risques et/ou de contrle de lorganisation.
Une opinion globale est le jugement professionnel du responsable de laudit interne, fonde
sur les rsultats d'un certain nombre de missions individuelles et sur d'autres activits dans
un laps de temps prcis.

Prestataire externe
Une personne ou une entreprise, extrieure lorganisation, qui possde des connaissances, un
savoir-faire et une exprience spciques dans une discipline donne.

70

IFACI - dcembre 2012

Dispositions
obligatoires

glossaire

Processus de contrle
Les rgles, procdures et activits (aussi bien manuelles quautomatises) faisant partie d'un
cadre de contrle interne, conues et mises en uvre pour sassurer que les risques sont contenus
dans les limites que lorganisation est dispose accepter.

Programme de travail de la mission


Un document numrant les procdures mettre en uvre, conu pour raliser le plan de mission.

responsable de l'audit interne


Responsable de laudit interne dsigne une personne, occupant un poste hirarchique de haut
niveau, qui a la responsabilit de diriger ecacement lactivit daudit interne conformment la
charte daudit interne, la dnition de laudit interne, au Code de Dontologie et aux Normes.
Le responsable de laudit interne ou des membres de lquipe dencadrement de laudit interne
devront disposer des certications et des qualications professionnelles appropries. Lintitul
exact du poste de responsable de laudit interne varie selon les organisations.
Commentaire IFACI
Le responsable de laudit interne est un salari de lorganisation.
Lorsque, des activits d'audit interne sont confies des prestataires externes, le responsable de l'audit interne est la
personne, qui au sein de lorganisation, a comme mission principale la surveillance de l'excution du contrat de services et
de la qualit de ces activits. Il rend compte la direction gnrale et au Conseil des activits d'audit interne.

risque
Possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le
risque se mesure en termes de consquences et de probabilit.

techniques daudit informatises


Tout outil daudit automatis tel que les logiciels daudit gnraliss, les gnrateurs de donnes
de test, les programmes daudit informatiss et les utilitaires daudit spcialiss et les techniques
daudit assistes par ordinateur (CAATs).

IFACI - dcembre 2012

71

Valeur ajoute
Le service daudit interne apporte de la valeur ajoute lorganisation (et ses parties prenantes)
lorsquil fournit une assurance objective et pertinente et quil contribue lecience et lecacit
des processus de gouvernement dentreprise, de management des risques et de contrle.

72

IFACI - dcembre 2012

modalits Pratiques dApplication

moDAlItS PrAtIquES
DAPPlICAtIoN

IFACI - dcembre 2012

73

74

IFACI - dcembre 2012

MPA 1000

modalits Pratiques dApplication

mPA SrIE 1000


mISSIoN, PouVoIrS Et rESPoNSAbIlItS

IFACI - dcembre 2012

75

76

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1000

MPA 1000-1
Charte daudit interne
Principale Norme de rfrence

1000 mission, pouvoirs et responsabilits


La mission, les pouvoirs et les responsabilits de l'audit interne doivent tre formellement dnis
dans une charte daudit interne, tre cohrents avec la dnition de laudit interne, le Code de
Dontologie ainsi quavec les Normes. Le responsable de laudit interne doit revoir priodiquement la charte daudit interne et la soumettre lapprobation de la direction gnrale et du
Conseil.
Interprtation :
La charte d'audit interne est un document ociel qui prcise la mission, les pouvoirs et les responsabilits de cette activit. La charte dnit la position de l'audit interne dans l'organisation y compris
la nature de la relation fonctionnelle entre le responsable de laudit interne et le Conseil ; autorise
l'accs aux documents, aux personnes et aux biens, ncessaires la ralisation des missions; dnit
le champ des activits d'audit interne. Lapprobation nale de la charte daudit interne relve de la
responsabilit du Conseil.

1.

Lexistence dune charte daudit interne formalise est essentielle pour la gestion du service
daudit interne. La charte est un document ociel soumis pour avis et acceptation la direction gnrale, et approuve par le comit daudit ou le Conseil. Il prcise le rle du responsable daudit interne et facilite ainsi lvaluation priodique de la pertinence de sa mission,
de ses pouvoirs et de ses responsabilits. Son approbation est consigne dans les procsverbaux du Conseil. Il facilite en outre lvaluation priodique de la pertinence de la mission,
des pouvoirs et des responsabilits de laudit interne, prcisant ainsi le rle de laudit interne.
En cas dinterrogation, la charte est la rfrence crite ocielle de l'accord pass avec la direction gnrale et le Conseil sur le rle et les responsabilits du service daudit interne de lorganisation.

2.

Le responsable de l'audit interne value priodiquement si la mission, les pouvoirs, et les


responsabilits dnis dans la charte permettent toujours au service daudit interne datteindre ses objectifs. Il est galement charg de communiquer le rsultat de cette valuation
priodique la direction gnrale et au Conseil.

IFACI - dcembre 2012

77

78

IFACI - dcembre 2012

MPA 1100

modalits Pratiques dApplication

mPA SrIE 1100


INDPENDANCE Et objECtIVIt

IFACI - dcembre 2012

79

80

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1110-1
Indpendance dans lorganisation

MPA 1100

Principale Norme de rfrence

1110 Indpendance dans l'organisation


Le responsable de l'audit interne doit relever dun niveau hirarchique susant au sein de lorganisation pour permettre au service daudit interne dexercer ses responsabilits. Le responsable
de laudit interne doit conrmer au Conseil, au moins annuellement, lindpendance de laudit
interne au sein de lorganisation.
Interprtation :
Lindpendance au sein de lorganisation est atteinte lorsque le responsable de laudit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
approuve la charte daudit interne ;
approuve le plan daudit interne fond sur lapproche par les risques ;
approuve le budget et les ressources prvisionnels de laudit interne ;
soit destinataire des informations adresses par le responsable daudit relatives la ralisation du plan daudit ou de tout autre sujet arent laudit interne ;
approuve les dcisions lies la nomination et la rvocation du responsable de laudit
interne ;
approuve la rmunration du responsable de laudit interne ;
demande des informations pertinentes au management et au responsable de laudit interne
pour dterminer ladquation du primtre et des ressources de laudit interne.

1.

Le soutien de la direction gnrale et du Conseil aide laudit interne obtenir la coopration


des audits et exercer son activit sans entrave.

2.

Pour que le service daudit interne puisse tre indpendant, le responsable de l'audit interne
est fonctionnellement rattach au Conseil et dpend administrativement ou hirarchiquement du Directeur Gnral. Il est ncessaire que le responsable de laudit interne dpende
au moins dune personne de lorganisation ayant une autorit susante pour promouvoir
son indpendance, et pour lui garantir un large champ dintervention, une attention adquate
aux communications faites dans le cadre des missions, ainsi que des actions appropries par
rapport aux recommandations mises.

IFACI - dcembre 2012

81

3.

4.

Le rattachement fonctionnel au Conseil implique quil :


approuve la charte de laudit interne ;
approuve lvaluation des risques eectue par laudit interne et le plan daudit correspondant ;
reoive des informations de la part du responsable de laudit interne propos des rsultats des travaux daudit interne ou de tout autre point quil estime ncessaire de
communiquer, y compris lors de runions prives sans la prsence des dirigeants, y
compris la conrmation annuelle de lindpendance de laudit interne ;
approuve toutes les dcisions relatives lvaluation de la performance, la nomination
ou au remplacement du responsable de laudit interne ;
approuve la rmunration annuelle et les augmentations de salaire du responsable de
laudit interne ;
senquiert, auprs de la direction et du responsable de laudit interne, dventuelles limitations du champ dintervention ou du budget, susceptibles dempcher laudit interne
de mener bien ses missions.
Le rattachement hirarchique permet de faciliter les activits courantes de laudit interne. En
rgle gnrale, il porte sur :
ltablissement des budgets et la comptabilit de gestion ;
la gestion des ressources humaines, notamment lvaluation des performances et les
rmunrations du personnel ;
les communications internes et les ux dinformation ;
la gestion des rgles et procdures de laudit interne.

Commentaire IFACI
En ce qui concerne le rattachement du responsable de laudit interne, lIFACI et lIFA recommande, dans leur prise de
position :
que les relations troites et rgulire avec le comit daudit soient dfinies et
que laudit interne soit claiement rattach hirarchiquement la direction gnrale.
Dans le contexte franais, ce lien hirarchique est primordial. Le responsable de laudit interne pourra notamment sy rfrer
pour la mise en uvre du plan daudit et le rglement de conflits avec les audits. Outre les activits cits au 4 de la MPA,
la direction gnrale est directement concerne par les sujets abords dans le cadre du rattachement fonctionnel,
mentionns au 3.
De plus, lIFA prconise que le comit daudit soit impliqu en amont dans lexamen du plan daudit interne afin
dapprcier le niveau de couverture des risques majeurs par les activits daudit et de prendre connaissance des
domaines pas ou insusamment couverts, en vue de recommander dventuels complments de travaux ou de
ressources de laudit interne.
Il est galement essentiel que le comit daudit prenne connaissance de lvaluation des processus de gouvernement
dentreprise, de management des risques et de contrle interne fonde sur la synthse des rapports de laudit interne
et sassure du suivi adquat par la direction gnrale des recommandations formules par laudit interne.
Enfin, le comit daudit prend part la dsignation et lvaluation du directeur de laudit interne (cf. Comits
daudit : 100 Bonnes pratiques ).

82

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1111-1
Relation avec le Conseil

MPA 1100

Principale Norme de rfrence

1111 relation directe avec le Conseil


Le responsable de laudit interne doit pouvoir communiquer et dialoguer directement avec le
Conseil.

1.

Il y a communication directe lorsque le responsable de laudit interne assiste et participe


rgulirement aux runions du Conseil portant sur les responsabilits de supervision du
Conseil en matire d'audit, de communication nancire, de gouvernance et de contrle. La
prsence et la participation du responsable de laudit interne ces runions lui permettent
de se tenir inform de la stratgie et projets oprationnels, et de relever, en amont, les problmatiques lies aux risques majeurs, aux systmes, aux procdures, ou au contrle. La prsence
ces runions constitue galement une opportunit pour changer des informations relatives aux activits et aux plans daudit et pour aborder tout autre sujet dintrt commun.

Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour lapplication de cette Modalit
Pratique dApplication.

2.

Il y a galement communication et relation directe lorsque le responsable de laudit interne


rencontre, au moins une fois par an, le Conseil en tte tte.

IFACI - dcembre 2012

83

MPA 1120-1
Objectivit individuelle
Principale Norme de rfrence

1120 objectivit individuelle


Les auditeurs internes doivent avoir une attitude impartiale et dpourvue de prjugs, et viter
tout conit d'intrt.
Interprtation :
Est considre comme un conit dintrt, une situation dans laquelle un auditeur interne, qui jouit
dune position de conance, a un intrt personnel ou professionnel venant en concurrence avec
ses devoirs et responsabilits. De tels intrts peuvent empcher lauditeur dexercer ses responsabilits de faon impartiale. Un conit dintrt peut exister mme si aucun acte contraire lthique
ou malhonnte na t commis. Un conit dintrt peut crer une situation susceptible dentamer
la conance en lauditeur interne, vis--vis du service daudit interne et en la profession. Un conit
dintrt peut compromettre la capacit dun individu conduire ses activits et exercer ses responsabilits de manire objective.

1.

Lobjectivit individuelle ncessite que les auditeurs internes ralisent leurs missions de telle
manire quils aient sincrement conance dans le rsultat de leur travail et dans le fait quaucune concession signicative nait t faite en matire de qualit. Les auditeurs internes ne
doivent pas se trouver placs dans des situations qui porteraient atteinte leur capacit
porter des jugements professionnels objectifs.

2.

Lobjectivit individuelle ncessite que le responsable de l'audit interne organise une aectation des auditeurs de manire prvenir les conits dintrt potentiels ou rels ainsi que
les partis pris. Il sinforme priodiquement auprs des auditeurs propos des conits dintrt
ou des partis pris et le cas chant, instaure une rotation rgulire des auditeurs internes au
sein de lquipe.

3.

La revue des rsultats de laudit avant leur diusion permet de fournir une assurance raisonnable que le travail a t ralis avec objectivit.

4.

Lobjectivit de lauditeur interne nest pas compromise lorsquil est amen recommander
la mise en place de normes de contrle pour les systmes dinformation ou examiner des
procdures avant leur mise en application. Par contre, son objectivit est prsume altre
sil conoit, met en place, rdige les procdures y relatives ou exploite de tels systmes.

84

IFACI - dcembre 2012

modalits Pratiques dApplication

5.

Lexcution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux daudit, ne compromet pas ncessairement leur indpendance dans la mesure o ils sont clairement mentionns dans le rapport daudit. Toutefois, le management et les auditeurs internes
doivent veiller attentivement ce que ces travaux naltrent pas leur objectivit.

Dans le cadre de lexcution ponctuelle de travaux qui ne sont pas des travaux daudit, les auditeurs internes doivent veiller
:
dlimiter formellement leur responsabilit ;
mentionner dans le rapport daudit en quoi cette excution naecte pas leur indpendance et leur objectivit ;
prendre en compte les travaux daudit futur sur ces thmes, processus ou fonctions.

IFACI - dcembre 2012

85

MPA 1100

Commentaire IFACI

MPA 1130-1
Atteintes lindpendance ou lobjectivit
Principale Norme de rfrence

1130 Atteinte lindpendance ou lobjectivit


Si l'indpendance ou l'objectivit des auditeurs internes sont compromises dans les faits ou
mme en apparence, les parties concernes doivent en tre informes de manire prcise. La
forme de cette communication dpendra de la nature de l'atteinte l'indpendance.
Interprtation :
Parmi les atteintes l'indpendance du service daudit interne et l'objectivit individuelle, peuvent
gurer les conits d'intrts personnels, les limitations du champ d'un audit, les restrictions d'accs
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations nancires.
Lidentication des parties qui devraient tre informes dune atteinte l'objectivit et l'indpendance dpend dune part des attentes de la direction gnrale et du Conseil, telles que dcrites dans
la charte d'audit interne, en termes de responsabilits de laudit interne et du responsable daudit
interne, et dautre part de la nature de cette atteinte.

1.

Les auditeurs internes doivent signaler au responsable de laudit interne toute situation relle
ou potentielle, susceptible daltrer leur indpendance ou leur objectivit, ou le consulter
sils ont des questions relatives ce type de situation. Si le responsable de laudit interne
constate lexistence dune atteinte relle ou suppose, il raecte alors les auditeurs concerns.

2.

Une limitation du champ dintervention est une restriction impose laudit interne lempchant de raliser ses objectifs et son planning. Des limitations de ce type peuvent, entre
autres, restreindre :
le domaine dintervention dni dans la charte daudit interne ;
laccs de laudit interne aux dossiers, au personnel, et aux biens ncessaires la ralisation des missions ;
le plan daudit lorsqu'il a t approuv ;
la mise en uvre des procdures ncessaires la mission ;
les ressources humaines et le budget nancier qui ont t approuvs.

86

IFACI - dcembre 2012

modalits Pratiques dApplication

La question de la limitation des ressources de laudit interne est une vritable problmatique surtout en priode de crise
conomique. La rfrence explicite la limitation du budget du service daudit interne donne, au responsable de laudit
interne, la possibilit de mettre en vidence les enjeux dune telle limitation mme si elle est dicte par des facteurs
conomiques de court terme. La direction gnrale et le Conseil peuvent alors prendre leur dcision en connaissance de
cause (cf. Norme 2600 : Acceptation des risques par la direction gnrale).

3.

Il est ncessaire de communiquer au Conseil, de prfrence par crit, lexistence dune limitation du champ dintervention et ses rpercussions possible. Le responsable de l'audit interne
juge sil faut informer le Conseil des restrictions qui ont dj t communiques cette
instance et quelle a acceptes. Cette information peut savrer ncessaire surtout lorsquil y
a des changements, notamment au sein de lorganisation, du Conseil ou de la direction gnrale.

4.

Les auditeurs internes ne doivent pas accepter une rmunration, des cadeaux ou des invitations de la part dun salari, dun client, dun fournisseur ou dun partenaire qui pourrait
laisser supposer que lobjectivit de lauditeur interne a t altre. Cette supposition pourra
concerner des missions en cours ou des missions futures de lauditeur. Le statut des missions
ne saurait en aucun cas justier lacceptation de rmunrations, de cadeaux ou dinvitations.
Lacceptation darticles publicitaires (tels que stylos, calendriers ou chantillons) mis la disposition des salaris et du public et dune valeur minime ne devrait pas fausser les jugements
professionnels des auditeurs internes. Ces derniers doivent rendre compte sans dlai leur
suprieur hirarchique de toute ore de rmunrations ou de cadeaux importants.

Commentaire IFACI
La liste limitative dobjets indique dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cits peuvent
tre accepts sans aecter lobjectivit individuelle.
Il convient dtendre le risque datteinte lobjectivit tous les cas de conflit dintrt direct et indirect.
Ci-aprs, un extrait dun Code de Dontologie qui prcise que lauditeur interne ne sollicitera ni nacceptera et ne fera
ni accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau dune valeur excdant les
usages courants dans le Groupe, aucune somme dargent, []. En cas de doute sur les usages courants dans le Groupe,
il consultera sa hirarchie. Dans tous les cas, il informera sa hirarchie de toutes sollicitations ou ores davantages
particuliers dont il a fait lobjet, directement ou indirectement.

IFACI - dcembre 2012

87

MPA 1100

Commentaire IFACI

MPA 1130.A1-1
Audit des oprations dont les auditeurs internes
ont t auparavant responsables
Principale Norme de rfrence
1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des oprations particulires dont
ils taient auparavant responsables. L'objectivit d'un auditeur interne est prsume altre
lorsqu'il ralise une mission d'assurance pour une activit dont il a eu la responsabilit au cours
de l'anne prcdente.

1.

88

Les membres du personnel muts ou temporairement aects au service daudit interne ne


devraient pas participer, avant un dlai dau moins un an laudit des activits prcdemment
exerces ou pour lesquelles ils ont eu des responsabilits.
De telles participations sont, en eet, susceptibles daltrer leur objectivit et, le cas chant,
il faut en tenir compte lors de la supervision des travaux daudit et dans la diusion de leurs
rsultats.

IFACI - dcembre 2012

modalits Pratiques dApplication

Principale Norme de rfrence


1130.A2 Les missions d'assurance concernant des fonctions dont le responsable de l'audit a
la charge doivent tre supervises par une personne ne relevant pas de l'audit interne.

1.

Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activits qui font
lobjet dvaluations priodiques de la part de laudit interne. Sils ont de telles responsabilits,
ils ne peuvent pas tre considrs comme des auditeurs internes.

2.

Lindpendance et lobjectivit de lauditeur interne risquent dtre altres lorsque laudit


interne, son responsable ou un auditeur interne assume une fonction susceptible dtre
audit, ou que la direction envisage de leur attribuer. A minima, il faut que le responsable de
laudit interne prenne en considration les lments suivants dans l'valuation de l'impact
sur l'indpendance et l'objectivit :
les principes noncs par le Code de Dontologie et les Normes internationales pour la
pratique professionnelle de laudit interne (Normes) ;
les attentes des parties prenantes de lorganisation, notamment les actionnaires, le
Conseil, le comit daudit, la direction, le lgislateur, les instances publiques, les rgulateurs et les groupes dinuence ;
les obligations ou les restrictions prvues dans la charte daudit interne ;
les informations dont la communication est obligatoire en vertu des Normes ;
le niveau de couverture de laudit, des fonctions ou responsabilits occupes par lauditeur interne ;
limportance de la fonction oprationnelle pour l'organisation (en termes de chire
daaires, de dpenses, de rputation, et dinuence) ;
la longueur ou la dure de la mission et ltendue des responsabilits ;
ladquation de la sparation des tches ;
lexistence dantcdents ou de signes montrant que l'objectivit de l'auditeur interne
peut tre atteinte.

3.

Si la charte de laudit interne contient des restrictions ou des clauses limitatives concernant
lattribution aux auditeurs internes de fonctions autres que laudit, il convient de mentionner
ces restrictions et den discuter avec la direction. Si cette dernire insiste pour coner ces
fonctions un auditeur, une information et une discussion seront ncessaire avec le Conseil.

IFACI - dcembre 2012

89

MPA 1100

MPA 1130.A2-1
Responsabilits exerces par laudit interne
au titre dautres fonctions

A dfaut de disposition expresse de la charte, il convient de se rfrer aux lignes directrices


gurant ci-dessous, qui sont subordonnes aux clauses de la charte.
4.

Ds lors que l'audit interne accepte des responsabilits oprationnelles et que ces domaines
sont intgrs dans le plan daudit, le responsable de laudit interne devra :
minimiser les risques lis au manque dobjectivit en ayant recours un prestataire
extrieur ou des auditeurs externes pour raliser les audits de ces secteurs ;
conrmer que les individus ayant des responsabilits oprationnelles dans des secteurs
dpendant du responsable de laudit interne, ne participent pas aux audits de ces
domaines ;
sassurer que les auditeurs, qui conduisent une mission dassurance dans des secteurs
rattachs au responsable de laudit interne, sont superviss par la direction gnrale et
le Conseil, qui ils communiquent les rsultats de leur valuation ;
indiquer les responsabilits oprationnelles exerces par lauditeur dans le cadre de la
fonction en cause, limportance de ces oprations pour lorganisation (en termes de
chire daaires, de dpenses ou en fonction de tout autre critre pertinent), ainsi que
le lien existant entre les personnes qui ont procd laudit de la fonction et lauditeur
concern.

5.

Il convient de prciser les responsabilits oprationnelles de l'auditeur interne dans le rapport


d'audit des secteurs rattachs au responsable de laudit interne, et dans la communication
transmise au Conseil. Les rsultats de l'audit peuvent aussi tre discuts avec la direction
gnrale et/ou d'autres parties prenantes appropries. Lindication dune atteinte lobjectivit exige nanmoins davoir recours la supervision dun tiers pour les missions d'assurance
relatives des fonctions qui dpendent du responsable de laudit interne.

90

IFACI - dcembre 2012

MPA 1200

modalits Pratiques dApplication

mPA SrIE 1200


ComPtENCE Et CoNSCIENCE ProFESSIoNNEllE

IFACI - dcembre 2012

91

92

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1200-1
Comptence et conscience professionnelle
Principale Norme de rfrence

1200 Comptence et conscience professionnelle

1.

La comptence et la conscience professionnelle sont de la responsabilit du responsable de


l'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assure
que, pour chaque mission, lquipe dauditeurs dsigns possde collectivement les connaissances, le savoir-faire et les comptences ncessaires pour mener la mission de faon approprie.

2.

La conscience professionnelle inclut le respect du Code de Dontologie de lIIA et, le cas


chant, le respect du code de conduite de lorganisation ainsi que des codes de conduite
dautres professions auxquelles les auditeurs internes peuvent appartenir. Le Code de Dontologie dpasse la dnition de laudit interne en incluant deux composantes essentielles :
des principes applicables la pratique de laudit interne et lexercice de la profession
en particulier les principes dintgrit, dobjectivit, de condentialit et de comptence ;
des rgles de conduite dcrivant le type de comportement attendu des auditeurs
internes. Ces rgles, qui facilitent linterprtation des principes et leur application
pratique, sont destines guider les auditeurs internes sur le plan de lthique.

IFACI - dcembre 2012

93

MPA 1200

Les missions doivent tre conduites avec comptence et conscience professionnelle.

MPA 1210-1
Comptence
Principale Norme de rfrence

1210 Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles. Lquipe daudit interne doit
collectivement possder ou acqurir les connaissances, le savoir-faire et les autres comptences
ncessaires l'exercice de ses responsabilits.
Interprtation :
Les connaissances, le savoir-faire et les autres comptences sont une expression gnrique utilise
pour dcrire la capacit professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer ecacement leurs responsabilits professionnelles. Les auditeurs internes sont encourags
dmontrer leurs comptences en obtenant des certications et qualications professionnelles
appropries telles que le CIA (Certied Internal Auditor) et tout autre diplme promu par lIIA ou
par dautres organisations professionnelles appropries.
1.

94

Les connaissances, savoir-faire et les autres comptences mentionnes dans la norme


comportent :
la comptence en matire dapplication des Normes, procdures et techniques daudit
ncessaire la ralisation des missions. La comptence est la capacit utiliser ses
connaissances judicieusement, dans les diverses situations susceptibles de se prsenter,
et dy faire face sans recourir de faon excessive des recherches techniques ou une
assistance ;
la comptence en matire de principes et de techniques comptables indispensable
aux auditeurs internes qui travaillent frquemment sur des documents et rapports
nanciers ;
la connaissance permettant didentier les risques de fraude ;
la connaissance des principaux risques et contrles arents aux technologies de linformation, et des techniques daudit informatises existantes ;
la comprhension des principes de management pour reconnatre et valuer la matrialit et le caractre signicatif des carts par rapport aux bonnes pratiques des aaires.
Cette comprhension implique une capacit appliquer des connaissances gnrales
aux situations susceptibles dtre rencontres au cours des audits, de dtecter les carts
signicatifs et dtre capable de procder aux recherches ncessaires pour aboutir
des solutions raisonnables ;

IFACI - dcembre 2012

modalits Pratiques dApplication

2.

Le responsable de l'audit interne dnit des critres appropris de formation gnrale et dexprience pour pourvoir les postes dauditeurs internes, en considrant la nature des travaux
et le niveau de responsabilit. Il obtient une assurance raisonnable sur les qualications et la
comptence des candidats.

Commentaire IFACI
Les responsables de l'audit interne doivent disposer la fois d'une bonne connaissance de l'organisation tous les niveaux
et/ou d'une solide exprience en audit interne.

3.

Il faut que l'audit interne possde collectivement les connaissances, le savoir-faire et les autres
comptences indispensables la pratique de la profession dans l'organisation. Une analyse
annuelle des connaissances, savoir-faire et autres comptences de laudit interne permet
didentier plus facilement les points amliorer grce des programmes de formation continue, des recrutements ou par la mise en uvre de ressources externes partages.

Commentaire IFACI
Les comptences et le savoir-faire du management oprationnel (chef de mission et/ou superviseur) conditionnent dans les
faits en grande partie la fois la qualit, la pertinence des missions et l'apprentissage des auditeurs internes.
Lvaluation du personnel dencadrement vise notamment sassurer quil est en mesure dapporter un support adquat
aux auditeurs internes, deectuer les arbitrages ncessaires au bon moment et de communiquer de manire approprie
avec les audits.

4.

La formation continue est essentielle pour sassurer que le personnel du service daudit
interne demeure comptent.

5.

Le responsable de laudit interne peut faire appel des experts extrieurs son service an
de soutenir ou de complter les domaines dans lesquels laudit interne ne dispose pas de
comptences susantes.

IFACI - dcembre 2012

95

MPA 1200

la comprhension des notions fondamentales de la conduite des aaires telles que la


comptabilit, lconomie, le droit commercial, la scalit, la nance, les mthodes quantitatives, les technologies de linformation, le management des risques et la fraude. Cette
comprhension permet de reconnatre lexistence ou lventualit de problmes et
didentier les recherches supplmentaires entreprendre ou lassistance obtenir.
les bonnes qualits relationnelles, de comprhension, de communication, le sens des
relations humaines et le maintien de bonnes relations avec les clients de la mission.
la capacit de communiquer oralement et par crit, de manire pouvoir exposer clairement et ecacement les objectifs, les apprciations, les conclusions et les recommandations de la mission.

MPA 1210.A1-1
Recours des prestataires externes
Principale Norme de rfrence
1210.A1 Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualies si les auditeurs internes ne possdent pas les connaissances, le savoir-faire et les autres
comptences ncessaires pour s'acquitter de tout ou partie de leur mission.

1.

Chaque auditeur interne nest pas ncessairement quali dans toutes les disciplines. Laudit
interne peut recourir des prestataires externes ou des ressources internes qualies dans
des disciplines telles que la comptabilit, laudit, lconomie, la nance, les statistiques, les
technologies de linformation, lingnierie, la scalit, le droit, lenvironnement et tout autre
domaine ncessaire pour pouvoir exercer ses responsabilits daudit interne.

Commentaire IFACI
Lvaluation des comptences individuelles des auditeurs internes permet didentifier les ventuelles insusances au
niveau de lquipe daudit interne. Ces lacunes collectives peuvent tre combles par des formations, des recrutements ou le
recours des prestataires externes.

2.

Un prestataire externe est une personne ou une entit indpendante de lorganisation qui
possde des connaissances, un savoir-faire et une exprience particuliers dans une discipline
donne. Les prestataires externes incluent notamment les actuaires, les experts-comptables,
les conseils en valuation, les personnes qui ont une expertise propos de certaines cultures
ou langues, les spcialistes de lenvironnement, les experts en enqutes sur la fraude, les
avocats, les ingnieurs, les gologues, les experts en scurit, les statisticiens, les spcialistes
des technologies de linformation, les auditeurs externes de lorganisation et les autres cabinets daudit. Ils peuvent tre mandats par le Conseil, la direction gnrale ou le responsable
de l'audit interne.

3.

Laudit interne peut faire appel des prestataires externes notamment dans les cas suivants :
ralisation des objectifs de la mission selon les chances prvues ;
missions daudit ncessitant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de linformation, les statistiques, la scalit ou les
langues trangres ;
valuation dactifs tels que terrains et immeubles, uvres dart, pierres prcieuses, investissements et instruments nanciers complexes ;

96

IFACI - dcembre 2012

dtermination des quantits ou caractristiques physiques de certains biens tels que


minerais et rserves de ptrole ;
valuation des travaux achevs et restant achever dans le cadre de contrats en cours ;
enqutes sur la fraude et la scurit ;
valuations ralises selon des mthodes particulires telles que les calculs actuariels
concernant les engagements lis aux avantages sociaux ;
interprtation de la lgislation, de la rglementation et des normes techniques ;
valuation du programme dassurance et damlioration qualit de lactivit d'audit
interne conformment aux Normes Internationales pour la Pratique Professionnelle de laudit (Normes) ;
fusions et acquisitions ;
conseil en matire de management des risques ou dautres sujets.
4.

Lorsquil prvoit de recourir un prestataire externe et de sappuyer sur ses travaux, le responsable de l'audit interne devra valuer sa comptence, son indpendance et son objectivit
au vu des particularits de la mission accomplir. Il convient de procder galement cette
valuation si le prestataire externe est choisi par la direction gnrale ou par le Conseil, et si
le responsable de l'audit interne prvoit de sappuyer sur ses travaux. Lorsque le responsable
de l'audit interne ne choisit pas lui-mme le prestataire externe et si son valuation montre
quil ne devrait pas sappuyer sur les travaux de ce dernier, les rsultats de cette valuation
devront tre communiqus la direction gnrale ou au Conseil, selon le cas.

5.

Le responsable de l'audit interne doit sassurer que le prestataire externe possde les connaissances, le savoir-faire et les comptences ncessaires pour accomplir sa mission. Pour valuer
ces comptences, le responsable de l'audit interne tiendra compte des lments suivants :
diplme, agrment ou autre titre attestant de la comptence du prestataire externe
dans la discipline en question ;
adhsion du prestataire externe un organisme professionnel comptent et adhsion
au Code de Dontologie de cet organisme ;
rputation du prestataire externe. La prise en compte de cet lment peut impliquer
la consultation de tiers faisant habituellement appel aux travaux du prestataire ;
exprience du prestataire externe dans le type de travaux quon envisage de lui coner ;
niveau dtudes et formation du prestataire externe dans les disciplines lies la mission
en question ;
connaissances et exprience du prestataire externe dans le secteur dactivit de lorganisation.

Commentaire IFACI
Le responsable de laudit interne sassure que les comptences requises existent au sein de lquipe de prestations externes.
Cette valuation ne se limite pas lanalyse des qualifications du signataire du contrat de prestation, mais concerne aussi
les membres de lquipe qui ralisent ou qui supervisent la prestation concerne.
IFACI - dcembre 2012

97

MPA 1200

modalits Pratiques dApplication

6.

Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire
externe, lorganisation et son service daudit interne, et sassurer que lindpendance et lobjectivit du prestataire externe seront garanties tout au long de la mission. Pour procder
cet examen, le responsable de l'audit interne sassure quaucun lien nancier, professionnel
ou personnel nempchera le prestataire externe de formuler un jugement et une opinion
objectifs et impartiaux lors de la ralisation de sa mission et de lmission de ses rapports.

7.

Pour apprcier lindpendance et lobjectivit du prestataire externe, le responsable de l'audit


interne tient compte des lments suivants :
intrt nancier ventuel dtenu par le prestataire externe dans lorganisation ;
lien personnel ou professionnel entre le prestataire externe et le Conseil, la direction
gnrale ou les autres membres de lorganisation ;
liens tablis par le pass entre le prestataire externe et lorganisation ou les activits
examines ;
tendue des autres services rcurrents excuts par le prestataire externe pour lorganisation ;
rmunration ou autres avantages perus, le cas chant, par le prestataire externe.

8.

Si le prestataire externe est galement auditeur externe de lorganisation et si sa mission


consiste en des travaux daudit approfondis, le responsable de l'audit interne devrait sassurer
que les travaux ainsi raliss ne remettent pas en cause lindpendance de lauditeur externe.
Lexpression travaux daudit approfondis vise les services qui dpassent le cadre des normes
daudit gn ralement admises par la profession dauditeur externe.
Si la mission qui leur est cone les amenait agir ou donner lapparence dagir comme
des membres de la direction gnrale, du management ou des employs de lorganisation,
alors leur indpendance serait compromise. En outre, il peut arriver que les auditeurs externes
fournissent lorganisation dautres services, en matire de scalit ou de conseil notamment.
Lindpendance devrait tre apprcie eu gard la gamme complte des services rendus
lorganisation.

9.

Le responsable de l'audit interne obtient susamment dinformations quant ltendue de


la mission du prestataire externe, de faon pouvoir vrier que ses travaux rpondent aux
objectifs de laudit interne. Il peut savrer prudent de prciser ltendue de la mission et divers
autres points dans une lettre de mission ou dans un contrat. Pour ce faire, le responsable de
l'audit interne examine les points suivants avec le prestataire externe :
objectifs et tendue de la mission, y compris les livrables et les chances ;
points particuliers senss tre couverts dans les rapports remis au titre de la mission ;
accs aux documents, aux personnes et aux biens corporels concerns ;
informations concernant les hypothses et les procdures utiliser ;
proprit et conservation des documents de travail tablis dans le cadre de la mission,
le cas chant ;

98

IFACI - dcembre 2012

modalits Pratiques dApplication


condentialit des informations obtenues au cours de la mission et restrictions les
concernant ;
le cas chant, le respect des Normes et des rgles de travail du service daudit interne.

11. En cas de recours un prestataire externe, le responsable de l'audit interne peut, si ncessaire,
mentionner les services ainsi fournis dans les documents ou rapports mis au titre de la
mission. Le prestataire externe est inform et, le cas chant, son accord devrait tre obtenu
avant toute mention de ses services dans ces documents.

IFACI - dcembre 2012

99

MPA 1200

10. Lorsquil value la revue des travaux dun prestataire externe, le responsable de l'audit interne
veille ce que ceux-ci soient raliss conformment aux Normes internationales pour la
pratique professionnelle de laudit interne (Normes). Cette valuation consiste notamment
sassurer que les informations obtenues sont susantes pour justier les conclusions formules et les solutions proposes et statuer sur les exceptions signicatives ou les autres points
inhabituels.

MPA 1220-1
Conscience professionnelle
Principale Norme de rfrence

1220 Conscience professionnelle


Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire que l'on peut
attendre d'un auditeur interne raisonnablement averti et comptent. La conscience professionnelle n'implique pas l'infaillibilit.

1.

La conscience professionnelle porte sur la diligence et le savoir-faire que lon peut attendre
dun auditeur interne raisonnablement prudent et comptent. La conscience professionnelle
tient compte de la complexit de la mission ralise. En agissant avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes
intentionnelles, derreurs ou domissions, de manque decacit, de gaspillage et de conits
dintrts ainsi quaux situations et activits o des irrgularits ont le plus de chance de se
produire. Les auditeurs internes sont galement concerns par la dtection de contrles inefcaces et font des recommandations visant promouvoir le respect des procdures et
pratiques acceptables.

2.

La conscience professionnelle implique la diligence et le savoir-faire raisonnables que lon


apporte lexcution de ses missions et non linfaillibilit ou des performances exceptionnelles. Cela signie que lauditeur interne procde des vrications et des contrles raisonnablement approfondis. En consquence, lauditeur interne ne peut donner une assurance
absolue quil nexiste aucune anomalie ou irrgularit. Nanmoins, la possibilit dirrgularits
ou de non conformits importantes devra toujours tre envisage lorsque lauditeur interne
entreprend une mission.

100

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1230-1
Formation Professionnelle Continue
Principale Norme de rfrence

1230 Formation professionnelle continue

MPA 1200

Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire et autres comptences
par une formation professionnelle continue.

1.

Les auditeurs internes ont la responsabilit de se former de manire continue, an de renforcer et de maintenir leurs comptences. Ils devront se tenir informs des progrs accomplis
et des dveloppements en cours dans le domaine des normes, procdures et techniques
daudit, telles quelles sont explicites dans le CRIPP (Cadre de rfrence international pour la
pratique professionnelle de laudit interne). La formation continue peut sacqurir par ladhsion, la participation et le volontariat des associations professionnelles telles que lIFACI ; en
assistant des confrences, des sminaires ; en participant aux actions internes de formation ; par lachvement de cycle dtudes suprieures et dauto-formation ainsi que par la
participation des programmes de recherche.

2.

Il est conseill aux auditeurs internes dobtenir une certication attestant de leur comptence,
telle que le titre dauditeur interne Certi (CIA, Certied Internal Auditor), dautres titres dlivrs par l'IIA ou lis laudit interne.

Commentaire IFACI
LIFACI recommande aux auditeurs internes dobtenir le Diplme Professionnel dAudit Interne (DPAI) qui sappuie sur les
comptences fondamentales (les bases de laudit interne, la mthodologie de conduite dune mission daudit, les outils et
techniques daudit, la communication orale, communication crite, systme dinformation, finance et comptabilit,) de
lauditeur interne et atteste de la capacit de ses titulaires conduire une mission daudit de manire autonome et
professionnelle, en sappuyant sur la dmarche prconise par les Normes.

3.

Il est conseill aux auditeurs internes de suivre une formation professionnelle continue (lie
aux activits de leur organisation et au secteur) pour entretenir leurs comptences sur les
processus de gouvernement dentreprise, de risque et de contrle existant dans leur organisation.

IFACI - dcembre 2012

101

4.

Les auditeurs internes qui ralisent des travaux spcialiss daudit et de conseil sur des sujets
tels que la technologie de l'information, l'impt, lactuariat, ou la conception de systmes,
peuvent suivre une formation professionnelle continue spcialise qui leur permettra de raliser leurs missions daudit interne avec les comptences ncessaires.

5.

Les auditeurs internes certis ont la responsabilit de suivre une formation professionnelle
continue approprie de faon remplir les conditions requises par la certication qui leur a
t dlivre.

6.

Les auditeurs internes qui ne sont pas encore certis sont invits suivre un programme
de formation et/ou tudier individuellement en vue dobtenir la certication professionnelle.

102

IFACI - dcembre 2012

MPA 1300

modalits Pratiques dApplication

mPA SrIE 1300


ProgrAmmE DASSurANCE
Et DAmlIorAtIoN quAlIt

IFACI - dcembre 2012

103

104

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1300-1
Programme d'assurance et d'amlioration qualit
Principale Norme de rfrence

1300 Programme d'assurance et d'amlioration qualit

Interprtation :
Un programme d'assurance et d'amlioration qualit est conu de faon valuer :
la conformit de laudit interne avec la dnition de laudit interne et les Normes ;
le respect du Code de Dontologie par les auditeurs internes.
Ce programme permet galement de sassurer de lecacit et de lecience de lactivit daudit
interne et didentier toutes opportunits damlioration.

1.

Il appartient au responsable de l'audit interne de mettre en place un service daudit interne


dont le champ daction couvre lensemble des activits mentionnes dans les Normes et
dans la dnition de laudit interne. cette n, la norme 1300 prvoit que le responsable de
laudit interne labore et tient jour un programme d'assurance et d'amlioration qualit.

2.

Le responsable de l'audit interne sassure de la mise en uvre de processus permettant de


donner aux diverses parties prenantes de laudit interne lassurance raisonnable que ce
service :
respecte la charte daudit interne et, en conformit avec la dnition de laudit interne,
le Code de Dontologie et les Normes ;
fonctionne dune faon ecace et eciente ;
contribue, aux yeux des parties prenantes, crer de la valeur ajoute et amliorer le
fonctionnement de lorganisation.
Ces processus comportent une supervision approprie, des valuations internes priodiques
et une surveillance permanente de lassurance qualit, ainsi que des valuations externes
priodiques.

3.

Le programme dassurance et damlioration qualit se doit dtre susamment dtaill pour


couvrir tous les aspects du fonctionnement et de la gestion dun service daudit interne, tels
quils ressortent de la dnition de laudit interne, du Code de Dontologie, des Normes et
des meilleures pratiques de la profession. Le processus dassurance et damlioration qualit
est mis en uvre ou supervis par le responsable de laudit interne. Exception faite des

IFACI - dcembre 2012

105

MPA 1300

Le responsable de l'audit interne doit laborer et tenir jour un programme d'assurance et


d'amlioration qualit portant sur tous les aspects de l'audit interne.

services daudit interne de dimension modeste, le responsable de laudit interne dlgue


gnralement ses collaborateurs la plupart des tches arentes au programme dassurance
et damlioration qualit. Dans le cadre de structures importantes ou complexes (grand
nombre dunits et/ou de sites, par exemple), le responsable de laudit interne met en place
une fonction Assurance et amlioration qualit formelle, dirige par un manager du service
daudit interne. Ce manager, assist dun certain nombre de collaborateurs, assure la gestion
et le suivi des activits ncessaires au succs du programme dassurance et damlioration
qualit.
Commentaire IFACI
La qualit des activits de laudit interne est une responsabilit collective. Cependant, le pilotage direct du programme
dassurance et damlioration qualit requiert dans certains cas une structure transversale permettant un dploiement et
un suivi centralis. Cette structure peut tre ncessaire en raison de la taille ou de la complexit des activits du
dpartement daudit interne. Le manager en charge du programme dassurance et damlioration qualit peut, selon notre
point de vue, continuer exercer des responsabilits de conduite de missions.

106

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1310-1
Exigences du programme d'assurance
et d'amlioration qualit
Principale Norme de rfrence

1310 Exigences du programme d'assurance et d'amlioration qualit

Commentaire IFACI
La Certification IFACI est fonde sur les exigences suivantes :
un rfrentiel de certification, formellement valid par un comit indpendant ;
un comit de certification compos de directeurs oprationnels, de cadres de dpartements daudit interne et dexperts
en audit interne, assurant lquit et lhomognit des dcisions ;
un processus de certification norm et dclin en procdures ;
des auditeurs certificateurs expriments et forms ;
une apprciation de la qualit de lorganisation et du fonctionnement de laudit interne fonde sur chaque exigence
gnrale, et non sur une apprciation densemble du respect des Normes ;
un label reconnu, pouvant faire lobjet dune communication vers les parties prenantes de laudit interne.

1.

Un programme dassurance et damlioration qualit consiste en des valuations permanentes ou priodiques de lensemble des prestations daudit et de conseil eectues par laudit interne. Ces valuations permanentes ou priodiques reposent sur des processus
rigoureux et dtaills, une supervision continue et la vrication des prestations daudit et
de conseil, ainsi que des validations priodiques du respect de la dnition de laudit interne,
du Code de dontologie et des Normes. Ce suivi comporte une valuation et une analyse
continues dindicateurs de performances (ralisation du plan daudit interne, dure des
missions, recommandations acceptes et satisfaction des clients, par exemple). Si suite ces
valuations, il apparat que des amliorations sont apporter par laudit interne le responsable
de laudit interne les mettra en uvre dans le cadre du programme dassurance et damlioration qualit.

IFACI - dcembre 2012

107

MPA 1300

Le programme d'assurance et d'amlioration qualit doit comporter des valuations tant internes
quexternes.

2.

Les valuations donnent une opinion sur la qualit des travaux daudit interne et aboutissent
des recommandations en vue de leur amlioration. Les programmes qualit comportent
notamment une valuation des points suivants :
respect de la dnition de laudit interne, du Code de Dontologie et des Normes, et
notamment mise en uvre, dans des dlais appropris, dactions correctrices visant
remdier toute non-conformit signicative ;
caractre adquat de la charte daudit interne, des objectifs, des rgles et des procdures de laudit interne ;
contribution aux processus de gouvernement dentreprise, de management des risques
et de contrle de lorganisation ;
respect des lois, rglementations, normes administratives ou sectorielles en vigueur ;
ecacit des processus damlioration continue et adoption des meilleures pratiques ;
contribution de laudit interne la cration de valeur et lamlioration du fonctionnement de lorganisation.

3.

Le programme dassurance et damlioration qualit inclut galement le suivi des recommandations relatives la modication approprie et opportune des ressources, des technologies, des processus et des procdures.

4.

Par souci de transparence, le responsable de l'audit interne communique les rsultats des
valuations externes et, si ncessaire, des valuations internes du programme qualit, aux
diverses parties prenantes de laudit interne, telles que la direction gnrale, le Conseil et les
auditeurs externes. Au moins une fois par an, le responsable de laudit interne rend compte
la direction gnrale et au Conseil de ltat davancement et des rsultats du programme
qualit.

108

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1311-1
valuations internes
Principale Norme de rfrence

1311 valuations internes

Interprtation :
La surveillance continue fait partie intgrante de la supervision quotidienne, de la revue et du suivi
de lactivit daudit interne. La surveillance continue est intgre dans les procdures et les pratiques
courantes de gestion du service daudit interne. Ce contrle utilise les processus, les outils et les informations ncessaires lvaluation du service daudit interne en termes de conformit la dnition
de laudit interne, au Code de Dontologie et aux Normes.
Les valuations priodiques sont conduites pour apprcier galement la conformit du service
daudit interne la dnition de laudit interne, au Code de Dontologie et aux Normes.
Une connaissance susante des pratiques daudit interne suppose au moins la comprhension
de lensemble des lments du cadre de rfrence international des pratiques professionnelles.

1.

Les processus et outils utiliss dans les valuations internes permanentes sont notamment
les suivants :
supervision des missions;
utilisation de listes de contrle et de procdures (par exemple dans un manuel daudit
et de procdures);
informations fournies, en retour, par les clients et les parties prenantes de laudit interne ;
revues de dossiers de mission eectues par des auditeurs qui nont pas particip aux
missions concernes ;
budgets par projet, systmes de suivi des temps passs, ralisation du plan daudit,
recouvrement des cots ;
analyse dautres indicateurs de performance (par ex. dure des missions et taux de
recommandations acceptes).

IFACI - dcembre 2012

109

MPA 1300

Les valuations internes doivent comporter :


une surveillance continue de la performance de l'audit interne ;
des valuations priodiques, eectues par auto-valuation ou par d'autres personnes
de l'organisation possdant une connaissance susante des pratiques d'audit interne.

2.

Il convient de conclure sur la qualit des prestations et den eectuer un suivi an de sassurer
que les amliorations appropries sont mises en uvre.

3.

Le manuel de lIIA relatif lvaluation de la qualit (Quality Assessment Manual), ou un


ensemble comparable de lignes directrices et doutils, pourront servir de base aux valuations
internes priodiques.

Commentaire IFACI
IFACI Certification a labor un Rfrentiel Professionnel de lAudit Interne sappuyant sur les Normes quil rpartit en :
exigences de prestations ;
exigences de moyens ;
exigences de pilotage et de contrle.
Ce Rfrentiel, conu aux fins de certification dune direction daudit interne peut aussi tre utilis pour les valuations
internes. Il est disponible auprs de lIFACI.

4.

Les valuations internes priodiques peuvent :


comporter des enqutes et des entretiens plus approfondis avec les parties prenantes
de laudit interne ;
tre ralises par les membres de laudit interne (auto-valuation) ;
tre ralises par des auditeurs internes certis CIA ou par dautres professionnels de
laudit, intervenant dans dautres dpartements de lorganisation ;
combiner auto-valuation et prparation de documents revues ultrieurement par des
auditeurs internes certis CIA ou par dautres professionnels de laudit ;
inclure une tude comparative des pratiques et des indicateurs de performance de
laudit interne et des meilleures pratiques de la profession.

5.

Une valuation interne priodique, ralise peu de temps avant une valuation externe, peut
faciliter cette dernire et en rduire le cot. Mme si lvaluation priodique interne est eectue par des valuateurs externes qualis et indpendants, les rsultats de lvaluation ne
devraient pas prsumer les rsultats de la revue qualit externe venir. Le rapport peut contenir des suggestions et des recommandations damlioration des pratiques daudit. Si lvaluation externe prend la forme dune auto-valuation suivie dune validation indpendante,
lvaluation interne priodique peut tenir lieu dauto-valuation dans le cadre de ce processus.

6.

Il convient de conclure sur la qualit des prestations et prendre toute mesure approprie
pour, en tant que de besoin, mettre en uvre les amliorations et assurer la conformit aux
Normes.

110

IFACI - dcembre 2012

modalits Pratiques dApplication

7.

Le responsable de l'audit interne met en place un systme de diusion des rsultats des
valuations internes permettant de prserver la crdibilit du service et de garantir son objectivit. En rgle gnrale, les personnes charges des valuations continues et priodiques
rendent compte au responsable de l'audit interne au cours de leurs revues et lui adressent
directement leurs rsultats.

8.

Le responsable de l'audit interne rend compte, au moins annuellement, la direction gnrale


et au Conseil des rsultats des valuations internes, des plans daction mettre en uvre et
de leur mise en uvre eective.

Commentaire IFACI

MPA 1300

Le responsable de laudit interne apprciera lopportunit et adaptera la nature de la communication des rsultats pour
chaque partie prenante. La communication des rsultats des revues internes aux auditeurs externes peut permettre de
favoriser un climat de confiance propice la coopration entre audit interne et audit externe.

IFACI - dcembre 2012

111

MPA 1312-1
valuations externes
Principale Norme de rfrence

1312 valuations externes


Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou
une quipe dvaluateurs qualis, indpendants et extrieurs l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ; et
des qualications de l'valuateur ou de l'quipe d'valuation externes ainsi que de leur
indpendance y compris au regard de tout conit d'intrt potentiel.
Interprtation :
Les valuations externes peuvent prendre la forme dune valuation entirement externalise
ou dune auto-valuation avec validation indpendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles
et de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.

1.

Les valuations externes couvrent lensemble des prestations dassurance et de conseil fournies par laudit interne et ne sont pas limites lvaluation de son programme dassurance
et damlioration qualit. Pour obtenir tout le bnce dune revue externe, ltendue des
travaux inclut le benchmarking, lidentication et le compte-rendu des meilleures pratiques
qui pourrait rendre laudit interne plus ecient. Cela peut tre obtenu soit par une revue
entirement externalise, soit par une autovaluation dtaille suivie dune validation indpendante. Ces deux approches sont ralises par un valuateur ou une quipe dvaluateur

112

IFACI - dcembre 2012

modalits Pratiques dApplication

2.

Lvaluation externe comprend une opinion sur lensemble des prestations dassurance et de
conseil dlivres par laudit interne (ou qui aurait pu tre fournies sur la base de la charte
daudit interne), notamment sur le respect de la dnition de laudit interne, du Code de
Dontologie et des Normes et, si ncessaire, des recommandations en vue dune amlioration. Hormis le respect de la dnition de laudit interne, du Code de Dontologie et des
Normes, le primtre de lvaluation est ajust la demande du responsable de laudit interne,
de la direction gnrale ou du Conseil. Ces valuations peuvent prsenter un grand intrt
pour le responsable de l'audit interne et les autres membres de lquipe, plus particulirement
lorsquil y a change sur le benchmark et les meilleures pratiques.

3.

Ds lachvement de la revue, un compte-rendu formel doit tre adress la direction gnrale et au Conseil.

4.

Il existe deux dmarches dvaluations externes. La premire est une valuation entirement
externalise, conduite par un valuateur ou une quipe qualis, indpendants, extrieurs
lorganisation. Cette approche implique une quipe extrieure de professionnels comptents
sous la direction d'un chef de projet expriment et professionnel. La seconde approche
implique le recours un valuateur ou une quipe externe qualis et indpendants pour
conduire une validation indpendante de l'auto-valuation interne et du rapport tabli par
le service daudit interne. Les valuateurs externes indpendants matrisent les meilleures
pratiques de laudit interne.

5.

Les personnes qui entreprennent lvaluation externe, ne doivent avoir aucun intrt dans
lorganisation dont le service daudit interne fait lobjet de lvaluation externe, ni aucune obligation envers cette dernire ou son personnel. Lors de la slection de lvaluateur ou de
lquipe dvaluateurs externe(s) quali(s) et lorsquil consulte le Conseil ce propos, le
responsable de laudit interne examine des points particuliers concernant leur indpendance.
Notamment :
Aucun cas de conit dintrt rel ou suppos avec des cabinets ralisant :
- laudit externe des tats nanciers ;
- des activits de conseil signicatives dans les domaines du gouvernement dentreprise, du management des risques, du reporting nancier, du contrle interne et dans
des domaines connexes ;
- une assistance au service daudit interne. Limportance et le volume de travail eectu
devront tre considrs lors de la slection.
Aucun cas de conit dintrt rel ou suppos avec danciens employs de lorganisation
qui feraient lvaluation. La dure pendant laquelle les personnes ont t indpendantes
de lorganisation devra tre prise en considration.

IFACI - dcembre 2012

113

MPA 1300

qualis et indpendants. Nanmoins, dans les deux cas, le responsable de laudit interne
sassure que le plan dintervention spcie clairement les livrables de la revue externe.

Les personnes qui procdent lvaluation sont indpendantes de lorganisation dont


le service daudit interne fait lobjet de lvaluation et ne se trouvent pas dans un cas
de conit dintrt rel ou apparent. Lexpression indpendantes de lorganisation
signie que ces personnes ne font pas partie de lorganisation laquelle est rattach le
service daudit interne et ne sont pas places sous son contrle. Le choix dun valuateur externe est eectu en tenant compte de tout ventuel conit dintrt, rel ou
apparent, rsultant de ses relations prsentes ou passes avec lorganisation ou son
service daudit interne.
Le personnel des autres dpartements de lorganisation concerne ou dune organisation lie, bien quil ne fasse pas partie de laudit interne, nest pas considr comme
tant indpendant pour la ralisation dune valuation externe. Lexpression organisation lie dsigne les organisations mres, les socits apparentes dun mme
groupe, ou les entits exerant rgulirement des fonctions de contrle, de supervision
ou dassurance qualit dans lorganisation dont le service daudit interne fait lobjet de
lvaluation externe.
Un conit dintrt rel ou suppos au cours de revues rciproques. Des revues rciproques peuvent tre eectues par des pairs provenant dau moins trois organisations
direntes (au sein dun secteur ou dun autre groupe similaire, dune association rgionale ou dun autre groupe dorganisations, except les organisations lies telles que
dnies ci-dessus) de faon attnuer les problmes dindpendance, mais il faut alors
veiller ce que la question de lindpendance ne se pose pas. Les revues rciproques
de pairs organises entre deux organisations ne rpondent pas au critre dindpendance.
Pour surmonter les craintes lies laltration apparente ou relle de lindpendance
dans les cas examins au prsent paragraphe, une ou plusieurs personnes indpendantes peuvent faire partie de lquipe dvaluateurs externes, an de valider en toute
indpendance les travaux de cette quipe.
6.

Lintgrit implique que les personnes charges de lvaluation soient honntes et sincres,
dans les limites imposes par lobligation de condentialit. Les prestations et la conance
ne doivent pas tre subordonnes des intrts et gains personnels. Lobjectivit est un tat
desprit et une qualit qui renforcent la valeur dune valuation. Le concept dobjectivit
implique limpartialit, lhonntet intellectuelle et labsence de conit dintrt.

7.

La ralisation dune valuation externe et la communication de ses rsultats ncessitent la


formulation dun jugement professionnel. La personne charge de lvaluation externe
possde, par consquent, les qualits suivantes :
tre un professionnel de laudit interne comptent et agr et possder une connaissance approfondie des Normes ;
avoir une bonne apprhension des meilleures pratiques de la profession ;

114

IFACI - dcembre 2012

modalits Pratiques dApplication

8.

Le ou les valuateurs ont lexpertise technique requise et une exprience du secteur dactivit
concern. Des personnes comptentes dans dautres disciplines peuvent les assister. C'est
ainsi que des experts en matire de management des risques dentreprise, daudit des
systmes dinformation, dchantillonnages statistiques, de systmes de suivi des oprations
ou dauto-valuation du contrle interne peuvent participer certains aspects de lvaluation.

9.

Le responsable de laudit interne implique la direction gnrale et le Conseil dans le choix


de la dmarche et dans la slection du prestataire dune revue qualit externe.

10. Lvaluation externe consiste en un examen tendu portant notamment sur les paramtres
suivants :
respect de la dnition de laudit interne, du Code de Dontologie, des Normes, de la
charte daudit interne, des plans, des rgles, des procdures et des pratiques de laudit
interne, ainsi que de la lgislation et rglementation en vigueur ;
attentes du Conseil, de la direction gnrale et des directeurs oprationnels vis--vis
des prestations de laudit interne ;
intgration de laudit interne dans le dispositif de gouvernement dentreprise, y compris
au niveau des relations entre les principaux groupes impliqus dans ce dispositif ;
outils et techniques utiliss par laudit interne ;
ventail des connaissances, de lexprience et des comptences de l'quipe de laudit
interne, y compris en ce qui concerne lamlioration des processus ;
valeur ajoute apporte par laudit interne et contribution lamlioration des oprations de lorganisation.
11. Les rsultats prliminaires de lvaluation sont examins avec le responsable de l'audit interne
au cours du processus dvaluation et lissue de ce dernier. Les rsultats dnitifs sont
communiqus au responsable daudit interne ou au responsable qui a autoris lvaluation,
de prfrence en adressant directement un exemplaire aux membres de la direction gnrale
concerns et aux membres du Conseil.

IFACI - dcembre 2012

115

MPA 1300

avoir une exprience rcente de trois ans au minimum de la pratique de laudit interne
un poste dencadrement.
Les responsables de lquipe dvaluateurs externes et les personnes charges de la validation
indpendante de lauto-valuation doivent possder des comptences et une exprience
plus pousses : par exemple, avoir t membre dune quipe dvaluateurs externes de la
qualit, avoir suivi avec succs la formation de lIIA sur lvaluation de la qualit ou une formation similaire, et avoir acquis une exprience en tant que responsable dun service daudit
interne ou une exprience comparable un poste dencadrement dans laudit interne.

12. Les informations communiques comportent :


une opinion sur le respect de la dnition de laudit interne, du Code de Dontologie
et des Normes par le service daudit interne, fonde sur un systme de notation structur. Le terme respect signie que les pratiques de laudit interne, prises globalement,
satisfont aux conditions poses par la dnition de laudit interne, le Code de Dontologie et les Normes. Paralllement, le terme non-respect signie que limpact et la
gravit des anomalies constates dans les pratiques de laudit interne sont susamment importants pour altrer la capacit de ce service remplir ses responsabilits. Le
degr de respect partiel de la dnition de laudit interne, du Code de Dontologie ou
de chaque norme devrait galement tre mentionn, sil inue sur lopinion densemble,
dans le rapport de lvaluation indpendante. La formulation dune opinion sur les rsultats de lvaluation externe requiert un jugement sr ainsi que des qualits dintgrit
et de conscience professionnelle ;
une valuation de la mise en uvre des meilleures pratiques telles qu'elles sont apparues au cours de la revue ou qui pourraient s'appliquer dans l'environnement considr ;
les recommandations, le cas chant ;
les rponses du responsable de laudit interne comprenant un plan daction et les dates
de mise en uvre.
13. Dans le but dassurer la crdibilit et la transparence, le responsable de l'audit interne communique aux direntes parties prenantes de laudit interne, telles que la direction gnrale, le
Conseil et les auditeurs externes, les rsultats de lvaluation, y compris les actions correctrices
prvues sur les points signicatifs, puis des informations concernant leur mise en uvre.

116

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1312-2
valuations externes :
auto-valuation avec validation indpendante
Principale Norme de rfrence

Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou
une quipe dvaluateurs qualis, indpendants et extrieurs l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ; et
des qualications de l'valuateur ou de l'quipe d'valuation externes ainsi que de leur
indpendance y compris au regard de tout conit d'intrt potentiel.
Interprtation :
Les valuations externes peuvent prendre la forme dune valuation entirement externalise
ou dune auto-valuation avec validation indpendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles
et de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.

1.

Une valuation externe priodique, ralise par un valuateur ou une quipe dvaluateurs
comptents et indpendants peut tre problmatique pour les services daudit interne de
taille modeste ou considre comme ntant pas vraiment approprie ou ncessaire dans
dautres organisations. Par exemple, le service daudit interne peut (a) appartenir un secteur
extrmement rgul, (b) faire par ailleurs lobjet dune supervision externe importante en
matire de gouvernance et de contrle interne, (c) avoir rcemment fait lobjet dvaluations

IFACI - dcembre 2012

117

MPA 1300

1312 valuations externes

externes et/ou de services de conseil aux cours desquels il y a eu un benchmark approfondi


avec les meilleures pratiques, ou (d) du point de vue du responsable daudit interne, lintrt
pour le dveloppement des auditeurs et le renforcement du programme dassurance et
damlioration qualit surpasse actuellement lintrt dune revue qualit par une quipe
externe.
2.

Une auto-valuation avec validation (externe) indpendante comporte les lments suivants :
un processus dtaill et parfaitement document dauto-valuation, comparable au
processus dvaluation externe, du moins en ce qui concerne lvaluation du respect
de la dnition de laudit interne, du Code de Dontologie et des Normes ;
une validation sur site indpendante ralise par un valuateur quali ;
des modalits conomiques en termes de temps et de ressources, laccent tant mis,
par exemple, sur le respect des Normes.
les autres points, tels que lanalyse comparative, lexamen et les consultations relatifs
lemploi des meilleures pratiques, les entretiens avec la direction gnrale et les cadres
oprationnels peuvent faire lobjet dune attention rduite. Cependant, les informations
obtenues par ces points sont parmi les plus bnques lors dune valuation externe.

3.

Les conditions et critres dcrits dans la MPA 1312-1 sappliquent en ce qui concerne :
les considrations dordre gnral ;
les qualications de lvaluateur ou de lquipe dvaluateurs externes ;
lindpendance, lintgrit et lobjectivit, la comptence, lapprobation du choix de lintervenant par la direction gnrale et le Conseil, ltendue de la mission (sauf pour des
domaines comme les outils et techniques utiliss, les autres meilleures pratiques, lvolution de carrire et les activits valeur ajoute) ;
la communication des rsultats (y compris des actions correctrices et de leur mise en
uvre).

4.

Le processus dauto-valuation est mis en uvre et parfaitement document par une quipe
dirige par le responsable de laudit interne. Un projet de rapport similaire celui concernant
lvaluation externe est tabli avec lopinion du responsable du service daudit concernant le
respect des Normes.

5.

Lvaluateur ou lquipe dvaluateurs comptent(s) et indpendant(s) charg(s) de la validation procdent des tests sur lauto-valuation, de faon en valider les rsultats et formuler
une opinion sur le respect de la dnition de laudit interne, du Code de Dontologie et des
Normes. La validation indpendante suit le processus dcrit dans le Manuel dvaluation
qualit (Quality Assesment Manual) de lIIA ou un processus comparable dtaill.

118

IFACI - dcembre 2012

6.

Au cours de la validation indpendante, qui inclut un examen rigoureux de lvaluation du


respect de la dnition de laudit interne, du Code de Dontologie et des Normes, lvaluateur
externe indpendant :
examine le projet de rapport et seorce, le cas chant, de rsoudre les points en
suspens ;
en cas daccord avec lopinion concernant le respect de la dnition de laudit interne,
du Code de Dontologie et des Normes, il complte le rapport (sil y a lieu), an dapprouver le processus dauto-valuation et lopinion exprime par le responsable de laudit, ainsi que les constatations, conclusions et recommandations (sil le juge opportun) ;
en cas de dsaccord avec cette valuation, il fait part de son dsaccord dans le rapport
en prcisant les points de divergence avec ce dernier et, sil le juge opportun, avec les
constatations, conclusions et recommandations signicatives quil contient ;
peut galement tablir un rapport de validation indpendante spar, mentionnant
son accord ou son dsaccord comme indiqu ci-dessus, joindre au rapport dautovaluation.

7.

Le (s) rapport(s) nal(s) de lauto-valuation avec validation indpendante sont ensuite


sign(s) par lquipe charge de lauto-valuation et la personne comptente responsable
de la validation indpendante, puis dius(s) la direction gnrale et au Conseil par le
responsable de laudit interne.

8.

Dans le but dassurer la crdibilit et la transparence, le responsable de l'audit interne communique aux direntes parties prenantes de laudit interne, telles que la direction gnrale, le
Conseil et les auditeurs externes, les rsultats de lvaluation, y compris les actions correctrices
prvues sur les points signicatifs, puis des informations concernant leur mise en uvre.

IFACI - dcembre 2012

119

MPA 1300

modalits Pratiques dApplication

MPA 1312-3
Indpendance de lquipe dvaluation externe
dans le secteur priv
Principale Norme de rfrence

1312 valuations externes


Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou
une quipe dvaluateurs qualis, indpendants et extrieurs l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ; et
des qualications de l'valuateur ou de l'quipe d'valuation externes ainsi que de leur
indpendance y compris au regard de tout conit d'intrt potentiel.
Interprtation :
Les valuations externes peuvent prendre la forme dune valuation entirement externalise
ou dune auto-valuation avec validation indpendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles
et de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.

1.

Tous les membres de lquipe dvaluation externe doivent tre indpendants de lorganisation value et de son personnel daudit interne. En particulier, il ne doit pas exister de conit
dintrt rel ou suppos entre les membres de lquipe dvaluation et lorganisation et/ou
son personnel. Les lments devant tre pris en compte pour valuer lindpendance de
lquipe dvaluation comprennent ce qui suit :

120

IFACI - dcembre 2012

Indpendant de lorganisation signie ne pas tre sous linuence de lorganisation dont


le service daudit interne est valu. Les conits dintrts rels, potentiels ou supposs
doivent tre pris en compte dans le cadre du processus de slection dun valuateur
externe. Un conit dintrts peut dcouler de relations passes, prsentes ou potentielles avec lorganisation ou son service daudit interne. Les relations personnelles et/ou
dordre commercial doivent tre prises en compte.
Dans le secteur priv (cest--dire indpendant de ltat), le personnel dune mme
organisation mais rattach des dpartements dirents, ou une organisation lie,
bien quil ne fasse pas partie de laudit interne, nest pas considr comme indpendant
pour la ralisation dune valuation externe. Lexpression organisation lie dsigne
lentit ou la socit mre, les socits alies dun mme groupe ou une entit exerant rgulirement des fonctions de contrle, de supervision ou dassurance qualit
vis--vis de lorganisation dont le service daudit interne fait lobjet dune valuation
externe.
Des valuations externes rciproques peuvent tre eectues par des quipes provenant dau moins trois organisations direntes de faon satisfaire lobjectif dindpendance. Il convient de veiller ce que la question de lindpendance ne se pose pas et
ce que tous les membres de lquipe soient mme dexercer pleinement leurs fonctions sans contrainte de condentialit, etc. La ralisation dvaluations externes rciproques entre deux organisations ne peut pas tre prise en considration en tant
quvaluation externe indpendante.

2.

Lindpendance de lquipe dvaluation, notamment les conits dintrts potentiels, doit


tre discute avec le Conseil.

IFACI - dcembre 2012

121

MPA 1300

modalits Pratiques dApplication

MPA 1312-4
Indpendance de lquipe dvaluation externe
dans le secteur public
Principale Norme de rfrence

1312 valuations externes


Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou
une quipe dvaluateurs qualis, indpendants et extrieurs l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
des modalits et de la frquence de lvaluation externe ; et
des qualications de l'valuateur ou de l'quipe d'valuation externes ainsi que de leur
indpendance y compris au regard de tout conit d'intrt potentiel.
Interprtation :
Les valuations externes peuvent prendre la forme dune valuation entirement externalise
ou dune auto-valuation avec validation indpendante externe.
Un valuateur ou une quipe dvaluateurs qualis possdent des comptences dans deux
domaines : la pratique professionnelle de laudit interne et le processus dvaluation externe. Ces
comptences peuvent tre dmontres travers une combinaison dexpriences professionnelles
et de connaissances thoriques.
Lexprience acquise dans des organisations de taille, de complexit, de secteur dactivit ou dindustrie, et de problmatiques techniques similaires est privilgier.
Dans le cadre dune quipe dvaluation, il nest pas ncessaire que chaque membre de lquipe
possde toutes les comptences requises ; cest lquipe dans son ensemble qui est qualie.
Le responsable de laudit interne doit se servir de son jugement professionnel pour apprcier si un
valuateur ou une quipe dvaluation possde susamment de comptences pour pouvoir mener
bien la mission dvaluation.
La personne ou lquipe qui procdent lvaluation doivent tre indpendantes de lorganisation
dont le service daudit interne fait partie et ne pas se trouver en situation de conit dintrt rel ou
apparent.

1.

Le terme secteur public , qui englobe tous les niveaux dintervention de ltat, comprend
les tablissements ou les entreprises ( lentit ) dtenus ou contrls par ltat. Dans le
secteur public, les services daudit interne des dirents niveaux dintervention de ltat
peuvent tre considrs comme indpendants pour la ralisation dune valuation externe.

122

IFACI - dcembre 2012

modalits Pratiques dApplication

2.

Les entits parapubliques englobent des entreprises qui sont dtenues ou contrles par
plusieurs tats, des institutions ou des organisations, telles que les Nations Unies ou la
Commission europenne. En raison de leur caractre multilatral, les organisations internationales devraient appliquer les lignes directrices destines au secteur priv.

Commentaire IFACI

3.

Tous les membres de lquipe dvaluation externe doivent tre indpendants de lentit
value et de son personnel daudit interne. En particulier, il ne doit pas exister de conit dintrt rel ou suppos entre les membres de lquipe dvaluation et lentit et/ou son personnel. Les lments devant tre pris en compte pour valuer lindpendance de lquipe
dvaluation comprennent ce qui suit :
Indpendant de lentit signie ne pas tre sous linuence de lentit dont le service
daudit interne est valu. Les conits dintrts rels, potentiels ou supposs doivent
tre pris en compte dans le cadre du processus de slection dun valuateur externe.
Un conit dintrts peut dcouler de relations passes, prsentes ou potentielles avec
lentit ou son service daudit interne. Les relations personnelles et/ou dordre commercial doivent tre prises en compte.
Dans le secteur public, le personnel rattach des services daudit interne distincts
dans des entits direntes mais correspondant un niveau dintervention donn de
ltat (administration nationale, rgionale, dpartementale, ou locale) peut tre considr comme indpendant pour la ralisation dune valuation externe.
Lorsquune ou plusieurs activits daudit interne sont ralises au mme niveau dintervention de ltat et sous lautorit du mme responsable de laudit interne, le personnel concern par ces activits nest pas considr comme indpendant pour la
ralisation dune valuation externe, mme sil est rattach des entits direntes.
Seuls des valuateurs indpendants de chacune de ces entits peuvent raliser une
valuation externe.
Des valuations externes rciproques peuvent tre eectues par des quipes provenant dau moins trois entits direntes de faon satisfaire lobjectif dindpendance.
Il convient de veiller ce que la question de lindpendance ne se pose pas et ce que
tous les membres de lquipe soient mme dexercer pleinement leurs fonctions sans
contrainte de condentialit, etc. La ralisation dvaluations externes rciproques entre
deux entits ne peut pas tre prise en considration en tant quvaluation externe indpendante.

IFACI - dcembre 2012

123

MPA 1300

Les lignes directrices du secteur public sont gnralement plus appropries pour les organisations intergouvernementales
qui prolongent et se substituent laction publique tatique.
Nanmoins, la notion dorganisation lie, dveloppe dans le 1 de la MPA 1312-3 relative au secteur priv, devra tre prise
en considration pour apprcier lindpendance du personnel dune institution donne en fonction du niveau de
contrle/supervision de lorganisation dont le service daudit interne fait lobjet dune valuation externe.

4.

Lindpendance de lquipe dvaluation, notamment les conits dintrts potentiels, doit


tre discute avec le Conseil.

5.

Lorsquil slectionne lquipe en vue de raliser une valuation, le responsable de laudit


interne doit prendre en compte le niveau dexprience de ses membres dans le secteur
public.

124

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 1321-1
Utilisation de la mention conforme aux Normes
internationales pour la pratique professionnelle de
laudit interne
Principale Norme de rfrence

1321 utilisation de la mention conforme aux Normes internationales


pour la pratique professionnelle de laudit interne

Interprtation :
Le service daudit interne est en conformit avec les Normes lorsquil respecte les exigences de la
Dnition de laudit interne, du Code de dontologie et des Normes.
Les rsultats du programme dassurance et damlioration qualit incluent les rsultats des valuations internes et des valuations externes. Tout service daudit interne disposera de rsultats dvaluations internes. Les services daudit interne qui ont plus de cinq ans danciennet disposeront
galement des rsultats de leurs valuations externes.

1.

La surveillance permanente ainsi que les valuations externe et interne de laudit interne ont
pour objet dvaluer et formuler une opinion sur la conformit de cette activit par rapport
la dnition de laudit interne, au Code de Dontologie et aux Normes. Ils incluent si ncessaire des recommandations en vue dune amlioration.

2.

Des valuations externes doivent tre ralises tous les cinq ans.

Commentaire IFACI
LIFACI considre quune priode de cinq ans est inadapte dans la plupart des cas pour la ralisation dvaluations externes.
En eet, laudit interne est une fonction cl du dispositif de contrle interne qui fait lobjet tous les ans dun rapport
approuv par le conseil dadministration. Dans ce rapport, rendu public, le Prsident du Conseil rend notamment compte
des procdures de contrle interne et de gestion des risques. En tant que partie prenante directement concerne par ces
processus, laudit interne se doit de justifier dun professionnalisme.
Par ailleurs, laudit interne est gnralement une fonction rotation de personnel leve.
Pour ces raisons, la Certification IFACI prend la forme dun audit de certification et daudits de suivi annuel, afin de rpondre

IFACI - dcembre 2012

125

MPA 1300

Le responsable de laudit interne peut indiquer que lactivit daudit interne est conduite conformment aux Normes internationales pour la pratique professionnelle de l'audit interne seulement
si les rsultats du programme d'assurance et d'amlioration qualit lont dmontr.

lengagement de progrs continu des dpartements daudit interne.


Ce modle encourage ainsi la mise en uvre rapide et optimale des plans daction de laudit interne et permet dacter les
amliorations qui y sont dployes.
Il assure galement le maintien de la vigilance des auditeurs et prvient toute drive ventuelle.
Il permet dintgrer pro activement les volutions des meilleures pratiques daudit.
Il oblige rester en alerte sur les changements de lenvironnement interne et externe de lorganisation.
Il conduit tenir compte de la vision et des besoins volutifs des parties prenantes.

3.

On peut utiliser la formule Conforme avec les Normes ou En conformit avec les Normes .
Lemploi dune de ces expressions exige quune valuation externe soit ralise au moins une
fois tous les cinq ans, et quelle soit accompagne dune surveillance permanente et dvaluations internes priodiques. Il faut galement que ces activits dbouchent sur la conclusion que laudit interne respecte la dnition de laudit interne, le Code de Dontologie et
les Normes. L'emploi de ces formules nest pas appropri tant quune valuation externe na
pas dmontr que laudit interne fonctionne en conformit avec la dnition de laudit
interne, le Code de Dontologie et les Normes.

4.

Le responsable de laudit interne indique la direction gnrale et au Conseil, les cas de nonconformit qui ont une incidence sur le champ dintervention ou le fonctionnement de laudit
interne, y compris lincapacit obtenir une valuation externe dans le dlai de cinq ans.

5.

Avant toute utilisation des formules ci-dessus par laudit interne, tout cas de non-conformit
mis en vidence par une valuation (interne ou externe) de la qualit, et de nature altrer
la capacit de ce service sacquitter de ses responsabilits :
doit tre rsolu de faon adquate ;
les actions correctrices sont documentes et noties lvaluateur (aux valuateurs)
concern(s), de faon obtenir son approbation quant au caractre adquat de la solution apporte la non-conformit ;
les actions correctrices ainsi que lapprobation du (des) valuateur(s) concern(s) sont
portes la connaissance de la direction gnrale et du Conseil.

126

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2000

mPA SrIE 2000


gEStIoN DE lAuDIt INtErNE

IFACI - dcembre 2012

127

128

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2010-1
La prise en compte des risques et des menaces
pour llaboration du plan daudit
Principale Norme de rfrence

2010 Planification

Interprtation :
Il incombe au responsable de laudit interne de dvelopper un plan daudit fond sur les risques.
Pour se faire, le responsable de laudit interne prend en compte le systme de management des
risques dni au sein de lorganisation, il tient notamment compte de lapptence pour le risque
dnie par le management pour les direntes activits ou branches de lorganisation. Si ce systme
de management des risques nexiste pas, le responsable de laudit interne doit se baser sur sa propre
analyse des risques aprs avoir pris en considration le point de vue de la direction gnrale et
du Conseil. Le responsable de laudit interne doit, le cas chant, rviser et ajuster le plan afin
de rpondre aux changements dans les activits, les risques, les oprations, les programmes,
les systmes et les contrles de lorganisation.

1.

En laborant le plan d'audit, la plupart des responsables de laudit interne choisissent d'abord
de dvelopper ou dactualiser lunivers d'audit. Lunivers daudit recense tous les audits
pouvant tre raliss. Le responsable de laudit interne peut recueillir la contribution de la
direction gnrale et du Conseil pour constituer lunivers daudit.

Commentaire IFACI
Pour mener bien cette mission, il est important que laudit interne ait une bonne comprhension du processus de
management des risques. Pour cela, il doit bien apprhender les rles respectifs de laudit interne, des risk managers, du
comit daudit et du comit des risques sils existent. Sil apparat que ceux-ci sont insusamment prcis ou non
coordonns, laudit interne doit en informer la direction gnrale et lui faire part de ses recommandations en vue
damliorer la gestion des risques de lorganisation. Nous renvoyons la MPA 2120-1 qui traite prcisment du rle de
lauditeur interne dans le processus de management de risque et en labsence dun tel processus.

2.

Lunivers daudit peut intgrer certaines composantes du plan stratgique de lorganisation,


de faon tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, les
plans stratgiques retent lattitude de lorganisation face aux risques et le degr de dicult

IFACI - dcembre 2012

129

MPA 2000

Le responsable de l'audit interne doit tablir un plan daudit fonde sur les risques an de dnir
des priorits cohrentes avec les objectifs de l'organisation.

que comporte la ralisation des objectifs xs. Lunivers daudit prend gnralement en
compte les rsultats du processus de management des risques. En principe, le plan stratgique de lorganisation tient compte de lenvironnement dans lequel elle opre. Les facteurs
lis cet environnement inueront vraisemblablement lunivers daudit et lvaluation des
risques.
3.

Le responsable de laudit interne prpare le plan d'audit partir de lunivers d'audit, des contributions de la direction gnrale et du Conseil, dune valuation des risques et des menaces
pouvant aecter l'organisation. Les principaux objectifs daudit visent fournir une assurance
et des informations, notamment en ce qui concerne lvaluation de lecacit de la gestion
des risques par le management, la direction gnrale et au Conseil an de les aider atteindre les objectifs de l'organisation.

4.

Lunivers et la planication daudit sont actualiss an dintgrer les changements dorientation, dobjectifs et de priorit dcids par la direction gnrale. Il est conseill dexaminer lapproche daudit, au minimum une fois par an, an de ladapter aux stratgies et aux
orientations les plus rcentes de lorganisation. Il peut savrer ncessaire, dans certains cas,
de procder une mise jour plus rgulire (trimestrielle, par exemple) des plans daudit en
fonction des volutions intervenues dans les activits commerciales, le fonctionnement, les
programmes, les systmes et les contrles de lorganisation.

5.

Le plan des missions daudit est tabli, entre autres, sur la base dune valuation des principaux risques et menaces. Il convient de dnir des priorits de faon aecter les ressources
en fonction du caractre signicatif des risques. Le responsable de l'audit interne a, sa disposition, divers modles de risques pour laider dnir les zones daudit prioritaires. La plupart
de ces modles utilisent des facteurs de risque tels que limpact, la probabilit doccurrence,
la matrialit, la liquidit des actifs, la comptence du management, la qualit et le respect
des contrles internes, le niveau de changement ou de stabilit, la date et les rsultats de la
dernire mission daudit, la complexit, les relations avec le personnel et ladministration, etc.
Les mthodes et les techniques utilises dans le cadre des missions daudit, pour eectuer
des tests et valider lexposition aux risques, doivent tenir compte de la matrialit des risques
et de leur probabilit doccurrence.

Commentaire IFACI
Parmi les divers modles de risques existants, citons par exemple :
le management des risques de lentreprise COSO Report II, dont la traduction a t publie par lIFACI ;
les modles prsents dans les cahiers de la recherche Management des risques , publis par lIFACI ;
le cadre de rfrence de la gestion des risques du Ferma (Federation of European Risk Management Association) ;
les modles proposs dans les sminaires de lIFACI sur lvaluation et la matrise des risques et sur la cartographie des
risques.
Bien entendu, il appartient chaque service daudit interne de les analyser et de se les approprier.
130

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2010-2
Prise en compte du management des risques
dans la planification de laudit interne
Principale Norme de rfrence

2010 Planification

Interprtation :
Il incombe au responsable de laudit interne de dvelopper un plan daudit fond sur les risques.
Pour se faire, le responsable de laudit interne prend en compte le systme de management des
risques dni au sein de lorganisation, il tient notamment compte de lapptence pour le risque
dnie par le management pour les direntes activits ou branches de lorganisation. Si ce systme
de management des risques nexiste pas, le responsable de laudit interne doit se baser sur sa propre
analyse des risques aprs avoir pris en considration le point de vue de la direction gnrale et
du Conseil. Le responsable de laudit interne doit, le cas chant, rviser et ajuster le plan afin
de rpondre aux changements dans les activits, les risques, les oprations, les programmes,
les systmes et les contrles de lorganisation.

1.

Le management des risques est une composante primordiale de la bonne gouvernance. Il


concerne toutes les activits dune organisation. Nombre dorganisations sont en train dadopter une approche de management des risques homogne et holistique, qui, dans lidal, doit
tre pleinement intgre leur management global. Le management des risques sapplique
tous les niveaux : entreprise, fonctions et units oprationnelles. Les managers recourent
gnralement un cadre de rfrence du management des risques pour raliser lvaluation
ncessaire et en documenter les rsultats.

2.

Sil est ecace, le processus de management des risques peut faciliter lidentication des
contrles cls lis aux risques inhrents les plus importants. Le management des risques de
lentreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of
Sponsoring Organizations of the Treadway Commission (COSO) le dnit comme un processus mis en uvre par le Conseil dadministration, la direction gnrale, le management et
lensemble des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la
stratgie ainsi que dans toutes les activits de lorganisation. Il est conu pour identier les
vnements potentiels susceptibles daecter lorganisation et pour grer les risques dans
les limites de la tolrance au risque. Il vise fournir une assurance raisonnable quant lat-

IFACI - dcembre 2012

131

MPA 2000

Le responsable de l'audit interne doit tablir un plan daudit fonde sur les risques an de dnir
des priorits cohrentes avec les objectifs de l'organisation.

teinte des objectifs de lorganisation . Lexcution des contrles est lune des mthodes utilise par le management pour grer les risques dans les limites de son apptence pour le
risque. Les auditeurs internes vrient les contrles cls et donnent une assurance sur le
management des risques signicatifs.
3.

Les Normes pour la pratique professionnelle de laudit interne (les Normes) labores par lIIA
dnissent le contrle comme toute mesure prise par le management, le Conseil et d'autres
parties an de grer les risques et d'accrotre la probabilit que les buts et objectifs xs seront
atteints. Les managers planient, organisent et dirigent la mise en uvre de mesures susantes pour donner une assurance raisonnable que les buts et objectifs seront atteints .

4.

Il convient de distinguer deux concepts fondamentaux : le risque inhrent et le risque rsiduel


(ou risque actuel). Les auditeurs nanciers/externes utilisent depuis longtemps le concept
de risque inhrent, que lon peut considrer comme tant le fait que des informations ou des
donnes puissent tre signicativement errones en labsence de contrles dattnuation
correspondants.
Daprs les Normes, les risques rsiduels sont les risques qui subsistent aprs les mesures
prises par le management pour rduire l'impact et la probabilit d'occurrence d'un vnement dfavorable et, notamment, aprs les dispositifs de contrle mis en place en rponse
un risque . Le risque actuel est souvent dni comme le risque gr dans le cadre des activits de contrles ou du dispositif de contrle en place.

5.

Les contrles cls sont les contrles ou les ensembles de contrles qui aident rduire le
risque un niveau acceptable. On peut les considrer comme des processus organisationnels
visant traiter les risques. Si le management des risques est ecace (et accompagn dune
documentation adquate), il est facile didentier les contrles cls en examinant lcart entre
risque inhrent et risque rsiduel dans tous les dispositifs sur lesquels lorganisation sappuie
pour rduire le niveau des risques importants. Si le risque inhrent na pas t identi, lauditeur interne lestime. Lorsquil identie les contrles cls (et dans lhypothse o il a conclu
la maturit et la abilit du management des risques), lauditeur interne examine :
chaque facteur de risque correspondant un cart signicatif entre le risque inhrent
et le risque rsiduel (surtout si le risque inhrent tait particulirement lev). Cette
analyse met en lumire les contrles importants pour lorganisation ;
les contrles qui servent rduire un grand nombre de risques.

6.

La planication de laudit interne doit sappuyer sur le processus de management des risques
de lorganisation, lorsque celui-ci a t dploy. Quand il planie une mission, lauditeur
interne prend en compte les risques importants lis lactivit et les moyens par lesquels le
management ramne le risque un niveau acceptable. Il recourt des techniques dvaluation des risques pour tablir le plan de la mission et pour dnir les priorits an dallouer en
consquence les ressources ddies la mission. Lvaluation des risques sert xer les prio-

132

IFACI - dcembre 2012

modalits Pratiques dApplication

7.

Les auditeurs internes ne sont pas toujours qualis pour examiner toutes les catgories de
risques et le processus de management des risques au sein de lorganisation (audits internes
portant sur lhygine et la scurit au travail, audits environnementaux ou instruments nanciers complexes, par exemple). Le responsable de laudit interne veille, par consquent, faire
appel aux auditeurs internes qui disposent de comptences spcialises, ou des prestataires
extrieurs.

8.

La conguration des processus et des systmes de management des risques varie dun pays
lautre et leur maturit dune organisation lautre. Dans les organisations o le service de
management des risques est centralis, celui-ci coordonne ses activits avec celles des managers, de faon surveiller en permanence le dispositif de contrle interne et ladapter en
fonction de lvolution de lapptence pour le risque. Les processus de management des
risques qui sont mis en uvre dans direntes parties du monde peuvent direr par leur
philosophie, leurs structures et leur terminologie. Cest pourquoi les auditeurs internes
valuent le processus propre lorganisation considre et dterminent quels lments
peuvent servir laborer le plan daudit interne ou le plan dune mission donne.

9.

Lorsque lauditeur interne tablit son plan, il doit prendre en compte un certain nombre dlments :
les risques inhrents Sont-ils identis et valus ?
les risques rsiduels Sont-ils identis et valus ?
les contrles dattnuation, les plans de secours et le pilotage des activits Sont-ils
associs des vnements et/ou des risques spciques ?
linventaire ou le registre des risques Est-il systmatique, aliment et prcis ?
la documentation Les risques et activits sont-ils documents ?
De plus, lauditeur interne coordonne ses activits avec celles des autres prestataires de
services dassurance et planie lutilisation ventuelle de leurs travaux.
[Voir la Modalit pratique dapplication 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrle et de management des risques.]

10. La charte daudit interne requiert que le service daudit interne se concentre sur les domaines
haut risque, quil sagisse des risques inhrents ou des risques rsiduels. Laudit interne doit
identier les domaines dans lesquels il existe un risque inhrent lev, des risques rsiduels
levs et les contrles cls pour lesquels lorganisation a le plus dassurance. Si laudit interne
repre des domaines prsentant un risque rsiduel inacceptable, il doit en aviser le manage IFACI - dcembre 2012

133

MPA 2000

rits parmi les entits pouvant tre audites et slectionner les domaines devant faire lobjet
dune revue. Les entits et les domaines qui prsentent la plus forte exposition aux risques
devront tre intgrs dans les plans de la mission.

ment, an que ce risque puisse tre gr. En appliquant un processus de planication stratgique, lauditeur interne sera mme didentier dirents types dactivits inclure dans
le plan daudit, tels que :
les activits de contrle/revues dassurance Lauditeur interne examine ladquation
et lecience des dispositifs de contrle et apporte lassurance que les contrles fonctionnent et que les risques sont grs ecacement ;
les demandes dinformation Le management de lorganisation estime le degr dincertitude inacceptable en ce qui concerne les contrles portant sur une activit ou un
domaine de risque identi, et lauditeur interne met en uvre des procdures destines mieux apprhender le risque rsiduel ;
les activits de conseil Lauditeur interne conseille le management de lorganisation
sur la conception des dispositifs de contrle destins ramener les risques existants
un niveau acceptable.
Les auditeurs internes cherchent galement identier les contrles superus, redondants,
excessifs ou complexes qui ne contribuent pas la rduction eciente du risque. Il arrive
que le contrle ait un cot suprieur ses bnces. Ce contrle pourra tre redni avec
davantage decience.
11. Lidentication des risques pertinents doit tre systmatique et bien documente. Il existe
direntes formes de documentation, qui vont dun tableur, dans les petites organisations,
au logiciel achet lextrieur, dans les organisations plus sophistiques. Lessentiel, cest que
le processus de management des risques soit intgralement document.
12. La documentation du management des risques, dans une organisation, peut tre eectue
dirents niveaux infrieurs et en dea du niveau stratgique. Pour les risques non stratgiques, nombre dorganisations ont constitu un inventaire des risques qui informe sur les
risques importants dans un domaine, ainsi que le niveau des risques inhrents et rsiduels
correspondants, sur les contrles cls et sur les mesures dattnuation. Il est ensuite possible
de recourir un rapprochement permettant dtablir des liens plus directs entre les catgories de risques et les niveaux dexposition dcrits dans les registres des risques et, le
cas chant, les lments dj inclus dans lunivers daudit.
13. Il arrive que certaines organisations identient plusieurs domaines dans lesquels le risque
inhrent est lev (ou plus lev). Bien que ces risques puissent justier lattention de laudit
interne, il nest pas toujours possible de tous les examiner. Si, daprs le registre des risques,
le risque inhrent est jug lev ou en augmentation dans un domaine particulier et si le
risque rsiduel reste, pour une large part, inchang et quaucune action nest prvue par le
management ou par laudit interne, le responsable de laudit interne en rend compte au
Conseil, en dtaillant lanalyse des risques et les raisons pour lesquelles certains contrles
nont pas t mis en place ou sont inecaces.
134

IFACI - dcembre 2012

modalits Pratiques dApplication

14. Une slection daudits types pour les units oprationnelles ou les branches dans lesquels le
niveau de risque est faible doit tre priodiquement incluse dans le plan daudit interne an
de viser la couverture exhaustive du primtre daudit et de conrmer que les risques nont
pas volu. Laudit interne dnit galement une mthode de hirarchisation des risques qui
nont pas encore fait lobjet dun audit interne.
15. Un plan daudit interne est habituellement ax sur :
les risques actuels inacceptables, qui ncessitent une action du management. Ils
concernent des domaines dans lesquels les contrles cls ou les mesures dattnuation
sont limits au minimum, et que la direction gnrale souhaite faire auditer sans dlai ;
les dispositifs de contrle sur lesquels lorganisation sappuie le plus ;
les domaines dans lesquels il existe un cart considrable entre risque inhrent et risque
rsiduel ;
les domaines dans lesquels le risque inhrent est trs lev.

MPA 2000

16. Lorsque lauditeur interne planie une mission donne, il identie et value les risques lis
au domaine examin.

IFACI - dcembre 2012

135

MPA 2020-1
Communication et approbation
Principale Norme de rfrence

2020 Communication et approbation


Le responsable de l'audit interne doit communiquer la direction gnrale et au Conseil son
plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important
susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit galement
signaler l'impact de toute limitation de ses ressources.

1.

Le responsable de l'audit interne soumet, annuellement, pour examen et approbation, la


direction gnrale et au Conseil, une synthse du plan annuel daudit interne, du planning
des travaux, des prvisions deectifs et le budget nancier. Cette synthse signalera la direction gnrale et au Conseil ltendue des missions daudit et, le cas chant, les limitations
qui y sont apportes. Le responsable de l'audit interne signalera galement, pour information
et approbation, tout changement ultrieur signicatif.

2.

Le planning des travaux, les prvisions deectifs et le budget nancier approuvs, ainsi que
tous les changements importants survenus en cours dexercice, doivent contenir susamment dinformations pour permettre la direction gnrale et au Conseil de dterminer si
les objectifs et les plans de laudit interne correspondent ceux de lorganisation et du Conseil
et sont cohrents avec la charte daudit interne.

136

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2030-1
Gestion des ressources
Principale Norme de rfrence

2030 gestion des ressources


Le responsable de l'audit interne doit veiller ce que les ressources aectes cette activit
soient adquates, susantes et mises en uvre de manire ecace pour raliser le plan d'audit
approuv.

1.

Le responsable de laudit interne sassure de ladquation et de la gestion des ressources


ncessaires lexercice des responsabilits de laudit interne, telles que dnies dans la charte.
Cela suppose lexistence dune relle communication avec la direction gnrale et le Conseil
sur les besoins et le prol des ressources de laudit interne. Les ressources de laudit interne
peuvent comprendre des salaris, des prestataires externes, des contributions nancires et
des techniques daudit informatises. Le responsable de laudit interne devrait assister la direction gnrale et le Conseil qui ont la responsabilit ultime de garantir ladquation des
ressources avec les besoins de laudit interne.

2.

Les comptences, le potentiel, ainsi que les connaissances techniques de lquipe daudit
interne doivent tre appropries par rapport aux activits programmes. Le responsable de
laudit interne ralisera une valuation ou un recensement priodique des comptences
spciques requises pour accomplir les activits de laudit interne. Lvaluation des comptences est fonde sur les besoins identis lors de lvaluation des risques et dans le plan
daudit. Cette valuation porte sur les comptences techniques, linguistiques, de gestion, de
prvention et de dtection des fraudes, ainsi que les expertises en comptabilit et en audit.

3.

Il faut que les ressources de laudit interne soient susantes pour permettre laccomplissement de ses activits avec toute la justesse, la prcision et la ponctualit attendues par la
direction gnrale et le Conseil, comme prvu dans la charte daudit interne. Les lments
prendre en considration lors de la planication des ressources incluent l'univers d'audit, les
niveaux de risques appropris, le plan annuel d'audit, les attentes en matire de couverture,
et une estimation des activits imprvues.

IFACI - dcembre 2012

137

MPA 2000

Interprtation :
On entend par ressources adquates, la combinaison de connaissances, savoir-faire et autres comptences ncessaires la ralisation du plan daudit. On entend par ressources susantes, la quantit
de ressources ncessaires la ralisation du plan daudit. Les ressources sont mises en uvre ecacement quand elles sont utilises de manire optimiser la ralisation du plan daudit.

Commentaire IFACI
Il convient de rappeler que le budget dun service daudit interne, ralis en collaboration avec la direction des ressources
humaines et la direction du contrle de gestion, se compose de trois lments :
un budget deectifs, avec un plan de recrutement (pluriannuel) et une prvision de mobilits externes ;
un budget financier, avec des crdits de formation, dtudes, dhonoraires, de sous-traitance, de moyens coordonns
avec les auditeurs externes, des frais de dplacement;
un budget logistique (outils informatiques, locaux, vhicules).
Ce budget doit permettre doptimiser la structure et lorganisation du service daudit interne en fonction de la couverture
daudit et des contraintes financires.
4.

Le responsable de laudit interne devra sassurer que les ressources sont ecacement
dployes. Les auditeurs comptents et qualis sont ainsi aects des missions spciques.
Cela implique galement le dveloppement dune dmarche danalyse des ressources, dune
structure adapte aux activits, ainsi quau prol des risques et la rpartition gographique
de lorganisation.

5.

Plus gnralement, le responsable de laudit interne prend aussi en considration le plan de


succession, lvaluation du personnel, les programmes de dveloppement des comptences,
ainsi que dautres sujets de ressources humaines. Le responsable de laudit interne sassure
que les besoins de ressources de laudit interne sont correctement pris en compte, et ce,
quelles que soient les comptences prsentes ou non dans la fonction daudit interne proprement dite. Le responsable de laudit interne envisage dautres approches pour combler les
besoins de ressources, notamment le recours des prestataires externes de service, des
employs dautres dpartements de lorganisation ou des consultants spcialiss.

Commentaire IFACI
Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines de
lorganisation. Un bon degr de libert du responsable de laudit interne lui permet de slectionner les collaborateurs les
mieux adapts tout en prenant en considration les exigences de lorganisation telles que les redploiements de
comptences, la grille de rmunrations

6.

En raison du caractre critique des ressources, le responsable de laudit interne communique


rgulirement avec la direction gnrale et le Conseil, sur ladquation des ressources ncessaires au fonctionnement de laudit interne. Le responsable de laudit interne prsente priodiquement la direction gnrale et au Conseil une synthse prcisant le prol et
ladquation des ressources. A cette n, le responsable de laudit interne dveloppe des indicateurs appropris, xe des buts et objectifs pour contrler ladquation gnrale des

138

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2000

ressources. Il peut sagir de la comparaison des ressources avec le plan annuel daudit, de limpact dune absence temporaire de ressources ou dune vacance de poste, des formations et
apprentissages, de nouveaux besoins ou exigences spciques rsultant des changements
intervenus dans les activits commerciales, le fonctionnement, les programmes, les systmes
et les contrles de lorganisation.

IFACI - dcembre 2012

139

MPA 2040-1
Rgles et procdures
Principale Norme de rfrence

2040 rgles et procdures


Le responsable de l'audit interne doit tablir des rgles et procdures fournissant un cadre l'activit d'audit interne.
Interprtation :
La forme et le contenu des rgles et procdures dpendent de la taille, de la manire dont est structur laudit interne et de la complexit de ses travaux.

1.

Le responsable de laudit interne tablit des rgles et des procdures. Des manuels administratifs et techniques peuvent ne pas tre ncessaires pour toutes les entits daudit interne.
Un petit service daudit interne peut tre dirig dune manire informelle. Son personnel peut
tre dirig et contrl au jour le jour par une supervision troite et des notes de service qui
dnissent les rgles et les procdures suivre. Par contre, dans un service daudit interne
important, il est essentiel de disposer de rgles et procdures plus formalises et compltes
pour guider les auditeurs dans la ralisation du plan annuel daudit.

Commentaire IFACI
Il est important davoir des protocoles ou procdures propres laudit interne qui sinscrivent dans le cadre de conventions
rgissant les rapports entre les socits dun mme groupe : par exemple, existence dun audit groupe et de services daudit
dcentraliss dans les filiales.

140

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2050-1
Coordination
Principale Norme de rfrence

2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.

1.

La surveillance des travaux de commissariat aux comptes, y compris la coordination avec


laudit interne, est du ressort du Conseil.
La coordination des travaux daudit interne et externe relve du responsable de l'audit interne.
Celui-ci obtient lappui du Conseil pour coordonner ecacement les travaux daudit.

Sur le plan oprationnel, la coordination audit interne/audit externe dans un certain nombre de socits cotes reste encore
du ressort du directeur financier. Il est souhaitable que le responsable de laudit interne, dans le cadre de ses responsabilits
et si son rattachement lui en donne la possibilit, prenne en charge ce processus.

Commentaire IFACI
Voici les recommandations du Comit de Ble dans son document publi en aot 2001 sur Laudit interne dans les
banques et les relations des autorits de tutelle avec les auditeurs :
Relations entre les auditeurs internes et les auditeurs externes
Principe n 16
Les autorits de tutelle doivent encourager les contacts entre les auditeurs internes et externes de faon rendre leur
collaboration aussi relle et ecace que possible.
64. Les auditeurs externes ont une influence notable sur la qualit des contrles internes, en raison de leurs activits
d'audit et notamment, de leurs entretiens avec la direction gnrale et le Conseil d'Administration ou le Comit d'Audit,
sil existe, ainsi que par leurs recommandations pour l'amlioration du contrle interne.
65. Il est en gnral admis que l'audit interne est utile pour dterminer la nature, le calendrier et l'tendue des
procdures d'audit externe. Cependant, lauditeur externe (le Commissaire aux comptes en France) est seul responsable
de son opinion sur les tats financiers. Lauditeur externe doit tre avis des travaux daudit interne, avoir accs aux
rapports pertinents et tre tenu inform de tout problme significatif qui a retenu l'attention de l'auditeur interne et
qui pourrait avoir une incidence sur son travail. De mme, lauditeur externe doit informer l'auditeur interne de tout
problme important qui pourrait le concerner.

IFACI - dcembre 2012

141

MPA 2000

Commentaire IFACI

66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec
celui des auditeurs externes. La coordination entre les services d'audit ncessite des rencontres priodiques pour
s'entretenir de questions d'intrt commun, procder l'change des rapports d'audit et des notes de la direction et
convenir de techniques, mthodes et terminologies communes.

Commentaire IFACI
En France, le comit daudit peut assumer la surveillance de cette coordination, selon lIFA Les Comits dAudit : 100
bonnes pratiques : il appartient galement au comit daudit de veiller ce que laudit interne et laudit externe
coordonnent leurs eorts et que leur communication soit ecace. .

2.

Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance
sur des activits comprises dans le primtre de laudit interne. Dans ce cas, le responsable
de laudit interne prend les mesures ncessaires pour comprendre le travail ralis par les
auditeurs externes, notamment :
ltendue, la nature du travail et lchancier prvus par les auditeurs externes et sassurer
que le travail des auditeurs internes et externes rpond aux exigences de la Norme
2100 ;
lvaluation des risques et le seuil de matrialit utiliss par les auditeurs externes ;
les techniques, les mthodes et la terminologie employes par les auditeurs externes,
an de permettre au responsable de laudit interne de (1) coordonner le travail des auditeurs internes et externes, (2) valuer le travail des auditeurs externes pour sy appuyer,
(3) communiquer ecacement avec les auditeurs externes.
laccs aux programmes et aux documents de travail des auditeurs externes pour sassurer que leur travail peut tre utilis pour atteindre les objectifs de laudit interne. Les
auditeurs internes respectent la condentialit de ces programmes et documents de
travail.

Commentaire IFACI
Il est donc souhaitable que le responsable de laudit interne assiste aux runions darbitrage du planning des commissaires
aux comptes et aux runions de restitution des rsultats.

142

IFACI - dcembre 2012

modalits Pratiques dApplication

3.

Lauditeur externe peut se rfrer aux travaux de laudit interne. Dans ce cas, il convient que
le responsable de laudit interne fournisse susamment dinformations pour permettre lauditeur externe de comprendre les techniques, mthodes et terminologie employes par laudit interne et faciliter la rfrence ses travaux. Les auditeurs externes ont accs aux
programmes et aux documents de travail des auditeurs internes pour sassurer que leur travail
peut tre utilis pour atteindre les objectifs de laudit externe.

La Compagnie Nationale des Commissaires aux Comptes prconise galement cette coordination avec laudit interne. Selon
la norme dexercice professionnel 610 le commissaire peut utiliser des travaux raliss par laudit interne aprs avoir
apprci des lments comme :
la place quoccupe laudit interne dans lorganisation de lentit. Le commissaire aux comptes examine les rgles et les
procdures mises en place dans lentit pour assurer lobjectivit des auditeurs internes dans la ralisation de leurs
travaux et lmission de leurs conclusions ;
la nature et ltendue des travaux confis laudit interne ;
les qualifications professionnelles des auditeurs internes et leur exprience acquise dans ces fonctions ;
lorganisation de laudit interne en termes de planification, mise en uvre et supervision des travaux ;
la documentation existante, y compris les programmes de travail et autres procdures crites ;
la prise en compte par la direction des recommandations formules par laudit interne et si elle met en uvre des
actions pour rpondre ces recommandations.
Commentaire IFACI
Le fait quun service daudit interne dispose dauditeur interne CIA et/ou DPAI et soit certifi, est un commencement de
preuve trs fort de professionnalisme. Ce sont des pralables qui permettent ensuite aux commissaires aux comptes de se
rfrer aux travaux raliss par laudit interne.

4.

Lutilisation de techniques, mthodes et terminologie similaires par les auditeurs internes et


externes, la coordination eective de leurs travaux et la rfrence mutuelle aux travaux
peuvent constituer une approche eciente.

5.

Les missions planies des auditeurs internes et externes devront tre examines pour sassurer que la couverture de laudit est coordonne et que la duplication des travaux est minimise lorsque cela est possible. Un nombre susant de rencontres sont programmes
pendant le processus daudit pour assurer la coordination des travaux, lecacit et l'achvement dans un dlai raisonnable des missions, et dterminer si les observations et recommandations issues des travaux dj raliss ncessitent de modier le programme
dintervention.

IFACI - dcembre 2012

143

MPA 2000

Commentaire IFACI

6.

Les rapports dnitifs de l'audit interne, les commentaires du management propos de ces
rapports, et les analyses complmentaires qui en dcoulent sont mis disposition des auditeurs externes. Ces rapports aident les auditeurs externes dterminer et ajuster ltendue
et la dure de leur travail. De plus, les auditeurs internes ont besoin daccder aux supports
de prsentation des auditeurs externes et aux documents adresss la direction. Les points
abords dans ces documents sont pris en considration par le responsable de laudit interne
et utiliss comme une donne permettant didentier des domaines sur lesquels il convient
de mettre laccent dans les travaux futurs de laudit interne. Une fois la lettre de recommandation tudie et la dcision dengager des mesures correctives prise par les personnes appropries au niveau de la direction gnrale et du Conseil, le responsable de laudit interne
sassure de lexistence dun suivi appropri et de la mise en oeuvre des actions correctives.

7.

Le responsable de laudit interne doit procder des valuations rgulires de la coordination


entre les auditeurs internes et externes. De telles valuations peuvent aussi inclure des apprciations sur lecacit et lecience globale des activits daudit interne et externe y compris
sur leur cot global. Le responsable de laudit interne communique les rsultats de ces valuations, y compris les commentaires pertinents propos de la performance des auditeurs
externes, la direction gnrale et au Conseil.

Commentaire IFACI
Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu :
de larticle 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : () les commissaires
aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et
renseignements dont ils ont pu avoir connaissance raison de leurs fonctions ;
des normes dexercice professionnel ;
du Code de dontologie de la profession de commissaire aux comptes.
Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialit de certaines informations
auxquelles ont accs les auditeurs internes sont susceptibles de constituer des limites cette coordination.

144

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2050-2
Cartographie des services donnant une assurance
sur les dispositifs de contrle et de management
des risques
Principale Norme de rfrence

2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.

LIFACI a publi en octobre 2008 une Prise de Position sur lurbanisme du contrle interne (www.ifaci.com). Lurbanisme du
contrle interne tel quil se pratique en France se caractrise notamment par :
des activits de contrle clairement identifies dans une charte de contrle interne ;
un rle de support au contrle interne exerc de plus en plus par les services fonctionnels ;
le rle accru des animateurs du contrle interne des entits ;
une fonction daudit interne charge dvaluer lensemble des systmes de contrle interne et qui sait se doter dexperts
pour aborder les activits de contrle les plus techniques.
LIFACI recommande, entre autres propositions :
que les administrateurs membres du comit daudit ou tout autre comit quivalent disposent du temps ncessaire
pour se faire dcrire en dtail le dispositif de contrle interne et de matrise des risques, faire les observations qui
simposent et en eectuer une surveillance attentive et rgulire ; []
que la direction gnrale adopte un discours et une attitude dnus dambigut sur limportance quelle accorde au
dispositif du contrle interne et sur sa volont dexiger une attitude semblable de la part de tout le personnel ; []
que les rles respectifs des dirents acteurs soient clairement exposs et connus de tous ; []
que les entits oprationnelles et fonctionnelles dsignent un coordinateur ou animateur de contrle interne, ddi ou
non, assist dune quipe ou non en fonction de leur taille, et que cet agent adopte un mode de fonctionnement en
rseau pour procder tous changes dinformation ou dexpriences utiles ;
que un ou plusieurs comits de coordination soient crs et anims aux niveaux pertinents chaque organisation,
incluant non seulement les responsables oprationnels et fonctionnels mais galement les responsables des activits
de contrle permanent ou priodique ;
quautant que de besoin, et au moins une fois par an, le directeur de laudit interne prsente de manire formelle, au

IFACI - dcembre 2012

145

MPA 2000

Commentaire IFACI

comit excutif, ses observations sur le fonctionnement du contrle interne et fasse toute prconisation pour permettre
ce dernier de prendre les dcisions aptes optimiser son ecacit et assurer ainsi une bonne matrise des
oprations ;
quune prsentation similaire soit faite au comit daudit afin quil soit notamment tenu inform des principaux
rsultats des contrles exercs et des dcisions prises pour renforcer les scurits ;
que laudit interne conseille la direction gnrale sur lurbanisation du contrle interne, anime et coordonne son
dploiement et son amlioration permanente ; quen revanche il ne soit pas partie prenante de la dfinition, de la mise
en place et du fonctionnement des dispositifs oprationnels de contrle quil sera appel auditer.
Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrle
interne ecient, est disponible sur le site internet de lIFACI (www.ifaci.com).

1.

Lune des principales responsabilits du Conseil consiste sassurer que les processus fonctionnent dans le respect des instructions quil a mises pour la ralisation des objectifs pralablement dnis. Il est ncessaire de dterminer si les processus de management des risques
sont ecaces et si les principaux risques ou les risques critiques pour lentreprise sont ramens
un niveau acceptable.

2.

Lattention croissante porte sur les rles et les responsabilits de la direction gnrale et du
Conseil pousse de nombreuses organisations mettre davantage laccent sur les activits
dassurance. Le glossaire des Normes dnit lassurance comme un examen objectif dlments probants, eectu en vue de fournir lorganisation une valuation indpendante des
processus de gouvernement dentreprise, de management des risques et de contrle . Le
Conseil peut sappuyer sur de multiples sources pour obtenir une assurance raisonnable. Lassurance donne par le management est fondamentale et doit tre complte par une assurance objective provenant de laudit interne et de tiers. Les risk managers, les auditeurs
internes et le personnel charg de la conformit se demandent : qui fait quoi et pourquoi ? .
Le Conseil, en particulier, commence se demander qui donne une assurance, quelle est la
dlimitation des fonctions et sil y a des chevauchements.

3.

On distingue globalement trois types de prestataires de services dassurance. Ils se direncient par les parties prenantes auxquelles ils sadressent, par leur degr dindpendance par
rapport aux activits pour lesquelles ils apportent une assurance et par la solidit de cette
assurance :
prestataires rendant compte au management et/ou qui en font partie (assurance
donne par le management), notamment ceux qui eectuent les auto-valuations des
contrles, les auditeurs qualit, les auditeurs environnementaux et les autres membres
du personnel dassurance dsigns par le management ;
prestataires rendant compte au Conseil, y compris laudit interne ;

146

IFACI - dcembre 2012

modalits Pratiques dApplication


prestataires rendant compte des parties prenantes extrieures (assurance manant
de laudit externe), rle traditionnellement dvolu au commissaire aux comptes.

4.

Il existe plusieurs prestataires de services dassurance :


cadres oprationnels et employs (cest la premire ligne de dfense vis--vis des risques
et des contrles dont ils sont chargs) ;
direction gnrale ;
auditeurs internes ;
auditeurs externes ;
responsable de la conformit ;
responsable qualit ;
risk managers ;
auditeurs environnementaux ;
auditeurs de lhygine et de la scurit au travail ;
auditeurs de la performance dans le secteur public ;
quipes dvaluateurs de la communication nancire ;
sous-comits du Conseil (audit, actuariat, crdit, gouvernance, etc.) ;
prestataires externes de services dassurance, qui eectuent notamment des enqutes
ou des analyses spcialises (portant, par exemple, sur lhygine et la scurit).

5.

Laudit interne donne habituellement une assurance lchelle de toute lorganisation, y


compris sur les processus de management des risques (conception et ecacit oprationnelle), la gestion des risques majeurs (en particulier, lecacit des contrles et des autres
modes de gestion de ces risques), la vrication de la abilit et de ladquation de lvaluation des risques, ainsi que sur le reporting de ltat des risques et des contrles.

6.

La responsabilit des activits dassurance tant traditionnellement rpartie entre le management, laudit interne, le risk management et les responsables de la conformit, une coordination est essentielle an de maximiser lecience et lecacit de lutilisation des
ressources. De nombreuses organisations ont mis en place des fonctions classiques (et spares) daudit interne, de risk management et de conformit. On trouve souvent plusieurs entits distinctes qui ralisent des activits de management des risques, de conformit ou
dassurance et qui oprent indpendamment les unes des autres. Si la coordination et la
communication ne sont pas ecaces, des doubles emplois peuvent se produire ou les principaux risques sont susceptibles dtre ngligs ou mal valus.

7.

Si nombre dorganisations exercent un pilotage de laudit interne, du risque et de la conformit, toutes nont pas une approche holistique de ces activits. La cartographie des prestataires de service dassurance consiste mettre ltendue des travaux dassurance en regard

IFACI - dcembre 2012

147

MPA 2000

Le niveau dassurance souhait et le type de prestataire dpendent du risque.

des principaux risques qui existent dans une organisation. Grce ce processus, une organisation peut identier toute lacune dans le management des risques et y remdier, et les
parties prenantes peuvent raisonnablement penser que les risques sont grs et signals, et
que les obligations rglementaires et lgales sont respectes. Les organisations tireront prot
dune approche rationnalise, par laquelle le management dispose dinformations sur les
risques auxquels il est confront, et sur la faon dont ces risques sont traits. La cartographie
des prestataires de service dassurance est tablie au niveau de toute lorganisation, ce qui
permet de comprendre o se situent les fonctions et les responsabilits en termes de risque
et dassurance. Il sagit de mettre en place un processus dtaill relatif au risque et sa gestion,
sans doubles emplois ni lacunes potentielles.
8.

Bien souvent, lorganisation a dni les catgories de risques majeurs qui constituent son
cadre de rfrence de management des risques. Dans ce cas, la cartographie des prestataires
de service dassurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple,
comporter les informations suivantes :
catgorie de risque majeur ;
manager responsable de ce risque (propritaire du risque) ;
niveau du risque inhrent ;
niveau du risque rsiduel ;
travaux daudit externe ;
travaux daudit interne ;
travaux des autres prestataires de services dassurance.
Par exemple, le responsable de laudit interne pourra prciser ltendue des travaux rcents
au niveau du volet Travaux daudit interne . Il est frquent que chaque risque majeur soit
aect un propritaire ou une personne ayant pour tche de coordonner les activits
dassurance pour ce risque. Cest cette personne qui fournira les lments pour le volet
Travaux des autres prestataires de services dassurance .
Dans dautres cas, la coordination est eectue par laudit interne, qui conoit et tablit pour
lorganisation la cartographie des services donnant une assurance.
Chaque unit importante au sein dune organisation peut disposer de sa propre cartographie
des prestataires dassurance.

9.

Ds lors que cette cartographie a t ralise, il est possible didentier les risques majeurs
qui ne sont pas correctement couverts par les services dassurance ou les domaines dans
lesquels ces services sont dlivrs en double. La direction gnrale et le Conseil doivent alors
rchir aux changements apporter ltendue des travaux dassurance relatifs ces risques.
De son ct, lors de llaboration de son plan, laudit interne doit prendre en compte les
domaines ayant une couverture inadquate.

148

IFACI - dcembre 2012

modalits Pratiques dApplication

10. Il appartient au responsable de laudit interne de comprendre les besoins du Conseil et de


lorganisation en ce qui concerne une assurance indpendante, an de dnir clairement le
rle de laudit interne et le degr dassurance que ce dernier apporte. Le Conseil doit tre
certain que le processus dassurance global est adquat et susamment robuste pour conrmer que les risques de lorganisation sont bien grs et signals.
11. Pour chaque catgorie de risque, le Conseil doit recevoir des informations la fois sur les activits dassurance mises en uvre et sur celles qui sont planies. Laudit interne et les autres
prestataires de service dassurance donnent au Conseil, pour chaque catgorie concerne,
le degr dassurance appropri la nature et aux niveaux de risque prsents dans lorganisation.

13. Dans les cas o lorganisation nattend pas de lui une opinion globale, le responsable de laudit
interne peut coordonner les activits des prestataires de service dassurance, an quil ny ait
pas de lacunes dans ces activits ou que les ventuelles lacunes soient connues et acceptes.
Le responsable de laudit interne signale toute absence de contribution/participation/supervision/dassurance lgard des travaux des autres prestataires de service dassurance. Sil
estime que ltendue des activits dassurance est inadquate ou inecace, il doit en aviser
la direction gnrale et le Conseil.
14. Conformment la Norme 2050, le responsable de laudit interne doit coordonner les activits avec les autres prestataires dassurance ; lutilisation dune cartographie des services
dassurance contribue la ralisation de cet objectif. Ces cartographies se rvlent, de plus
en plus, comme un moyen ecace de rendre compte de cette coordination.

IFACI - dcembre 2012

149

MPA 2000

12. Dans les organisations o le responsable de laudit interne est tenu de formuler une opinion
globale, il lui faut bien comprendre la nature, le primtre et ltendue de la cartographie
intgre des services dassurance, an de tenir compte des travaux des autres prestataires de
service dassurance (et de les utiliser, le cas chant) avant de prsenter un avis densemble
sur les processus de gouvernement dentreprise, de management des risques et de contrle
de lorganisation. Le guide pratique de lIIA intitul Formuler et exprimer une opinion daudit
interne contient des recommandations supplmentaires ce sujet.

MPA 2050-3
Sappuyer sur les travaux dautres prestataires
de services dassurance
Principale Norme de rfrence

2050 Coordination
An dassurer une couverture adquate et dviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activits avec les autres prestataires
internes et externes d'assurance et de conseil.

Commentaire IFACI
Dans cette MPA, le rle dvolu lauditeur interne relve du responsable de laudit interne .

1.

Pour fournir au Conseil une assurance concernant la gouvernance, le management des


risques et le contrle interne, lauditeur interne peut sappuyer sur les travaux dautres prestataires internes ou externes de services dassurance ou utiliser leurs travaux. Les prestations
internes dassurance peuvent, par exemple, tre ralises par les services chargs de la conformit, de la scurit de linformation, de la qualit, de lhygine et de la scurit au travail, ou
par la surveillance permanente des activits exerce par le management. Les prestataires
externes dassurance sont, par exemple, les auditeurs externes, les experts, les cabinets daudit
ou de conseil, notamment ceux qui tablissent les rapports conformment la norme Internationale ISAE 3402 (Assurance Reports on Controls at a Service Organization).

2.

Diverses raisons peuvent conduire sappuyer sur les travaux dautres prestataires dassurance.
Il peut sagir, notamment, de traiter les domaines qui sortent du champ de comptence du
service daudit interne, de bncier dun transfert de connaissances ou dtendre de faon
eciente la couverture des risques au-del du plan daudit interne.

3.

La charte daudit interne et/ou la lettre de mission devraient prciser que laudit interne a
accs aux travaux des autres prestataires internes et externes dassurance.

4.

Lorsque lauditeur interne fait appel des prestataires dassurance, il devrait dtailler dans un
contrat ou un accord crit ses attentes. Il convient au minimum de prciser :
la nature et la proprit des livrables ;
les mthodes et techniques ;

150

IFACI - dcembre 2012

modalits Pratiques dApplication

5.

Si le management conclut et pilote un contrat avec un prestataire dassurance tiers, lauditeur


interne devra sassurer que les lments de cadrage de la mission sont appropris, compris
et appliqus.

6.

Lauditeur interne devra prendre en compte le degr dindpendance et dobjectivit de tout


autre prestataire dassurance lorsquil envisage de sappuyer sur ses travaux ou de les utiliser.
Dans le cas o cest le management, plutt que le service daudit interne, qui engage et/ou
supervise directement un prestataire dassurance, il convient dvaluer limpact de cette situation sur lindpendance et lobjectivit dudit prestataire.

7.

Lauditeur interne value les comptences et les qualications du prestataire dassurance. Il


pourra, par exemple, vrier que ce dernier possde les qualications et lexprience professionnelle requises, quil est bien inscrit des instituts ou des organismes professionnels
appropris et quil est rput pour sa comptence et son intgrit dans le secteur.

8.

Lauditeur interne examine les pratiques du prestataire dassurance an dobtenir une assurance raisonnable que les constats de ce dernier reposent sur des informations susantes,
ables, pertinentes et utiles, comme lexige la Norme 2310 : Identication des informations.
Le responsable de laudit interne doit respecter la Norme 2310, indpendamment du niveau
dutilisation des travaux dautres prestataires dassurance.

9.

Lauditeur interne sassure que la planication, la supervision, la documentation et la rvision


des travaux de tout autre prestataire dassurance sont correctement eectus. Il examine le
caractre adquat et susant des preuves daudit pour dterminer sil peut utiliser ces travaux
et sy er. En fonction des rsultats de cette valuation, il se peut que des travaux supplmentaires ou des tests soient ncessaires pour obtenir des preuves daudit adquates et susantes. Sur la base de sa connaissance de lorganisation, de lenvironnement, des techniques
et des informations utilises par le prestataire, lauditeur interne jugera si, en dnitive, les
constats de ce dernier paraissent crdibles.

10. Le niveau de conance accord un autre prestataire dassurance dpendra des facteurs
mentionns ci-dessus : indpendance, objectivit, comptences, pratiques, pertinence des
travaux daudit et caractre susant des preuves daudit lappui du niveau dassurance
apport. Plus le risque ou limportance de lactivit examine par un autre prestataire dassurance augmente, plus lauditeur interne devrait rassembler des informations sur ces facteurs.
Il peut alors avoir besoin de constituer des preuves daudit supplmentaires pour complter
IFACI - dcembre 2012

151

MPA 2000

la nature des procdures et des donnes ou des informations utiliser ;


les rapports dtape et les modalits de supervision qui permettent de sassurer que les
travaux sont adquats ;
les exigences de reporting.

les travaux eectus. Laudit interne peut tester les rsultats des autres prestataires dassurance
an de renforcer le niveau de conance accord ces rsultats.
11. Lauditeur interne devrait intgrer les rsultats du prestataire de services dassurance dans le
rapport global daudit que lauditeur interne doit communiquer au Conseil et aux autres principales parties prenantes. Les problmes signicatifs soulevs par les autres prestataires dassurance peuvent tre intgrs in extenso ou de manire rsume dans les rapports daudit
interne. Lorsque ses rapports sappuient sur les informations donnes par dautres prestataires
dassurance, lauditeur interne le prcise.
12. Le suivi des actions de progrs est un processus par lequel les auditeurs internes valuent
ladquation, lecacit et la ralisation, en temps opportun, des mesures prises par le management pour faire suite aux observations et aux recommandations, y compris celles formules par les autres prestataires dassurance. Lors de lexamen des mesures prises pour faire
suite aux recommandations, lauditeur interne devra dterminer si le management les a mis
en uvre ou sil a accept de prendre le risque de ne pas les suivre.
13. Les constats signicatifs des autres prestataires dassurance devront tre pris en compte dans
les missions et les communications de laudit interne. En outre, les rsultats des travaux des
autres prestataires peuvent avoir une incidence sur lvaluation des risques eectue par laudit interne et, le cas chant, modier lapprciation du risque et la nature des travaux daudit
ncessaires en rponse ce risque.
14. Pour valuer lecacit des processus de management des risques et contribuer leur
amlioration (Norme 2120 : Management des risques), laudit interne peut examiner les
processus des prestataires internes dassurance, notamment au niveau de la conformit, de
la scurit de linformation, de la qualit, de lhygine et de la scurit au travail, ou encore
au niveau de la surveillance permanente des activits exerce par le management. Il convient
que laudit interne couvre les domaines risque, mais lorsquune assurance est fournie par
un autre service, laudit interne peut se limiter vrier les rsultats de ce processus au lieu
de refaire le travail dj eectu.
15. Concernant les risques signicatifs, les valuations des autres prestataires dassurance doivent
tre communiques aux services concerns, pour tre prises en compte dans le management
des risques de lorganisation et dans la cartographie des services donnant une assurance sur
les dispositifs de contrle interne et de management des risques (cf. MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrle et de management
des risques).

152

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2060-1
Rapports la direction gnrale et au Conseil
Principale Norme de rfrence

2060 rapports la direction gnrale et au Conseil

Interprtation :
La frquence et le contenu de ces rapports sont dtermins lors de discussions avec la direction
gnrale et le Conseil et dpendent de limportance des informations communiquer et de lurgence des actions correctives devant tre entreprises par la direction gnrale et le Conseil.
1.

Les rapports ont pour nalit dapporter une assurance la direction gnrale et au Conseil
en ce qui concerne les processus de gouvernement dentreprise (Norme 2110), de management des risques (Norme 2120) et de contrle (Norme 2130). La Norme 1111 indique : Le
responsable de laudit interne doit pouvoir communiquer et dialoguer directement avec le Conseil .

2.

Le responsable de laudit interne devra saccorder avec le Conseil sur la frquence et la nature
des rapports concernant lapplication de la charte daudit interne (missions, pouvoirs et
responsabilits, notamment) et le degr de ralisation du plan daudit. Les rapports portant
sur le degr de ralisation du plan daudit devraient se rfrer la dernire version du plan
approuv, an dinformer la direction gnrale et le Conseil sur :
les carts signicatifs par rapport au plan daudit, aux prvisions de dotation en personnel et aux budgets nanciers approuvs ;
les raisons de ces carts ; et
les mesures prises ou prendre.
La Norme 1320 indique : Le responsable de laudit interne doit communiquer les rsultats
du programme dassurance et damlioration qualit la direction gnrale ainsi quau
Conseil .

IFACI - dcembre 2012

153

MPA 2000

Le responsable de l'audit interne doit rendre compte priodiquement la direction gnrale et


au Conseil des missions, des pouvoirs et des responsabilits de l'audit interne, ainsi que du degr
de ralisation du plan daudit. Il doit plus particulirement rendre compte :
de lexposition aux risques signicatifs (y compris des risques de fraude) et des contrles
correspondants ;
des sujets relatifs au gouvernement dentreprise et ;
de tout autre problme rpondant un besoin ou une demande de la direction gnrale ou du Conseil.

3.

Lexposition aux risques signicatifs et les problmatiques de contrle interne sont les situations qui, selon le jugement du responsable de laudit interne, pourraient aecter de faon
dfavorable lorganisation et sa capacit atteindre ses objectifs (stratgiques, relatifs linformation nancire, oprationnels et de conformit). Des enjeux importants peuvent induire
une exposition inacceptable des risques internes et externes, notamment les situations
lies des faiblesses de contrle, une fraude, des irrgularits, des actes illgaux, des
erreurs, linecience, au gaspillage, linecacit, des conits dintrts ou la viabilit
nancire.

4.

Cest la direction gnrale et au Conseil quil revient de dcider des mesures appropries
prendre face des problmes importants. Ils peuvent dcider, pour des raisons de cot ou
pour dautres raisons, de prendre le risque de ne pas remdier la situation dont il leur a t
rendu compte. La direction gnrale devrait informer le Conseil des dcisions portant sur
tous les enjeux importants soulevs par laudit interne.

5.

Lorsque le responsable de laudit interne estime que la direction gnrale a accept un niveau
de risque considr inacceptable par lorganisation, il doit en discuter avec la direction gnrale, conformment la Norme 2600. Le responsable de laudit interne doit comprendre ce
qui motive la dcision de la direction gnrale, identier la cause de tout dsaccord et dterminer si la direction gnrale a t mandate pour accepter ce risque. Les dsaccords
peuvent concerner la probabilit du risque et lexposition potentielle, la comprhension de
lapptence pour le risque, le cot ou le niveau de contrle. Le responsable de laudit interne
rglera de prfrence le dsaccord avec la direction gnrale.

6.

Si le responsable de laudit interne et la direction gnrale ne parviennent pas sentendre,


la Norme 2600 impose au responsable de laudit interne den informer le Conseil. Dans la
mesure du possible, le responsable de laudit interne et la direction gnrale prsenteront
conjointement leurs divergences. Sil sagit de problmes dinformation nancire, les responsables de laudit interne envisageront den discuter en temps opportun avec les auditeurs
externes.

154

IFACI - dcembre 2012

modalits Pratiques dApplication

mPA SrIE 2100


MPA 2100

NAturE Du trAVAIl

IFACI - dcembre 2012

155

156

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2110-1
Gouvernement dentreprise : Dfinition
Principale Norme de rfrence

2110 gouvernement dentreprise

1.

Le rle de laudit interne tel qunonc dans la Dnition de laudit interne inclut, dans le
cadre de sa fonction dassurance, la responsabilit d'valuer et damliorer les processus de
gouvernement dentreprise.

2.

Le terme gouvernement dentreprise correspond un large ventail de dnitions selon les


contextes structurels et culturels, ainsi que les cadres lgaux. Les Normes internationales pour
la pratique professionnelle de laudit interne (Normes) dnissent le gouvernement dentreprise
comme : le dispositif comprenant les processus et les structures mis en place par le Conseil an
d'informer, de diriger, de grer et de piloter les activits de l'organisation en vue de raliser ses objectifs. Le responsable de laudit interne peut utiliser une dnition dirente aux ns de l'audit
lorsque l'organisation a adopt un rfrentiel ou un modle de gouvernement dentreprise
dirent.

3.

A travers le monde, divers modles de gouvernement d'entreprise existent et ont t publis


par d'autres organisations, des lgislateurs et des rgulateurs. Par exemple, lOrganisation de
Coopration et de Dveloppement Economiques (OCDE) dnit le gouvernement dentreprise comme [] un ensemble de relations entre la direction dune entreprise, son conseil dadministration, ses actionnaires et dautres parties prenantes. Il dtermine galement la structure par
laquelle sont dnis les objectifs dune entreprise, ainsi que les moyens de les atteindre et dassurer
une surveillance des rsultats obtenus . LAustralian Securities Exchange Corporate Governance

IFACI - dcembre 2012

157

MPA 2100

L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son amlioration. cet eet, il dtermine si le processus
rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries au sein de l'organisation ;
garantir une gestion ecace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concerns de l'organisation les informations relatives aux
risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activits.

Council (le Conseil sur le gouvernement dentreprise de la Bourse australienne) le dnit


comme [] le systme par lequel les entreprises sont diriges et contrles. Il inuence la manire
dont les objectifs de lentreprise sont dtermins et atteints, le risque est suivi et valu et la performance est optimise . Dans la plupart des cas, le gouvernement dentreprise est dsign
comme un processus ou un systme et non pas un concept statique. L'approche prsente
dans les Normes se distingue par l'accent spcique mis sur le conseil et ses activits de
gouvernement dentreprise.
Commentaire IFACI
Pour aller plus loin, lIFACI et lIFA ont pris une position1 commune sur le rle de laudit dans le gouvernement dentreprise
et ont relev les points communs entre les direntes dfinitions du gouvernement dentreprise : Ces cadres conceptuels
ont en commun :
de proposer une dfinition de la gouvernance qui sapplique tant la relation entre actionnaires, conseil et
direction gnrale quaux relations de lentreprise avec dautres parties prenantes ;
dtre dapplication volontaire : ce sont des recommandations que lentreprise choisit dappliquer volontairement
ou, dans le cas des auditeurs externes, qui relvent dune adhsion volontaire un code professionnel ;
dtre internationaux, sans rfrence prcise un cadre lgal national ; ils sont donc trs gnraux dans la
formulation de leurs recommandations ;
mais ils lient clairement les objectifs stratgiques de lentreprise, la conduite des aaires au jour le jour, le contrle
interne, la gestion des risques et la conformit aux lois et rglements en vigueur.

4.

Les rfrentiels et les exigences pour le gouvernement dentreprise varient selon les juridictions rglementaires et le type dorganisation : entreprises cotes, organisations but non
lucratif, associations, entits publiques ou parapubliques, organismes denseignement, entreprises prives, socits de courtage et bourses.

5.

La manire, dont une organisation conoit et met en pratique les principes dun gouvernement dentreprise ecace, varie galement selon la taille, la complexit, la maturit de lorganisation, la structure de ses parties prenantes, les exigences lgales et culturelles etc.

6.

Les dirences de conception et de structure de gouvernement dentreprise impliquent que


le responsable de laudit interne dtermine avec le Conseil et la direction gnrale la dnition
du processus de gouvernement dentreprise retenir dans le cadre de laudit interne.

Commentaire IFACI
Le responsable de laudit interne devra valider avec les organes de gouvernance le primtre du gouvernement dentreprise
que laudit interne devra couvrir et les responsabilits du service daudit interne cet gard.

Le rle de laudit interne dans le gouvernement dentreprise, IFA/IFACI, mai 2009

158

IFACI - dcembre 2012

modalits Pratiques dApplication

Laudit interne fait partie intgrante du cadre de gouvernement d'entreprise de l'organisation.


Leur position unique au sein de l'organisation permet aux auditeurs internes d'observer et
d'valuer de faon formelle la structure de gouvernement d'entreprise, sa conception et son
ecacit oprationnelle tout en restant indpendants.

8.

La relation entre gouvernement dentreprise, risques et contrle interne est un sujet prendre
en compte et il est trait par la MPA 2110-2. La MPA 2110-3 aborde lvaluation du processus
de gouvernement dentreprise.

MPA 2100

7.

IFACI - dcembre 2012

159

MPA 2110-2
Gouvernement dentreprise :
Relations avec les risques et le contrle interne
Principale Norme de rfrence

2110 gouvernement dentreprise


L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son amlioration. cet eet, il dtermine si le processus
rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries au sein de l'organisation ;
garantir une gestion ecace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concerns de l'organisation les informations relatives aux
risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activits.

1.

Les Normes internationales pour la pratique professionnelle de laudit interne dnissent le


gouvernement dentreprise comme le dispositif comprenant les processus et les structures mis
en place par le Conseil an d'informer, de diriger, de grer et de piloter les activits de l'organisation
en vue de raliser ses objectifs .

2.

Le processus de gouvernement dentreprise nexiste pas comme un ensemble de processus


et de structures distincts et spars. Au contraire, il y a des relations entre gouvernement
dentreprise, risques et contrle interne.

3.

Un gouvernement dentreprise ecace tient compte du risque lors de la dtermination de


la stratgie. A linverse, le management des risques sappuie sur un gouvernement dentreprise
ecace (comme le principe dexemplarit de la direction tone at the top , l'apptence pour
le risque et la tolrance face au risque, la culture du risque et la surveillance de la gestion des
risques).

4.

Un gouvernement d'entreprise ecace sappuie sur le contrle interne et sur la communication de lecacit des dispositifs de contrle interne au Conseil.

160

IFACI - dcembre 2012

modalits Pratiques dApplication

5.

Contrle et risque sont galement relis puisque le contrle se dnit comme toute mesure
prise par la direction gnrale, le conseil et d'autres parties an de grer les risques et d'accrotre la
probabilit que les buts xs seront atteints .

Commentaire IFACI

6.

Le responsable de laudit interne tient compte de ces relations dans la planication des
valuations des processus de gouvernement dentreprise :
une mission daudit portera sur les contrles conus dans les processus de gouvernement dentreprise pour prvenir ou dtecter les vnements qui pourraient avoir un
impact ngatif sur la ralisation des stratgies, les buts et objectifs de lorganisation,
lecacit et lecience oprationnelles, les informations nancires ou la conformit
avec les lois et rglementations en vigueur (cf. MPA 2110-3) ;
les contrles au sein des processus de gouvernement dentreprise sont souvent importants pour le management de dirents risques travers lorganisation. Par exemple,
on peut sappuyer sur les contrles concernant le code de conduite pour grer les
risques de conformit et de fraude etc. Cet eet cumulatif devrait tre pris en considration lors de la dnition du primtre d'un audit des processus de gouvernement
d'entreprise ;
si dautres missions daudit valuent les contrles dans les processus de gouvernement
dentreprise (par exemple, les contrles relatifs linformation nancire, les processus
de management des risques ou la conformit), lauditeur interne devrait sappuyer sur
les rsultats de ces audits.

IFACI - dcembre 2012

161

MPA 2100

En France, lAMF a publi un nouveau cadre de rfrence (juillet 2010) relatifs aux dispositifs de gestion des risques et de
contrle interne.

MPA 2110-3
Gouvernement dentreprise : Evaluations
Principale Norme de rfrence

2110 gouvernement dentreprise


L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler des recommandations appropries en vue de son amlioration. cet eet, il dtermine si le processus
rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries au sein de l'organisation ;
garantir une gestion ecace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concerns de l'organisation les informations relatives aux
risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activits.

1.

Les auditeurs internes peuvent agir divers titres pour valuer et contribuer lamlioration
des pratiques de gouvernement d'entreprise. En rgle gnrale, les auditeurs internes fournissent des valuations indpendantes et objectives de la conception et de lecacit oprationnelle des processus de gouvernement dentreprise de lorganisation. Ils peuvent
galement fournir des services de conseil et des avis sur les pistes damlioration de ces
processus. Dans certains cas, les auditeurs internes peuvent tre appels pour aider le Conseil
auto-valuer ses pratiques de gouvernement d'entreprise.

Commentaire IFACI
Dans la prise de position IFA/IFACI (publie en mai 2009), Le primtre tendu du champ dintervention de laudit interne
est abord dans le paragraphe 5 et LIFA et lIFACI recommandent :
que laudit interne value lensemble des processus de lentreprise, quils soient oprationnels ou de gouvernance ;
que, dans ce cadre, il procde rgulirement lvaluation du fonctionnement et des comptences du conseil des
filiales et de leurs dirents comits ;
que laudit interne sabstienne sauf demande expresse dvaluer le fonctionnement et la performance du
conseil de la maison mre et de ses comits du fait de lexistence dune situation de conflit dintrt.

162

IFACI - dcembre 2012

1
2

2.

Comme indiqu dans la MPA 2110-1 Gouvernement dentreprise : Dnition , la dnition


du processus de gouvernement dentreprise dans le cadre de l'audit devrait faire l'objet d'un
accord avec le Conseil et la direction gnrale. De plus, lauditeur interne comprend les
processus de gouvernement dentreprise de lorganisation et les relations entre gouvernement dentreprise, les risques et le contrle interne1.

3.

Le plan daudit est labor sur la base dune valuation des risques de lorganisation. Tous les
processus de gouvernement dentreprise sont prendre en compte dans cette valuation
des risques. Le plan daudit devrait comprendre les processus de gouvernement dentreprise
risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil ou
la direction gnrale a requis un travail. Le plan dnit la nature du travail raliser, les processus de gouvernement dentreprise traiter et la nature des valuations qui seront mener.
Les valuations peuvent tre menes au niveau :
macro, en considrant lensemble du cadre de gouvernement dentreprise de lorganisation, ou
micro, en focalisant sur des risques, processus ou activits spciques, ou
une combinaison des deux.

4.

Lorsquil existe des problmes de contrle connus ou lorsque le processus de gouvernement


dentreprise nest pas mature, le responsable de laudit interne peut amliorer les processus
de gouvernement dentreprise ou de contrle interne en envisageant direntes mthodes.
Il peut intervenir travers des activits de conseil ralises en lieu et place dvaluations
formelles ou en complment de celles-ci.

5.

Les valuations daudit interne concernant les processus de gouvernement dentreprise se


fondent sur des informations obtenues partir des nombreuses missions daudit ralises au
l du temps. Lauditeur interne tient compte :
des rsultats des audits de processus de gouvernement dentreprise spciques (par
exemple, le dispositif d'alerte professionnelle ou whistleblowing , le processus de
gestion stratgique) ;
des problmes de gouvernement dentreprise issus des audits qui ne sont pas spciquement centrs sur le gouvernement dentreprise (par exemple, les audits du processus de gestion des risques, du contrle interne sur les informations nancires, des
risques de fraude) ;
des rsultats des travaux d'autres prestataires internes et externes de services d'assurance (par exemple, un cabinet engag par le directeur juridique pour examiner le
processus dinvestigation)2 ;

MPA 2110-2, Gouvernement dentreprise : Relations avec les risques et le contrle interne
Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrle et de management
des risques

IFACI - dcembre 2012

163

MPA 2100

modalits Pratiques dApplication

dautres informations sur les questions de gouvernement dentreprise comme les incidents indiquant une opportunit damliorer les processus de gouvernement dentreprise.
Commentaire IFACI
En France, les auditeurs internes sont invits consulter avec intrt le site de la CNIL (www.cnil.fr) et notamment le
document dorientation adopt le 10 novembre 2005 pour la mise en uvre de dispositifs dalerte professionnelle
conformes la loi du 6 janvier 1978 modifi en aot 2004, relative linformatique, aux fichiers et aux liberts.

6.

Pendant les phases de planication, dvaluation et de rapport, lauditeur interne devra tre
sensible la nature et aux ramications potentielles des rsultats et s'assurer que les communications avec le Conseil et la direction gnrale sont appropries. Lauditeur interne pourra
envisager de consulter un conseil juridique avant le dmarrage de laudit et avant la nalisation du rapport.

7.

Lactivit daudit interne est une partie essentielle du processus de gouvernement d'entreprise. Pour sassurer de son ecacit, le Conseil et la direction gnrale devront tre en mesure
de sappuyer sur le programme d'assurance et d'amlioration qualit de l'activit d'audit
interne y compris les valuations externes ralises conformment aux Normes internationales pour la pratique professionnelle de laudit interne.

164

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2120-1
valuer la pertinence des processus
de management des risques
Principale Norme de rfrence

2120 management des risques

Interprtation :
An de dterminer si les processus de management des risques sont ecaces, les auditeurs internes
doivent sassurer que :
les objectifs de lorganisation sont cohrents avec sa mission et y contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun
au sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil
dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.

Commentaire IFACI
La MPA souligne avec raison la ncessit imprieuse de tests d'audit pour apprcier l'ecacit du management des risques.
Le Global Technology Audit Guide n3 relatif l'audit continu fournit des mthodes pour concevoir ces tests d'audit.
Pour apprcier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutt que de faire
confiance des thories, surtout si elles sont bases sur des hypothses simplificatrices. De mme, il faut bien envisager la
matrise des risques au-del de la simple conformit.

IFACI - dcembre 2012

165

MPA 2100

L'audit interne doit valuer lecacit des processus de management des risques et contribuer
leur amlioration.

1.

La gestion des risques est une responsabilit majeure de la direction gnrale et du Conseil.
Pour atteindre ses objectifs, le management sassure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe aux Conseils de veiller ce que des processus de management des risques appropris, susants et ecaces
soient en uvre. A cet eet, ils peuvent demander laudit interne de les assister en examinant et valuant les processus de management des risques mis en uvre, en vriant quils
sont susants et ecaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration.

2.

Le management et le Conseil sont responsables des processus de management des risques


et de contrle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre
dune mission de conseil, aider lorganisation identier, valuer et mettre en place des
mthodes de management des risques et des contrles permettant de matriser ces risques.

3.

Dans lhypothse o lorganisation na pas mis en place de processus de management des


risques, le responsable de laudit interne examine formellement avec la direction gnrale et
le comit daudit :
leurs responsabilits en matire de comprhension, de gestion et de surveillance des
risques dans l'organisation ;
leur besoin dinformations sur le caractre oprationnel des processus (y compris les
processus informels) qui donnent une visibilit approprie des risques majeurs, de leur
gestion et de leur surveillance.

4.

Le responsable de l'audit interne recueille les attentes de la direction gnrale et du Conseil


en ce qui concerne le rle de laudit interne dans le processus de management des risques
de lorganisation. Ce rle est prcis dans la charte daudit interne ainsi que dans la charte
du Conseil. Les responsabilits de laudit interne doivent tre coordonnes avec tous les
groupes ou les personnes qui interviennent dans le processus de management des risques
de lorganisation. Le rle de laudit interne dans le processus de management des risques
dune organisation peut voluer dans le temps et revtir les formes suivantes :
aucune intervention ;
audit du processus de management des risques dans le cadre du programme daudit
interne ;
soutien actif et continu, et participation au processus de management des risques,
notamment dans le cadre de comits de surveillance, dactivits de suivi et de rapports
ociels ;
gestion et coordination du processus de management des risques.

5.

En dnitive, il incombe la direction gnrale et au Conseil de dterminer le rle de laudit


interne dans le processus de management des risques. Leur vision dans ce domaine dpendra de facteurs tels que la culture de lorganisation, la comptence de lquipe daudit interne,

166

IFACI - dcembre 2012

modalits Pratiques dApplication

6.

Les techniques utilises par les organisations en matire de management des risques peuvent
tre trs direntes. Selon limportance et la complexit des activits, les processus de management des risques peuvent tre :
formaliss ou informels ;
fonds sur une approche quantitative ou subjective ;
intgrs dans les direntes units de lorganisation ou centraliss au niveau du sige.

7.

Chaque organisation conoit des processus adapts sa culture, son style de management
et ses objectifs. A titre dexemple, le recours des instruments drivs ou dautres instruments nanciers sophistiqus, pourra ncessiter la mise en uvre doutils quantitatifs de
management des risques. Les organisations moins complexes et de taille plus modeste pourront, en revanche, analyser le prol de risque de lorganisation et prendre priodiquement
des mesures dans le cadre dun comit des risques informel. Lauditeur interne sassure que
la mthodologie retenue est susamment exhaustive et adapte la nature des activits de
lorganisation.

8.

An de se forger une opinion sur ladquation des processus de management des risques,
les auditeurs internes devront disposer dlments susamment probants et appropris pour
avoir lassurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir
ces lments, lauditeur interne peut recourir aux procdures daudit dcrites ci-aprs :
rechercher et analyser des informations sur le secteur dactivit de lorganisation, lvolution rcente et les tendances, ainsi que toute autre source dinformation approprie,
an de dterminer les risques susceptibles daecter lorganisation et les procdures
de contrle utilises pour grer, suivre et rvaluer ces risques ;
examiner les rgles de lentreprise ainsi que les procs-verbaux des dlibrations du
Conseil et du comit daudit an de dterminer les stratgies de lorganisation, son
approche du management des risques, son apptence pour le risque et son acceptation des risques ;
examiner les rapports dvaluation des risques prcdemment tablis par le management, les auditeurs internes ou externes et par tout autre intervenant ;
organiser des entretiens avec lencadrement oprationnel et leur direction an de dterminer les objectifs de chaque branche dactivit, les risques correspondants, et les
mesures de suivi, de contrle et dattnuation des risques prises par le management ;
recueillir des informations an dvaluer, en toute indpendance, lecacit du processus de suivi, de communication et dattnuation des risques, et des activits de contrle
correspondantes ;

IFACI - dcembre 2012

167

MPA 2100

les us et coutumes du pays. Cependant, la responsabilit dans le processus de gestion des


risques, son impact potentiel sur l'indpendance de l'audit interne ncessitent une discussion
approfondie et une approbation de la part du Conseil.

dterminer si les informations ou rapports relatifs au suivi des risques sont adresss au
niveau hirarchique appropri ;
vrier si les rapports concernant les rsultats du management des risques sont diuss
selon des modalits et dans des dlais appropris ;
sassurer du caractre exhaustif de lanalyse des risques eectue par le management
et des mesures prises pour rsoudre les points soulevs dans le cadre du processus de
management des risques, et proposer des amliorations ;
apprcier lecacit du processus dauto-valuation mis en uvre par le management,
au moyen dobservations et de tests sur les procdures de suivi et de contrle testant
lexactitude des informations utilises dans le cadre des oprations de suivi, et par dautres techniques appropries ;
examiner les signes de faiblesse ventuels du dispositif de management des risques
et, le cas chant, les analyser avec la direction gnrale et le Conseil. Sil estime que le
management a accept un niveau de risques non compatible avec la stratgie et les
procdures de lorganisation en matire de management des risques, ou jug inacceptable pour lorganisation, lauditeur se rfrera la Norme 2600 relative lacceptation
des risques par le management et aux lignes directives correspondantes pour des orientations complmentaires.

168

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2120-2
Gestion du risque li lactivit daudit interne
Principale Norme de rfrence

2120 management des risques

Interprtation :
An de dterminer si les processus de management des risques sont ecaces, les auditeurs internes
doivent sassurer que :
les objectifs de lorganisation sont cohrents avec sa mission et y contribuent ;
les risques signicatifs sont identis et valus ;
les modalits de traitement des risques retenues sont appropries et en adquation avec lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont recenses et communiques en temps opportun
au sein de lorganisation pour permettre aux collaborateurs, leur hirarchie et au Conseil
dexercer leurs responsabilits.
Pour tayer cette valuation, laudit interne peut sappuyer sur des informations issues de direntes
missions.
Une vision consolide des rsultats de ces missions permet une comprhension du processus de
management des risques de lorganisation et de son ecacit.
Les processus de management des risques sont surveills par des activits de gestion permanente,
par des valuations spciques ou par ces deux moyens.

1.

Le rle et limportance de laudit interne augmentent considrablement et les attentes des


principales parties prenantes (Conseil et direction gnrale, notamment) ne cessent, elles
aussi, de crotre. Laudit interne dispose dun large mandat qui couvre les aspects nanciers
et oprationnels, les technologies de linformation, la conformit/la rglementation ainsi que
les risques stratgiques. Dans le mme temps, nombre de services daudit interne sont
confronts au manque de personnel quali sur le march international du travail, la hausse
des rmunrations et une forte demande de ressources spcialises (dans les systmes dinformation, sur les problmes de fraude, les instruments nanciers drivs ou la scalit, par
exemple). La conjonction de ces facteurs engendre un niveau lev de risque pour laudit
interne. Cest pourquoi les responsables de cette fonction doivent valuer les risques lis
leurs activits et qui sont susceptibles de compromettre la ralisation de leurs objectifs.

IFACI - dcembre 2012

169

MPA 2100

L'audit interne doit valuer lecacit des processus de management des risques et contribuer
leur amlioration.

2.

Laudit interne lui-mme nest pas labri ; il doit prendre les mesures ncessaires pour grer
ses propres risques.

3.

On peut classer ces risques dans trois grandes catgories : risque dchec de laudit, risque
de donner une fausse assurance et risque datteinte la rputation. Lanalyse
ci-aprs
met en lumire leurs principales caractristiques et prsente quelques-unes des dispositions
quun service daudit interne peut envisager de mettre en uvre pour mieux grer ces
risques.

4.

Toute organisation peut tre victime de dfaillances. Lorsque les contrles sont dcients ou
quune fraude est commise, la question : Mais o taient les auditeurs internes ? , est
souvent pose. Laudit interne peut tre impliqu dans ces dfaillances pour les raisons
suivantes :
les Normes internationales pour la pratique professionnelle de laudit interne ne sont pas
respectes ;
le programme dassurance et damlioration qualit (Norme 1300) est inadquat, en
particulier les procdures de supervision de lindpendance et de lobjectivit des auditeurs ;
il ny a pas de processus ecace pour la dnition des domaines cls de laudit lors de
lvaluation des risques stratgiques, ainsi que des domaines haut risque lors de
chaque mission, ce qui empche les auditeurs internes de raliser les audits ncessaires
et/ou leur fait perdre du temps sur des audits inappropris ;
il ny a pas de procdures daudit interne ecaces pour lvaluation des risques rels
et des contrles appropris ;
il ny a pas dvaluation de ladquation et de lecacit des contrles dans le cadre des
procdures daudit interne ;
lquipe daudit interne ne dispose pas des comptences appropries, fondes sur lexprience ou la connaissance des zones haut risque ;
lexercice dun scepticisme professionnel insusant et labsence de renforcement des
procdures daudit interne la suite de constats ou de dciences de contrles ;
la supervision de laudit interne nest pas adquate ;
une mauvaise gestion des preuves de fraude : Ce nest probablement pas important
ou Nous navons pas le temps ni les ressources ncessaires pour nous pencher sur ce
point. ;
les auditeurs internes ne communiquent pas leurs soupons aux personnes appropries ;
une communication dfaillante.

5.

Les dfaillances de laudit interne peuvent non seulement tre embarrassantes pour cette
fonction, mais elles peuvent galement exposer lorganisation un risque signicatif. Mme
sil est impossible de garantir de manire absolue labsence dchec de laudit, les mesures

170

IFACI - dcembre 2012

suivantes peuvent permettre de rduire ce risque :


un programme dassurance et damlioration qualit : toute activit daudit interne doit
imprativement appliquer un programme ecace dassurance et damlioration
qualit ;
un examen priodique de lunivers daudit : examiner priodiquement la mthodologie
utilise pour vrier lexhaustivit de lunivers daudit. Cette analyse doit, notamment,
sappuyer sur une valuation rgulire du prol dynamique des risques de lorganisation ;
un examen priodique du plan daudit : il faut examiner le plan daudit en cours an
didentier les missions qui peuvent tre les plus risques. La direction de laudit interne
dispose ainsi dune meilleure visibilit sur ces missions et peut consacrer davantage de
temps comprendre la faon dont les missions critiques sont abordes ;
une planication ecace de laudit : rien ne remplace une planication ecace. Un
processus de planication approfondi, qui inclut lactualisation des informations pertinentes relatives au client, ainsi quune valuation ecace des risques, permet de rduire
signicativement le risque dchec de laudit. De plus, bien cerner le primtre de la
mission et les procdures daudit interne mettre en uvre constitue une tape essentielle de la planication, qui rduira les risques dchec de laudit. Il est galement fondamental dinclure dans ce processus les points de supervision qui relvent du
management de laudit interne et dobtenir lautorisation de scarter ventuellement
du plan convenu ;
une conception ecace de laudit : dans la plupart des cas, avant de commencer vrier lecacit dun systme de contrle interne, lauditeur interne consacre un certain
temps comprendre et analyser la conception de ce systme an de dterminer sil
permet des contrles adquats. Il dispose ainsi dinformations solides pour commenter
les causes des dfaillances du systme, lesquelles rsultent parfois dune mauvaise
conception des contrles. Il peut ainsi remdier ces dfaillances plutt que den traiter
seulement les symptmes. Ce type dapproche rduit le risque dchec de laudit parce
quil permet une identication des contrles manquants ;
une revue/un suivi ecace par le management et des procdures descalade : la participation de lquipe de management de laudit interne au processus (cest--dire avant
la rdaction du projet de rapport) contribue largement attnuer le risque dchec de
laudit. La direction peut rviser les papiers de travail, participer des discussions en
temps rel sur les constats ou une runion de clture. Cette implication peut permettre didentier et dvaluer plus rapidement dventuels problmes. De plus, le service
daudit interne peut avoir des procdures indicatives, qui spcient quel moment et
quels types de problmes faire remonter, et quel niveau de la direction de laudit
interne ;
une allocation approprie des ressources : il est essentiel de bien choisir lquipe pour
chaque mission daudit interne, et tout particulirement lors de la planication dune
mission haut risque ou trs technique. En veillant disposer des comptences appro IFACI - dcembre 2012

171

MPA 2100

modalits Pratiques dApplication

pries, on peut nettement rduire le risque dchec dune mission daudit. En outre, les
membres de lquipe doivent disposer dun niveau dexprience adquat : les personnes
qui conduisent une mission daudit interne doivent, notamment, possder de solides
comptences en gestion de projets.
6.

Une activit daudit interne donne parfois, sans le savoir, une fausse assurance , cest--dire
un niveau de conance ou dassurance qui se fonde sur des perceptions ou des hypothses
plutt que sur des faits. Dans de nombreux cas, la simple implication de laudit interne sur
un domaine peut aboutir donner une fausse assurance.

7.

Lorsque laudit interne assiste lorganisation dans lidentication et lvaluation de risques


signicatifs, il doit tre clairement prcis quil ne sagit pas daudit interne. Par exemple, une
unit oprationnelle demande laudit interne de fournir des ressources ncessaires lintroduction dun nouveau systme informatique dans toute lorganisation. Ces ressources sont
utilises pour une partie des tests portant sur le nouveau systme, mais, ultrieurement, une
erreur de conception de ce systme a ncessit le retraitement des tats nanciers. Interroge
sur ce qui stait pass, cette unit oprationnelle arme que laudit interne avait particip
au processus sans dceler le problme. La participation des auditeurs internes a donc donn
ici une fausse assurance, qui na aucun rapport avec la nature de leur contribution relle au
projet.

8.

Mme sil nexiste aucun moyen dattnuer lensemble des risques de fausse assurance, laudit
interne peut, nanmoins, prendre les devants pour grer ce risque, notamment grce une
communication claire et frquente. Cest lune des principales stratgies de gestion de ce
risque. Il existe galement dautres bonnes pratiques de premier plan :
communication proactive sur le rle et le mandat de laudit interne au comit daudit,
la direction gnrale et aux autres parties prenantes ;
prsentation claire de ce qui est inclus dans lvaluation des risques, le plan daudit
interne et la mission de laudit interne. Il convient galement de prciser, de faon explicite, ce qui ne fait pas partie de lvaluation des risques et du plan daudit interne ;
mise en place dun processus de validation des projets an danalyser, pour chaque
projet, le niveau de risque et la contribution de laudit interne. Cette analyse peut
notamment porter sur le primtre du projet, le rle de laudit interne, les attentes en
termes de reporting, les comptences requises et lindpendance des auditeurs
internes ;
si les auditeurs internes font partie dune quipe projet, il faut dnir par crit leur rle
et le champ de leur intervention, ainsi que les aspects relatifs leur objectivit et leur
indpendance, plutt que de considrer ces auditeurs internes comme des ressources
prtes , ce qui risque de donner une fausse assurance.

172

IFACI - dcembre 2012

modalits Pratiques dApplication

9.

Lecacit de laudit interne repose essentiellement sur sa crdibilit. Les services daudit
interne qui bncient dune haute estime sont susceptibles dattirer des professionnels
talentueux et sont considrs comme crateur de valeur pour lorganisation. Leur capacit
prserver la solidit de leur image et contribuer au bon fonctionnement de lorganisation
est donc cruciale pour un vritable succs. Dans la plupart des cas, il faut plusieurs annes
pour construire cette marque , par un travail constant et de trs grande qualit. Malheureusement, un vnement ngatif majeur peut anantir instantanment tous ces eorts.

10. Par exemple, un service daudit interne peut tre tenu en haute estime car plusieurs responsables nanciers de lorganisation sont passs dans ce service, considr comme une excellente formation pour de futurs cadres. Or, la rputation de ce service daudit interne est
entache la suite dune succession de corrections de grande ampleur des tats nanciers
et des enqutes menes par les autorits de rglementation. Le comit daudit et le Conseil
peuvent alors se demander si ce service dispose des comptences ainsi que du programme
dassurance et damlioration qualit appropris pour aider lorganisation.

12. De telles situations sont non seulement embarrassantes, mais elles portent galement
atteinte lecacit de laudit interne. Protger la rputation et limage de ce dernier est
essentiel pour les activits daudit interne et aussi pour lensemble de lorganisation. Il importe,
par consquent, que laudit interne envisage les types de risques susceptibles dentacher sa
rputation, ceux auxquels il est confront et quil labore des stratgies permettant den attnuer limpact.
13. Quelques exemples de mesures envisageables :
mise en uvre dun solide programme dassurance et damlioration qualit, pour tous
les processus lis laudit interne, notamment ceux qui concernent les ressources
humaines et lembauche ;
valuation priodique des risques, an que le service daudit interne puisse identier
les risques qui sont susceptibles de porter atteinte son image ;
renforcement du code de conduite et des rgles de dontologie, en se fondant, notamment, sur le Code de dontologie de lIIA ;
contrle de la conformit de laudit interne toutes les politiques et pratiques de lentreprise.

IFACI - dcembre 2012

173

MPA 2100

11. Un autre exemple : au cours dun audit de la fonction ressources humaines, les auditeurs
internes constatent que les vrications des antcdents des salaris nont pas t correctement menes. La crdibilit du service daudit interne peut tre fortement entame si lon
dcouvre que des auditeurs internes rcemment embauchs nont pas suivi un cursus dtude
appropri ou que dautres sont impliqus dans des oprations dlictueuses.

Commentaire IFACI
Un autre exemple de mesures envisageables :
faire certifier le service daudit interne par un organisme qualifi.

14. Si lun des vnements dcrits plus haut aecte lactivit daudit interne, le responsable de
laudit interne doit examiner la nature de cet vnement et en comprendre les causes. Cette
analyse le renseigne sur les changements quil faut envisager au niveau du processus daudit
interne ou de lenvironnement de contrle, an dviter quun tel vnement ne se reproduise
lavenir.

174

IFACI - dcembre 2012

Modalits Pratiques dApplication

MPA 2120-3
Prise en compte, par laudit interne, des risques
associs latteinte des objectifs stratgiques
Principale Norme de rfrence

1.

Il incombe la direction gnrale didentier et de grer les risques dans le cadre de latteinte
des objectifs stratgiques de lorganisation. Il est de la responsabilit du Conseil de sassurer
que tous les risques stratgiques sont identis, compris, et grs un niveau acceptable
dans les limites des seuils de tolrance. Laudit interne devrait avoir connaissance de la stratgie de lorganisation, de la manire dont elle est mise en uvre, des risques qui lui sont
associs et de la manire dont ils sont grs.

2.

Pour que laudit interne puisse mettre laccent sur les risques majeurs, la stratgie de lorganisation devrait tre un lment essentiel et dterminant du plan daudit fond sur lapproche
par les risques. Laudit interne pourra alors tre en adquation avec les priorits stratgiques
de lorganisation. De plus, cela permettra de sassurer que les ressources de laudit interne
sont alloues aux domaines signicatifs.

3.

Lors de llaboration du plan daudit, laudit interne devrait mettre prot les travaux du
management et des autres fonctions prestataires dassurance an didentier les risques qui
reprsentent les principales menaces et les opportunits dans la ralisation des objectifs stratgiques de l'organisation.

Commentaire IFACI1
Les activits dassurance ( assurance ) permettent dattester que les oprations et les processus de lorganisation sont
conus, raliss et matriss conformment aux instructions de ses organes dirigeants et de ses parties prenantes.

Commentaire IFACI, Guide Pratique valuer ladquation du management des risques en utilisant la norme ISO 31000 , IIA/IFACI, dcembre 2010

IFACI - septembre 2013

MPA 2100

2120.A1 L'audit interne doit valuer les risques arents au gouvernement d'entreprise, aux
oprations et aux systmes d'information de l'organisation au regard de :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.

Comme indiqu dans la MPA 2050-2, dirents prestataires internes ou externes (commissaires aux comptes, auditeurs
qualit, auditeurs HSE, animateurs des auto-valuations, services fonctionnels DRH, DSI, directions juridiques,
responsables de la conformit, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformit et
lecacit des dispositifs dune organisation. Ces prestataires se distinguent en fonction :
de leur positionnement et donc de leur degr dindpendance ;
des destinataires de leurs opinions (management oprationnel, direction gnrale, Conseil, parties prenantes
extrieures) ;
de la mthode utilise pour garantir lobjectivit de leurs opinions ;
de leur primtre dintervention (mtier, zone gographique, entit juridique, groupe, etc.).
Parmi ces prestataires, laudit interne se distingue par son indpendance par rapport aux activits contrles. En eet, le
positionnement au plus haut niveau de lorganisation donne laudit interne une vue densemble des processus et des
risques tout en tant un interlocuteur privilgi des instances dirigeantes. Ainsi, selon le glossaire des Normes
internationales, les activits dassurance de laudit interne se traduisent par un examen objectif dlments probants,
eectu en vue de fournir une valuation indpendante des processus de gouvernement dentreprise, de
management des risques et de contrle.
La prise de position de lIFACI sur lurbanisme du contrle interne illustre les dirents niveaux de prestation dassurance.
Dans leurs prconisations pour lapplication de larticle 41 de la 8me directive europenne (Directive 2006/43/CE), lECIIA
et le Ferma propose ladoption dun modle comportant 3 lignes de dfense :
En tant que premire ligne de dfense, le management est propritaire des risques. Il a donc la
responsabilit de les valuer et de les grer. Il doit rendre compte de ces activits la direction gnrale.
En tant que seconde ligne de dfense, le risk management (ainsi que les autres fonctions support telles
que la conformit ou la qualit) facilite et surveille la mise en uvre de la gestion des risques par le
management. Il assiste ces propritaires des risques dans la remonte dinformations adquates sur les
risques tous les niveaux de lorganisation.
En tant que troisime ligne de dfense, laudit interne fournit, partir dune approche fonde sur les
risques, une assurance au Conseil et la direction gnrale sur lecacit de lvaluation des risques et
sur leur gestion, y compris le fonctionnement de la premire et de la seconde ligne de dfense. Cette
activit dassurance recouvre tous les lments du cadre organisationnel de management des risques
(identification des risques, valuation des risques et suites donnes ces informations).

4.

Les opportunits et les menaces stratgiques guideront la dnition et la hirarchisation des


initiatives stratgiques court et long terme par le management ou les investissements
majeurs susceptibles de crer de la valeur pour les parties prenantes.

5.

Lors de l'laboration du plan daudit, laudit interne devrait envisager des missions d'assurance
concernant ces initiatives stratgiques. Laudit interne sera ainsi en mesure de sassurer que
les risques stratgiques sont grs un niveau acceptable en valuant tout ou partie des
dispositifs de matrise correspondants. Laudit interne pourra galement envisager des
missions de conseil qui auront un impact sur lvolution de lorganisation.
IFACI - septembre 2013

Modalits Pratiques dApplication

Aprs avoir identi les risques stratgiques intgrer dans le plan d'audit, laudit interne
devrait sassurer que les comptences et les connaissances requises pour raliser les missions
dassurance et de conseil portant sur ces problmatiques existent dans le service d'audit
interne. Cette expertise pourra tre recherche en dehors du service daudit interne (prestations internes ou externalises).

MPA 2100

6.

IFACI - septembre 2013

modalits Pratiques dApplication

MPA 2130-1
valuer la pertinence des processus de contrle
Principale Norme de rfrence

2130 Contrle

1.

Lorganisation met en place et maintient des processus de management des risques et de


contrle ecaces. Les processus de contrle ont pour but daider lorganisation grer les
risques et atteindre les objectifs xs et diuss. Les processus de contrle devraient notamment permettre de sassurer que les conditions suivantes sont remplies :
les informations nancires et oprationnelles sont ables et intgres ;
les oprations sont ralises de manire eciente et permettent datteindre les objectifs
xs ;
les actifs sont sauvegards ;
les actes et les dcisions prises par lorganisation sont conformes aux lois, aux rglements et aux contrats.

2.

Il incombe la direction gnrale de superviser la mise en place, ladministration et lvaluation des processus de management des risques et de contrle. Les managers ont entre autres
responsabilits celle dvaluer les processus de contrle dans leurs domaines respectifs. Les
auditeurs internes fournissent des niveaux divers dassurance quant au degr decacit des
processus de management des risques et de contrle dans des activits et fonctions choisies
de lorganisation.

3.

Le responsable de laudit interne met une opinion globale sur l'adquation et l'ecacit
des processus de contrle. Pour ce faire, il se fondera sur des constats avrs lors de la ralisation daudits, et quand cela est appropri, sur des travaux dautres prestataires daudit d'assurance. Le responsable de laudit interne communique son opinion la direction gnrale
et au Conseil.

4.

Le responsable de l'audit interne labore un projet de plan daudit pour recueillir des lments
probants et susants qui permettront dapprcier lecacit des processus de contrle. Ce
plan comporte des missions daudit et/ou dautres procdures ncessaires pour obtenir des
preuves susantes et pertinentes propos des units oprationnelles et fonctions impor-

IFACI - dcembre 2012

175

MPA 2100

Laudit interne doit aider lorganisation maintenir un dispositif de contrle appropri en valuant
son ecacit et son ecience et en encourageant son amlioration continue.

tantes valuer. De mme, il comporte une revue des principaux processus de contrle en
place dans lorganisation. Le plan propos devrait tre susamment souple pour permettre
une actualisation en cours danne, en cas dvolution des stratgies du management, de
lenvironnement extrieur, des principaux risques, ou en cas de rajustement des prvisions
relatives la ralisation des objectifs de lorganisation.
5.

Le plan d'audit met un accent particulier sur les oprations les plus aectes par les changements rcents ou inattendus. Ces changements peuvent rsulter, par exemple, des conditions
du march ou dinvestissements, dacquisitions et de cessions, de restructurations, et de
nouveaux systmes ou enjeux.

6.

An de dterminer le primtre daudit par rapport au projet de plan daudit, le responsable


de laudit interne tient compte des travaux qui seront eectus par des tiers pour donner
une assurance la direction gnrale (par exemple, le responsable de laudit interne peut se
rfrer au travail des responsables de la conformit). Le plan d'audit du responsable de laudit
interne tient compte galement du travail ralis par l'auditeur externe et des propres valuations du management concernant les processus de management des risques, les dispositifs
de contrle et les processus damlioration qualit.

7.

Le responsable de l'audit interne devrait valuer lenvergure du primtre du plan propos


pour vrier que le champ dintervention est susant pour permettre de formuler une assurance sur les processus de management des risques et de contrle de lorganisation. Le
responsable de l'audit interne devrait informer la direction gnrale et le Conseil de toute
lacune du primtre daudit qui lempcherait de formuler une opinion sur les dirents
aspects de ces processus.

8.

Lun des ds de laudit interne consiste valuer lecacit des processus de contrle de
lorganisation sur la base de nombreuses valuations individuelles. Ces valuations proviennent, pour une large part, de missions daudit interne, de revues dauto-valuations eectues
par le management et de travaux dautres prestataires daudit dassurance. Au fur et mesure
de lavancement des missions, les auditeurs internes communiquent leurs observations aux
responsables appropris, de telle sorte que des mesures puissent tre prises rapidement an
de remdier aux faiblesses ou anomalies constates ou den attnuer les consquences.

9.

Lors de lvaluation de lecacit des processus de contrle dune organisation, le responsable


de laudit interne tient compte :
du caractre signicatif des anomalies ou des faiblesses mises en vidence ;
des corrections ou amliorations apportes aprs les constatations ;
du fait que les constatations et leurs consquences potentielles induisent conclure
un tat entranant un niveau de risques inacceptable.

176

IFACI - dcembre 2012

modalits Pratiques dApplication

10. Lexistence dune anomalie ou dune faiblesse signicative ne signie pas ncessairement
que cette anomalie ou faiblesse est gnralise et quelle entrane un risque inacceptable.
Lauditeur interne devra prendre en compte la nature et la porte de lexposition aux risques
ainsi que le niveau des consquences potentielles pour dterminer si lecacit des processus
de contrle est remise en cause et sil existe des risques inacceptables.

MPA 2100

11. Le rapport du responsable de laudit interne sur les processus de contrle de l'organisation
est normalement prsent une fois par an la direction gnrale et au Conseil. Ce rapport
souligne limportance du rle jou par les processus de contrle dans la ralisation des objectifs de l'organisation. Il dcrit aussi la nature et ltendue du travail ralis par laudit interne
ainsi que la nature et la conance accorde dautres prestataires daudit dassurance pour
formuler cette opinion.

IFACI - dcembre 2012

177

MPA 2130.A1-1
Fiabilit et intgrit de linformation
Principale Norme de rfrence
2130.A1 L'audit interne doit valuer la pertinence et l'ecacit du dispositif de contrle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux oprations et systmes
d'information de l'organisation. Cette valuation doit porter sur les aspects suivants :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.

1.

Les auditeurs internes sassurent que la direction gnrale et le Conseil sont conscients de la
responsabilit du management en matire de abilit et dintgrit de linformation. Cette
responsabilit porte sur toutes les informations essentielles pour lorganisation, quel que soit
leur mode de conservation. La abilit et lintgrit de linformation incluent lexactitude,
lexhaustivit et la scurit.

Commentaire IFACI
Laccessibilit est une condition ncessaire mais non susante pour quune information soit fiable.
La cour des comptes amricaine (US Governement Accountability Oce) fournit ce sujet une dmarche intressante
(cf. assessing the reliability of computer-processed data GAO-03-273G October 1, 2002).

2.

Le responsable de l'audit interne sassure que laudit interne dispose ou a accs des
ressources appropries pour valuer la abilit et lintgrit de linformation et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes et,
ceux arents aux relations tablies par lorganisation avec dautres entits externes.

3.

Le responsable daudit interne sassure que la direction gnrale, le Conseil et laudit interne
seront rapidement informs de toute atteinte la abilit et lintgrit de linformation et
de toute situation susceptible de constituer une menace pour lorganisation.

4.

Les auditeurs internes valuent, le cas chant, lecacit des mesures prises, en vue de
prvenir, dtecter et attnuer les attaques survenues par le pass, ainsi que tout incident ou
tentative d'attaque susceptible de se produire l'avenir. Les auditeurs internes sassurent que

178

IFACI - dcembre 2012

modalits Pratiques dApplication

le Conseil a bien t inform des menaces ou incidents survenus, des faiblesses exploites
et des mesures correctives.
Les auditeurs internes valuent priodiquement le dispositif de abilit et dintgrit de linformation de lorganisation et recommandent, le cas chant, des amliorations ou la mise
en place de nouveaux contrles et de nouvelles mesures de protection. Ces valuations
peuvent faire lobjet de missions distinctes et isoles ou tre intgres dans dautres missions
ralises dans le cadre du plan daudit annuel. Le processus de communication appropri
la direction gnrale et au Conseil dpendra de la nature de la mission.

MPA 2100

5.

IFACI - dcembre 2012

179

MPA 2130.A1-2
Lvaluation du dispositif mis en place par
lorganisation pour protger la vie prive
Principale Norme de rfrence
2130.A1 L'audit interne doit valuer la pertinence et l'ecacit du dispositif de contrle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux oprations et systmes
d'information de l'organisation. Cette valuation doit porter sur les aspects suivants :
latteinte des objectifs stratgiques de lorganisation ;
la abilit et l'intgrit des informations nancires et oprationnelles ;
l'ecacit et l'ecience des oprations et des programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et contrats.

1.

Lincapacit protger des informations caractre personnel par des contrles appropris,
peut avoir dimportantes consquences pour une organisation. Une telle lacune peut nuire
la rputation de certaines personnes et/ou de lorganisation, et exposer lorganisation des
risques tels que la mise en jeu de sa responsabilit lgale et la baisse de conance des
consommateurs et/ou des salaris.

2.

Les dnitions de la vie prive varient amplement selon la culture, lenvironnement politique
et le cadre juridique des pays o est implante lorganisation. Les risques lis au caractre
personnel des informations comprennent lintimit des personnes (sur le plan physique et
psychologique), le respect de lespace priv (absence de surveillance), ainsi que le caractre
condentiel de la communication (absence de contrle) et des informations (collecte, exploitation et diusion par autrui dinformations caractre personnel). Les informations caractre personnel correspondent gnralement des informations que lon peut associer un
individu donn, soit en tant que telles soit en les regroupant avec dautres informations. Il
peut sagir dinformations de nature objective ou subjective, enregistres ou non, et ce quels
quen soient la forme ou le support. titre dexemple, les informations caractre personnel
incluent notamment :
le nom, ladresse, les numros didentication, les relations familiales ;
les dossiers des salaris, les valuations, les commentaires, le statut social ou les mesures
disciplinaires ;
les informations relatives aux crdits, au revenu et la situation nancire ;
la situation mdicale.

180

IFACI - dcembre 2012

modalits Pratiques dApplication

Commentaire IFACI

3.

Les bonnes pratiques en matire de protection de la vie prive constituent un lment essentiel des processus de gouvernement dentreprise, de management des risques et de contrle.
Il incombe, en dernier ressort, au Conseil dassurer lidentication des principaux risques
encourus par lorganisation et la mise en uvre des processus appropris destins les attnuer. ce titre, il lui appartient de doter lorganisation dun dispositif garantissant le respect
de la vie prive et den piloter la mise en place.

4.

Laudit interne peut contribuer un bon gouvernement dentreprise et au management des


risques en valuant ladquation de lidentication des risques ralise par le management
en ce qui concerne la protection de la vie prive et des contrles mis en place pour attnuer
ces risques un niveau acceptable. Lauditeur interne est bien plac pour valuer le dispositif
en place dans lorganisation, identier les risques signicatifs et formuler les recommandations
appropries en vue de leur attnuation.

5.

Laudit interne examine la nature et le bien-fond des informations caractre personnel ou


priv recueillies par lorganisation et la mthode utilise pour les collecter. Il vrie galement
que lorganisation utilise ces informations conformment lusage qui en est attendu et la
lgislation applicable.

6.

tant donn la nature juridique et technique trs marque que revt cette question, laudit
interne devra disposer des connaissances et des comptences pour procder lvaluation
des risques et des contrles du dispositif mis en place par lorganisation en matire de protection de la vie prive.

7.

Pour procder lvaluation du dispositif mis en place par lorganisation pour protger la vie
prive, lauditeur interne :
prend en considration les lois, rglementations et rgles relatives au respect de la vie
prive en vigueur dans tous les pays dans lesquels lorganisation exerce une activit ;
se rapproche du juriste de lorganisation an de dterminer le contenu exact des lois,
rglementations, normes ou pratiques applicables lorganisation et au(x) pays dans
le(s)quel(s) elle exerce une activit ;
se rapproche des spcialistes des technologies de linformation an de sassurer que
des contrles concernant la scurit des informations et la protection des donnes sont
en place, et que leur ecacit est rgulirement examine et value ;

IFACI - dcembre 2012

181

MPA 2100

En France, selon larticle 8 de la Loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts il est
interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des
personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci.

prend en considration le niveau de maturit des pratiques de lorganisation en matire


de protection de la vie prive. Le rle de lauditeur interne peut varier en fonction de
cette maturit. Lauditeur peut faciliter llaboration et la mise en uvre dun
programme spcique, raliser une valuation des risques an de dterminer les
besoins et lexposition aux risques de lorganisation, ou bien il peut donner une assurance sur lecacit des rgles, des pratiques et des contrles en place dans lorganisation. Lindpendance de lauditeur interne peut tre altre sil assume une
responsabilit dans le dveloppement et la mise en place dun programme de protection de la vie prive.
Commentaire IFACI
La protection de la vie prive et des donnes caractre personnel est devenue une problmatique incontournable, du fait
de la collecte incessante d'informations lectroniques de ce type et de la capacit sans limite de relier ces informations entre
elles.
On consultera avec intrt le site de la CNIL (www.cnil.fr) qui, outre des informations prcises et utiles sur la conformit
la loi, ore un espace de rflexions sur ce thme.
Par ailleurs, le GTAG n5 Auditer et grer les risques relatifs la protection de la vie prive y est entirement consacr.

182

IFACI - dcembre 2012

modalits Pratiques dApplication

mPA SrIE 2200

MPA 2200

PlANIFICAtIoN DE lA mISSIoN

IFACI - dcembre 2012

183

184

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2200-1
Planification de la mission
Principale Norme de rfrence

2200 Planification de la mission

1.

Lauditeur interne planie et conduit la mission qui est supervise et approuve. Avant le
dbut de la mission, lauditeur interne prpare un programme qui :
dnit les objectifs de la mission ;
identie les exigences techniques, les objectifs, les risques, les processus et les transactions qui doivent tre examins ;
tablit la nature et l'tendue ncessaire des tests ;
documente les procdures utilises par l'auditeur interne pour collecter, analyser, interprter et documenter les informations pendant la mission ;
est modi, le cas chant, au cours de la mission avec lapprobation du responsable
de laudit interne ou de son reprsentant.

2.

Le responsable de laudit interne devrait exiger un niveau de formalisme et de documentation


adapt l'organisation (par exemple concernant les rsultats des runions de planication,
les procdures d'valuation des risques, le niveau de dtail du programme de travail, etc.).
Cette exigence devrait sappliquer :
lorsque le travail ralis ou les rsultats de la mission reposent sur des travaux de tiers
(par exemple, des auditeurs externes, des rgulateurs, ou le management) ;
lorsque le travail vise des aspects pouvant tre associs un litige existant ou potentiel ;
en fonction de l'exprience de lquipe daudit interne et du niveau de supervision
directe exige ;
lorsque la mission fait recours des auditeurs associs, slectionns en interne ou
des prestataires externes de services ;
en fonction de la complexit et ltendue de la mission ;
en fonction de la taille du service daudit interne ;
en fonction de la valeur des documents (par exemple, s'ils sont susceptibles dtre utiliss dans les annes suivantes).

IFACI - dcembre 2012

185

MPA 2200

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission prcise les objectifs, le champ d'intervention, la date et la dure de la mission, ainsi
que les ressources alloues.

3.

Lauditeur interne dtermine les autres exigences de la mission telles que la dure et les dates
estimes dachvement. Lauditeur interne considre aussi le format de la communication
nale de la mission. Une planication correcte ce stade facilite le processus de communication lissue de la mission.

Commentaire IFACI
Rapport daudit final : le terme anglais est plus gnral final engagement communication, ceci indique que le produit fini
dune mission ne se matrialise pas ncessairement sous forme de rapport au sens traditionnel du terme. La prsentation
des rsultats dune mission peut se faire sur dirents supports et suivant dirents formats (prsentation de type power
point, rapport classique ). Par contre, si le format a t dfini au moment de la lettre de mission, il est impratif de sy
conformer. La forme et le mdia sont laisss lapprciation du dpartement daudit interne.

4.

Lauditeur interne informe le management concern. Il tient des runions avec le management responsable de l'activit audite. Il rsume les discussions et diusent les comptes
rendus et toutes les conclusions qui en rsultent. Ces documents sont conservs dans les
papiers de travail de la mission.

Commentaire IFACI
Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succs de la mission et la fiabilit des
rsultats attendus, la communication pralable la mission peut tre restreinte ou soumise un niveau de confidentialit
plus important. Dans certains cas mme, le responsable de lentit audite peut ne pas tre averti de la mission, avec
laccord de la direction gnrale.

Les sujets de discussion peuvent tre les suivants :


les objectifs et le champ d'intervention de la mission d'audit planie ;
les ressources et le calendrier de la mission ;
les facteurs cls aectant les conditions de gestion et les oprations des zones audites,
y compris les changements rcents au niveau de lenvironnement interne et externe ;
les proccupations et les demandes du management ;
les sujets particuliers ou les proccupations de l'auditeur interne ;
la description des procdures de l'audit interne pour rendre compte et assurer le suivi
de la mission.
5.

Le responsable de l'audit interne dtermine comment, quand et qui les rsultats de l'audit
seront communiqus. Lauditeur interne documente ces lments et les communique au
management autant que possible, pendant la phase de planication de la mission. Lauditeur
interne communique au management les changements ultrieurs qui aectent les dlais ou
la diusion des rsultats de la mission.

186

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2200-2
Utilisation dune approche Top-Down ,
fonde sur les risques, pour identifier les contrles
valuer dans le cadre dune mission daudit interne
Principale Norme de rfrence

2200 Planification de la mission

1.

La prsente modalit est complmentaire des Modalits Pratiques dApplication (MPA) 20102 : Prise en compte du management des risques dans la planication de laudit interne, 22101 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planication de
la mission ainsi que du Guide to the Assessment of IT Risk (GAIT) for business and IT risk
(GAIT-R)1 .

2.

Cette MPA suppose que les objectifs de la mission daudit interne aient t dtermins et les
risques identis dans le cadre du processus de planication. Elle fournit une ligne directrice
quant l'utilisation d'une approche Top-down , fonde sur les risques, qui identie et inclut
dans le primtre de laudit interne (selon la Norme 2220) les contrles cls sur lesquels la
gestion des risques sappuie.

3.

Lapproche Top-down implique de dnir le primtre d'audit sur les risques les plus signicatifs de l'organisation et non sur des risques spciques qui ne seraient pas signicatifs
lchelle de l'organisation. Une approche Top-down garantit que l'audit interne est orient
vers la prise en compte du management des risques dans la planication de laudit interne ,
conformment la MPA 2010-2.

4.

En gnral, un systme de contrle interne comprend la fois des contrles manuels et des
contrles automatiss2. Ces deux types de contrles doivent tre valus an de dterminer
si les risques sont ecacement grs. Lauditeur interne doit en particulier valuer s'il existe

Ce document (guide dvaluation relatif aux risques mtiers et aux risques des systmes dinformation) nest pas traduit en franais. Il a t conu pour
rpondre aux obligations des entreprises vis--vis de la section 404 du Sarbanes-Oxley Act.
Il est noter que ceci sapplique aux contrles tous les niveaux entit, processus mtier et contrles gnraux informatiques et tous les chelons
du cadre de contrle ; titre dexemple les activits relevant de lenvironnement de contrle, du suivi ou de lvaluation des risques peuvent tre galement
automatiss.

IFACI - dcembre 2012

187

MPA 2200

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission prcise les objectifs, le champ d'intervention, la date et la dure de la mission, ainsi
que les ressources alloues.

une combinaison approprie de contrles, y compris ceux relatifs aux technologies de l'information, an de rduire les risques dans les limites acceptes par l'organisation. Lauditeur
interne doit envisager d'inclure ou non des procdures visant valuer et conrmer que les
niveaux dacceptation des risques sont jour et adquats.
5.

Le primtre daudit interne doit comprendre tous les contrles requis pour donner lassurance raisonnable que les risques sont ecacement grs1. Ces contrles sont dits contrles
cls au sens o ils sont ncessaires la gestion des risques associs un objectif particulirement critique pour lorganisation. Seuls les contrles cls doivent tre valus. Toutefois,
lauditeur interne peut choisir dinclure une valuation d'autres contrles (contrles redondants ou dupliqus par exemple) s'il lestime utile pour l'activit. Il peut galement discuter
avec le management de la ncessit de ces contrles secondaires.

6.

Lorsquune organisation dispose dun programme de gestion des risques ecace et mature,
les contrles cls sur lesquels elle sappuie pour grer chaque risque devront tre identis.
Dans de tels cas, lauditeur interne doit examiner si l'identication et l'valuation des contrles
cls par le management sont adquates.

7.

Les contrles cls peuvent prendre les formes suivantes :


Les contrles transversaux lentit2 peuvent tre manuels, entirement ou partiellement automatiss.
Les contrles manuels dun processus mtier3.
Les contrles entirement automatiss dun processus mtier4.
Les contrles partiellement automatiss dun processus mtier5, lorsquun contrle
manuel sappuie sur une fonctionnalit informatique telle quun tat danomalies. Si
cette fonctionnalit est errone, lensemble du contrle peut tre inecace. Par exemple, un contrle cl visant dtecter les rglements dupliqus peut inclure lexamen
d'un tat informatique. La partie manuelle du contrle ne peut assurer que ltat est
complet. De ce fait, le primtre daudit doit inclure la fonctionnalit informatique qui
gnre ltat.
Lauditeur interne peut utiliser dautres mthodes ou rfrentiels ds lors que tous les
contrles cls mis en place pour grer les risques sont identis et valus, y compris les
contrles manuels, automatiss et les contrles gnraux informatiques.

8.

1
2
3
4
5

Les contrles entirement ou partiellement automatiss quils soient au niveau de l'entit


ou d'un processus mtier sappuient gnralement sur la conception adquate et lecacit

Voir les commentaires gurant ci-aprs au paragraphe 9.


Par exemple, concernant le code de conduite, les salaris sont forms puis leur bonne comprhension est vrie.
Par exemple, la ralisation dun inventaire physique.
Par exemple, le rapprochement et la mise jour des comptes dans la balance gnrale.
Egalement dsigns comme des contrles hybrides ou contrles dpendants des technologies de linformation.

188

IFACI - dcembre 2012

modalits Pratiques dApplication

des contrles gnraux informatiques. Le GAIT-R explicite le processus didentication des


contrles gnraux informatiques cls.
9.

Lvaluation des contrles cls peut tre ralise soit lors d'une seule mission d'audit interne
selon une approche intgre, soit au cours d'une srie de missions. Par exemple, une premire
mission d'audit interne peut traiter des contrles cls raliss par les oprationnels tandis
qu'une deuxime abordera les contrles gnraux informatiques et quune troisime valuera
les contrles associs mis en place au niveau de lentit. Cette pratique est courante lorsque
les mmes contrles1 sont mis en place pour plus dun domaine de risque.

10. Comme nonc au paragraphe 5, avant dmettre une opinion sur la gestion ecace des
risques couverts par le primtre daudit interne, il est ncessaire dvaluer la combinaison
des dirents contrles cls. Mme lorsquune srie de missions daudit interne est ralise,
chacune traitant de certains contrles cls, l'auditeur interne doit inclure dans le primtre
d'au moins une des missions d'audit interne une valuation de la conception des contrles
cls dans son ensemble2 et dterminer si cela est susant pour grer les risques dans les
limites acceptes par l'organisation.

MPA 2200

11. Si le primtre d'audit interne3 ninclut que certains contrles cls requis pour grer les risques
cibles, il faudra le considrer comme une limitation du primtre et le prciser clairement
dans le rapport.

1
2
3

En particulier ceux transversaux l'entit ou encore les contrles gnraux informatiques.


C'est--dire pour toute la srie de missions d'audit interne.
Compte tenu des autres missions d'audit interne comme mentionn au paragraphe 9.

IFACI - dcembre 2012

189

MPA 2210-1
Objectifs de la mission
Principale Norme de rfrence

2210 objectifs de la mission


Les objectifs doivent tre prciss pour chaque mission.

1.

Les auditeurs internes tablissent les objectifs de la mission en fonction des risques lis l'activit auditer. Concernant les missions planies, les objectifs dcoulent et sont conformes
ceux qui ont t initialement identis lors du processus dvaluation des risques qui a
permis dtablir le plan annuel d'audit. Pour les missions non planies, les objectifs sont
tablis avant le dbut de la mission en fonction de la problmatique spcique qui a motiv
la mission.

2.

Lvaluation des risques ralise pendant la planication de la mission est utilise pour mieux
prciser les objectifs initiaux et identier dautres zones dintrt signicatives.

3.

Aprs avoir identi les risques, l'auditeur interne dtermine les procdures mettre en uvre
et leur primtre (nature, dure, et tendue). Les procdures mises en uvre sur le primtre
appropri constituent les moyens de tirer des conclusions lies aux objectifs de la mission.

190

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2210.A1-1
valuation des risques dans la planification
de la mission
Principale Norme de rfrence

1.

Les auditeurs internes tiennent compte de lvaluation des risques eectue par le management pour lactivit examine. Lauditeur interne prend aussi en compte les lments
suivants :
la abilit de cette valuation des risques ;
le processus tabli par le management pour la surveillance, la diusion dinformations
et la rsolution des risques et des contrles ;
les comptes-rendus du management sur les vnements qui ont dpass les limites
de lapptence pour le risque de lorganisation ainsi que les rponses du management
ces rapports ;
les risques des activits connexes et pertinentes par rapport lactivit examine.

2.

Les auditeurs internes obtiennent et mettent jour des informations de base sur lactivit
auditer. Ces informations sont rvises pour dterminer leur impact sur les objectifs et le primtre de la mission.

3.

Si ncessaire, les auditeurs internes ralisent un examen prliminaire pour se familiariser avec
les activits, les risques et les contrles, pour identier les domaines o la mission sera approfondie et pour inviter les clients de la mission fournir leurs commentaires et suggestions.

4.

Les auditeurs internes font la synthse de lexamen de lvaluation des risques eectue par
le management, des lments de contexte et de toute revue prliminaire. Ce rsum
comprend :
les problmes importants et les raisons pour poursuivre une tude plus approfondie ;
les objectifs et les procdures de la mission;
les mthodes utiliser telles que les audits informatiss ou les techniques dchantillonnage ;
les points de contrles potentiellement dlicats, les manques et/ou les excs de
contrle apparents ;
si ncessaire, les raisons pour ne pas continuer la mission ou pour modier signicativement les objectifs de la mission.

IFACI - dcembre 2012

191

MPA 2200

2210.A1 L'auditeur interne doit procder une valuation prliminaire des risques lis l'activit soumise l'audit. Les objectifs de la mission doivent tre dtermins en fonction des rsultats de cette valuation.

MPA 2230-1
Ressources aectes la mission
Principale Norme de rfrence

2230 ressources aectes la mission


Les auditeurs internes doivent dterminer les ressources appropries et susantes pour atteindre
les objectifs de la mission. Ils s'appuient sur une valuation de la nature et de la complexit de
chaque mission, des contraintes de temps et des ressources disponibles.

1.

Pour dterminer le caractre appropri et susant des ressources, les auditeurs internes considrent les lments suivants :
le nombre d'auditeurs internes et le niveau d'exprience de l'quipe d'audit ;
les connaissances, le savoir-faire et autres comptences des auditeurs internes pour
leur aectation chaque mission d'audit ;
la disponibilit de ressources externes dans les cas o des connaissances ou des comptences supplmentaires sont requises ;
les besoins de formation des auditeurs internes pour chaque mission constituent un
point de dpart pour satisfaire le dveloppement des connaissances ncessaires au
niveau de laudit interne.

192

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2240-1
Programme de travail de la mission
Principale Norme de rfrence

2240 Programme de travail de la mission


Les auditeurs internes doivent laborer et documenter un programme de travail permettant
d'atteindre les objectifs de la mission.

1.

Les auditeurs internes laborent les programmes de travail et en obtiennent la validation


formelle avant de commencer la mission. Le programme de travail comprend les mthodes
utilises telles que les audits informatiss et les techniques dchantillonnage.

Commentaire IFACI
Le programme de travail peut ventuellement tre revu au cours de la phase de ralisation. En cas de modification
importante, il doit de nouveau tre valid.

Le processus de collecte, danalyse, dinterprtation et de documentation de linformation


est supervis an dobtenir une assurance raisonnable que les objectifs daudit sont atteints
et que lobjectivit de lauditeur est maintenue.

MPA 2200

2.

IFACI - dcembre 2012

193

194

IFACI - dcembre 2012

modalits Pratiques dApplication

mPA SrIE 2300

MPA 2300

ACComPlISSEmENt DE lA mISSIoN

IFACI - dcembre 2012

195

196

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2300-1
Utilisation dinformations caractre personnel
dans la conduite dune mission
Principale Norme de rfrence

2300 Accomplissement de la mission

1.

Les auditeurs internes doivent se proccuper de la protection des informations caractre


personnel qui sont recueillies au cours des missions daudit, car les progrs des technologies
de linformation et des communications continuent dinduire des risques et des menaces
pour la vie prive. De nombreux pays imposent aux organisations de se doter dun dispositif
de contrle visant protger la vie prive.

2.

Les informations caractre personnel sont gnralement des donnes associes un individu en particulier ou des donnes didentication qui peuvent tre associes dautres informations. Il peut sagir dinformations factuelles ou subjectives, enregistres ou non, sous toute
forme ou tout type de support. Les informations caractre personnel sont notamment :
le nom, ladresse, les numros didentication, le revenu, le groupe sanguin ;
les valuations, le statut social, les mesures disciplinaires ;
les chiers du personnel et les dossiers de crdit et de prt ;
les donnes relatives la sant et les donnes mdicales du personnel.

3.

Dans de nombreux pays, la lgislation impose aux organisations didentier, lors de la collecte
des donnes ou avant cette collecte, la nalit pour laquelle des informations caractre
personnel sont recueillies. Elle interdit lutilisation et la divulgation dinformations caractre
personnel pour une nalit autre que celle pour laquelle ces donnes ont t recueillies, sauf
si lindividu concern a donn son accord ou si la lgislation limpose.

4.

Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives
lutilisation dinformations caractre personnel dans leur pays et dans les pays o leur organisation opre.

5.

Il peut tre inopportun, voire illgal, daccder , de rechercher, de passer en revue, de manipuler ou dutiliser des informations caractre personnel dans le cadre de certaines missions

IFACI - dcembre 2012

197

MPA 2300

Les auditeurs internes doivent identier, analyser, valuer et documenter les informations ncessaires pour atteindre les objectifs de la mission.

daudit interne. Si laudit interne accde de telles informations, il peut tre ncessaire dlaborer des procdures pour les protger. Ainsi, dans certaines situations, lauditeur interne
peut dcider de ne pas faire gurer dinformations caractre personnel dans les dossiers de
la mission.
6.

En cas dinterrogations ou de doutes concernant laccs des informations caractre


personnel, lauditeur interne peut demander lavis dun juriste avant le lancement de laudit.

198

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2320-1
Procdures analytiques
Principale Norme de rfrence

2320 Analyse et valuation

1.

Les auditeurs internes peuvent recourir des procdures analytiques pour obtenir des
preuves daudit. Les procdures analytiques consistent tudier et comparer les relations
entre des informations nancires et des informations non nancires. Leur mise en uvre
se base sur lhypothse quen conditions normales, on peut raisonnablement sattendre
lexistence et la persistance de relations entre certaines informations. Parmi les exemples
de conditions hors normes, on peut citer : les transactions ou vnements inhabituels ou
non rcurrents, les modications des principes comptables, organisationnels, oprationnels,
environnementaux ou technologiques, les ineciences, les inecacits, les erreurs, la fraude
ou les actes illgaux.

2.

Pour lauditeur interne, les procdures analytiques constituent souvent un moyen ecient
et ecace dobtenir des lments probants. Lvaluation rsulte de la comparaison dune
information avec des rsultats attendus ou dnis par lauditeur interne. Les procdures analytiques sont utiles pour reprer :
les carts inattendus ;
labsence dcarts attendus ;
les erreurs potentielles ;
une fraude ou des actes illgaux potentiels ;
dautres transactions ou vnements inhabituels ou non rcurrents.

3.

Les procdures analytiques consistent notamment :


comparer les informations relatives la priode en cours et les informations analogues
des priodes prcdentes, ainsi que les budgets ou les prvisions ;
tudier les relations entre des informations nancires et des informations non nancires appropries (par exemple, les frais de personnel comptabiliss et lvolution de
leectif moyen) ;
tudier les relations entre des lments dinformation (par exemple, la uctuation du
montant des intrts dbiteurs comptabiliss et lvolution des dettes correspondantes) ;

IFACI - dcembre 2012

199

MPA 2300

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.

comparer les informations collectes avec les prvisions fondes sur des informations
analogues dautres units organisationnelles et aux informations sectorielles de mme
nature.
4.

Les auditeurs internes peuvent mettre en uvre les procdures analytiques en utilisant des
valeurs montaires, des quantits physiques, des ratios ou des pourcentages. Certaines procdures analytiques font intervenir des analyses de ratios, de tendances ou de rgression, des
tests de vraisemblance, des comparaisons entre priodes, des comparaisons avec les budgets,
des prvisions ou des informations conomiques extrieures. Les procdures analytiques
aident les auditeurs internes identier les conditions qui peuvent ncessiter des procdures
daudit supplmentaires. Un auditeur interne applique des procdures analytiques lorsquil
planie sa mission conformment aux lignes directrices nonces dans la Norme 2200.

5.

Les auditeurs internes peuvent recourir des procdures analytiques pour produire des
preuves au cours de leur mission. Lorsquil dtermine dans quelle mesure des procdures
analytiques doivent tre utilises, lauditeur interne prend en compte :
limportance du secteur audit ;
lvaluation du management des risques dans le domaine audit ;
ladquation du systme de contrle interne ;
la disponibilit et la abilit des informations nancires et non nancires ;
la prcision attendue des rsultats des procdures analytiques ;
la disponibilit et la comparabilit dinformations ;
la validit dautres procdures daudit pour lobtention de preuves.

6.

Lorsque les procdures analytiques font apparatre des rsultats ou des relations inattendus,
lauditeur interne value ces rsultats ou ces relations. Cette valuation consiste dterminer
si la dirence par rapport aux attentes pourrait rsulter dune fraude, dune erreur ou de
nouvelles conditions. Lauditeur interne peut interroger le management sur les raisons de
cette dirence et corroborer, ou non, lexplication du management, par exemple en modiant les objectifs et en recalculant lcart, ou en appliquant dautres procdures daudit. Lauditeur interne se doit en particulier de vrier que lexplication tient compte la fois du sens
du changement (baisse des ventes, par exemple) et de lampleur de lcart (baisse des ventes
de 10 %, par exemple). Les rsultats ou les relations inexpliqus, qui sont obtenus au moyen
de procdures analytiques, peuvent indiquer un ventuel problme important (tel quune
erreur, une fraude ou un acte illgal). Les rsultats ou les relations qui ne sont pas expliqus
de faon adquate peuvent indiquer une situation dont il faudra informer la direction gnrale et le Conseil conformment la Norme 2060. En fonction des circonstances, lauditeur
interne peut recommander une action approprie.

200

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2320-2
Analyse causale
Principale Norme de rfrence

2320 Analyse et valuation

1.

Lanalyse causale consiste rechercher lorigine dun problme, au lieu de simplement le


constater ou en rendre compte. Dans cette MPA, problme renvoie une dicult, une
erreur, une non-conformit, ou une occasion manque.

2.

Les auditeurs internes dont les rapports se contentent de recommander au management de


corriger une situation problmatique sans rsoudre les causes sous-jacentes manquent
une opportunit de contribuer lamlioration de lecience et lecacit des processus
mtiers long terme et, par consquent, lamlioration de lenvironnement global de
gouvernement dentreprise, de gestion des risques et de contrle. La capacit identier la
ncessit dune analyse causale et, le cas chant, la faciliter, la rviser et/ou la raliser est
une comptence cl, indispensable cette contribution.

3.

Laudit interne, du fait de son indpendance et de son objectivit, peut tre la fonction idale
pour analyser les problmes et identier leurs causes sous-jacentes. Cette approche contribue
la rduction des carts, la remise en cause des hypothses, et lvaluation complte des
lments probants. En outre, les auditeurs internes par leurs interventions dans direntes
entits et lignes hirarchiques de lorganisation peuvent avoir dvelopp une connaissance
tendue et approfondie du (des) problme(s) sous-jacent(s). Cette connaissance est parfois
plus importante que celle dun manager, ce qui leur permet dtre mieux mme danalyser
le problme en question. Dans les cas o la cause sous-jacente dun problme rsulte dactions ou dinactions du management, il est essentiel de faire appel lobjectivit dun tiers,
tel laudit interne, pour tudier la situation et en rendre compte la direction gnrale.

4.

Lanalyse causale est bnque pour lorganisation parce quelle identie la (les) cause(s) sousjacente(s) dun problme. Cette approche ore une perspective damlioration long terme
des processus mtiers. En labsence dune analyse ecace et de solutions de traitement
appropries, il y a une plus forte probabilit que le problme se produise nouveau. Lanalyse
causale permet dviter de multiples remaniements et traite de faon proactive le risque de

IFACI - dcembre 2012

201

MPA 2300

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.

rcurrence du (des) problme(s). Lanalyse causale peut sappliquer nimporte quel type de
situation, tel quun vnement risqu inattendu, une dfaillance dans un processus, des
dommages ou pertes matriels, un arrt de la production, un incident de scurit, une dgradation de la qualit ou linsatisfaction dun client. Il est important de souligner le fait quun
problme sexplique souvent par plusieurs causes corrles ou non.
5.

Les ressources consacres lanalyse causale doivent correspondre limpact du problme


ou des problmes potentiels et risques futurs. Dans certaines circonstances, lanalyse causale
peut tout simplement utiliser la mthode des cinq pourquoi . Par exemple : Lemploy est
tomb. Pourquoi ? Parce quil y avait de lhuile sur le sol. Pourquoi ? Parce quune pice sest
casse. Pourquoi ? Parce que la pice tombe toujours en panne. Pourquoi ? Parce que les
mthodes dappprovisionnement ont t modies.
lissue du cinquime pourquoi , lauditeur interne devrait tre en mesure de pouvoir
identier ou dapprocher la cause sous-jacente. Toutefois, des problmes plus complexes
peuvent ncessiter un investissement plus important en ressources et une analyse plus rigoureuse. Avant de dbuter lanalyse causale de problmes plus complexes, il convient que les
auditeurs internes considrent que :
a. Lanalyse causale peut ncessiter normment de temps pour tudier le processus, le
personnel, la technologie ainsi que les donnes ncessaires lidentication et lvaluation dune cause sous-jacente. Ainsi, un projet qui pourrait a priori tre ralis rapidement peut nalement ncessiter dnormes travaux pour la validation des divers
scnarios, lanalyse approfondie des donnes et lvaluation des nombreux facteurs
internes et externes qui ont un eet sur les processus mtiers.
b. Les auditeurs internes peuvent ne pas avoir toutes les comptences ncessaires la
conduite de lanalyse spcique de certaines causes sous-jacentes. Cest pourquoi, ils
devront dnir avec prcision les travaux entrependre pour mener bien lanalyse
causale ainsi que leur degr dimplication. Pour ce faire, ils devront considrer lensemble
des comptences requises ainsi que le niveau dvaluation et danalyse ncessaires pour
tablir une conclusion. Les responsables de laudit interne (RAI) sassureront que lexprience et lexpertise de leurs quipes sont susantes pour accomplir ces travaux et
pourront ventuellement faire appel une aide extrieure (par exemple, dirigeants
dentreprise, experts techniques, et/ou consultants externes).
c. Lorsque laudit interne ne dispose pas du temps ou des comptences ncessaires, le
RAI devra formuler des recommandations an de traiter lorigine de la dcience et, le
cas chant, recommander que le management conduise une analyse causale.

6.

Avant de raliser lanalyse causale, il convient que les auditeurs internes anticipent les obstacles potentiels qui pourraient entraver leurs eorts, et dveloppent une approche proactive
pour traiter ces situations.

202

IFACI - dcembre 2012

modalits Pratiques dApplication

a. Le management peut tre rticent lide que laudit interne puisse avoir un rle dans
les analyses causales. Le RAI et les auditeurs internes peuvent tre amens expliquer
et dmontrer au management le rle et les capacits de laudit interne.

c. Dterminer la vritable cause sous-jacente peut se rvler dicile et subjectif mme


lorsque lon dispose de susamment de donnes quantitatives et qualitatives. Les auditeurs internes devront rendre compte de la contribution des direntes parties
prenantes du processus mtier dans llaboration, lanalyse et lvaluation des informations. Une multiplicit derreurs avec divers degrs dimpact peut tre lorigine dun
problme. Lauditeur interne peut, dans certains cas, laborer plusieurs conclusions,
assorties de dirents scnarios considrer par le management comme pouvant tre
la cause sous-jacente dun problme. Dans ce cas, la valeur apporte par laudit interne
est lvaluation indpendante et objective ainsi que la prsentation des diverses
donnes et analyses partir desquelles le management pourra formuler une conclusion
sur la cause la plus probable.
d. Lorsquelle est ralise par laudit interne, une analyse causale qui conduirait des observations et des recommandations spciques et concrtes pour lamlioration des
processus et des contrles, pourra tre perue comme plaant lauditeur interne dans
un rle de management. Les auditeurs doivent grer ce risque de perception en :
i. fournissant une analyse spcique, objective et taye de la cause sous-jacente ;
ii. distinguant la dtermination de la cause sous-jacente, des recommandations lies
son traitement ;
IFACI - dcembre 2012

203

MPA 2300

b. Le management peut sopposer la conduite dune analyse causale en raison des dlais
et des eorts supplmentaires quelle impose leur quipe. Le management peut privilgier les solutions court terme pour rtablir immdiatement la conformit ou ramener le processus ou la transaction son tat normal.
Il arrive toutefois que des solutions long terme soient envisages mais uniquement
lorsque les dlais et les ressources le permettent. Mais le management sera dautant
moins enclin adopter les solutions proposes quelles ne gnrent pas deets immdiats, sont de nature prventive, et ncessitent des investissements signicatifs. De fait,
limpact long terme des dfaillances non corriges en termes de cot, de dlais et de
ressources nest pas toujours mesur. De mme, en labsence de solution long terme,
les ajustements permanents ne sont pas apprhends. Les RAI pourront utiliser ce type
dargument sils sont amens documenter le bien-fond dune analyse causale pour
obtenir le soutien du management. Pour les questions ncessitant des corrections
long terme, ayant un impact important sur les ressources, les dlais ou les cots, les
auditeurs internes pourront suggrer, en plus de la solution long terme plus coteuse,
des mesures dattnuation immdiates ou court terme. Cette approche permettra
datteindre rapidement les objectifs mtiers xs par le management tout en lui
donnant le temps de planier et de budgtiser une solution long terme plus robuste,
qui puisse traiter les causes sous-jacentes du problme.

iii. sassurant que la charte de laudit interne ou le rapport de mission dnissent


clairement le rle du management, savoir valuer les recommandations faites
par laudit interne et assumer la mise en uvre de toute modication du processus mtier ;
iv. dissociant clairement les missions dassurance ou les valuations linitiative de
laudit interne, des missions de conseil commandites par un responsable oprationnel.
7.

De faon gnrale, la plupart des causes sous-jacentes peuvent tre ramenes des dcisions, des actions ou des inactions dune ou de plusieurs personne(s). Toutefois, les auditeurs
internes devront considrer le contexte, qui peut avoir une incidence sur le problme et qui
peut galement reprsenter un risque plus important pour lorganisation :
a. comptence du personnel.
b. embauche du personnel quali.
c. absence de formation ou formation insusante.
d. adquation de la technologie ou des outils.
e. pertinence de la culture de lorganisation ou du dpartement.
f. sant au travail et risques psychosociaux.
g. niveau ou volume de ressources (par exemple, budget ou eectif ).
h. circonstances du processus et autres facteurs ayant conduit la personne ou les
personnes prendre les dcisions.
i. pouvoir de dcision de la ou des personne(s) implique(s).
Une analyse causale qui sarrte lidentication des composantes et des activits du processus (par exemple, la technologie, les rgles, la formation) peut se rvler incomplte. Une
vritable analyse causale cherchera comprendre pourquoi des personnes qualies prennent de mauvaises dcisions ou des dcisions inappropries (pourquoi la personne ayant
pris la dcision a-t-elle pens quelle avait fait le bon choix ce moment ?). Dans ces cas, les
auditeurs internes devront caractriser la situation en essayant de comprendre toutes les
circonstances qui ont amen les acteurs du processus prendre une dcision spcique.

8.

Pour la plupart des problmes quils auront traiter, les auditeurs internes pourront recourir
des techniques simples. Les techniques les plus labores de collecte de donnes, danalyse
statistique, et lutilisation dautres concepts seront rserves aux situations dans lesquelles le
temps et leort (cest--dire les cots) ncessaires pour corriger les causes sous-jacentes sont
susceptibles dtre justis par le niveau de risque et doptimisation des processus pouvant
tre atteints.
Il existe plusieurs techniques danalyse causale. Parmi les outils danalyse utiliss que lon
trouve facilement sur lnternet gurent :
a. la mthode des Cinq pourquoi .
b. lAnalyse des Modes de Dfaillance, de leurs Eets et de leur Criticit (AMDEC).

204

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2300

c. le diagramme SIPOC (fournisseurs (Suppliers), entres (Input), Processus, sorties


(Output), Clients).
d. lorganigramme de ux (owchart) dun processsus, dun systme de donnes.
e. le diagramme cause-eet (en arte de poisson / Diagramme dIshikawa).
f. lanalyse critique de mesure de la qualit.
g. le diagramme de Pareto.
h. la corrlation statistique.

IFACI - dcembre 2012

205

Modalits Pratiques dApplication

MPA 2320-3
Lchantillonnage en audit
Principale Norme de rfrence

2320 Analyse et valuation


Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.

MPA lie

MPA 2240-1
Programme de travail de la mission
1.

Les auditeurs internes laborent les programmes de travail et en obtiennent la validation


formelle avant de commencer la mission. Le programme de travail comprend les mthodes
utilises telles que les audits informatiss et les techniques dchantillonnage.

2.

Le processus de collecte, danalyse, dinterprtation et de documentation de linformation


est supervis an dobtenir une assurance raisonnable que les objectifs daudit sont atteints
et que lobjectivit de lauditeur est maintenue.

La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune vrification par
sondage. Elle introduit la prise en compte des techniques de sondage lors de la planification dtaille des travaux daudit.
A ce titre, elle est complmentaire dautres lignes directrices de lIIA (notamment celles qui sont relatives la gestion du
risque daudit (MPA 2120-2), aux objectifs de la mission (cf. Normes et MPA de la srie 2210) ; au programme de travail
(Norme 2240), lidentification des informations (Normes 2300 et 2310), la documentation des informations (Norme
2330) ou le GTAG sur les techniques informatises danalyse de donnes. Pour la mise en uvre des principes recommands
ci-dessous, des connaissances plus prcises en mthodes statistiques sont ncessaires.
Nous utiliserons indiremment chantillonnage ou sondage pour traduire sampling .
1.

Les sondages sont utiliss en audit an de fournir des preuves factuelles et une base raisonnable permettant de formuler des conclusions relatives une population partir de laquelle
un chantillon a t slectionn. L'auditeur interne conoit un chantillon d'audit, ralise le

IFACI - septembre 2013

MPA 2300

Commentaire IFACI

tirage, excute des procdures d'audit et value les rsultats issus de cet chantillon an
d'obtenir des preuves d'audit susantes, ables, pertinentes et utiles pour atteindre les objectifs de la mission. Une information susante est factuelle, adquate et probante, de sorte
quune personne prudente et informe pourrait parvenir aux mmes conclusions que lauditeur. Une information able est une information concluante et facilement accessible par
lutilisation de techniques daudit appropries. Une information pertinente conforte les
constatations et recommandations de laudit, et rpond aux objectifs de la mission. Une information utile contribue sassurer que l'organisation atteindra ses objectifs.
Commentaire IFACI
Le sondage comporte toujours une marge dincertitude que lauditeur interne dtermine a priori. (cf. 11)
Commentaire IFACI
La dfinition de la fiabilit de linformation met laccent sur son accessibilit. En eet, une information dicilement
accessible est une information quil va falloir reconstituer partir de calculs, dalgorithmes ou dautres raisonnements
reposant souvent sur des hypothses, do une grande dicult valuer une information de ce type sur des critres
comme lexactitude ou lexhaustivit. De plus, le rapport cot-avantage peut limiter de telles recherches.
Nanmoins, la facilit daccs nest pas un critre susant. Si une information est accessible, il restera prouver sa fiabilit
en sassurant quelle peut tre vrifie par dautres personnes et en validant lintgrit des sources dinformation.

2.

En audit, les sondages consistent appliquer des procdures d'audit sur moins de 100 % des
lments d'une catgorie de transactions ou d'un solde de compte, de telle manire que
chaque unit d'chantillonnage ait la mme chance d'tre slectionne. La population
dsigne l'ensemble des donnes partir desquelles un chantillon est construit et propos
de laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'chantillonnage se
dnit comme le risque que la conclusion tire par l'auditeur interne partir d'un chantillon
soit dirente de celle qu'il aurait tire en soumettant l'ensemble de la population la mme
procdure d'audit.

Commentaire IFACI
La population est dfinie en fonction du primtre et des objectifs de la mission.
Le dveloppement des outils danalyse de donnes permet denvisager lapplication de procdures daudit sur lensemble
dune population. Nanmoins, lauditeur peut tre confront au fait que tous les lments auditer ne sont pas embarqus
dans les systmes dinformations (par exemple pour lexamen dlments physiques), que la base de donnes est
incomplte (empchant par exemple laccs des donnes antrieures ou dautres entits) ou que lauditeur a lobligation
de faire un contrle sur pices.

IFACI - septembre 2013

Modalits Pratiques dApplication

En outre, malgr lopportunit oerte par les systmes dinformation, la ralisation de procdures daudit sur lensemble de
la population peut avoir un cot (en temps ou en ressources dinvestigation) justifiant une approche par chantillonnage.
Pour dterminer son approche, lauditeur devra prendre en compte le risque dchantillonnage et le risque daudit.
Le lecteur pourra se rfrer GAO Assessing the reliability of computer-processed data .

chantillonnages statistique et non statistique


3.

L'chantillonnage statistique (alatoire ou systmatique) consiste raliser un tirage partir


duquel la vraisemblance des conclusions pourra tre mathmatiquement value pour une
extrapolation la population considre. Avec ce type de sondage, l'auditeur pourra formuler
des conclusions en tenant compte de lintervalle de conance (pour viter en particulier le
risque de conclusion errone). Il est essentiel que l'chantillon de transactions construit soit
reprsentatif de la population value, faute de quoi la possibilit de tirer des conclusions
fondes sur la revue de lchantillon sera limite voire inexistante. L'auditeur interne devrait
vrier le caractre exhaustif de la population an de s'assurer que l'chantillon est construit
partir dun ensemble appropri de donnes.

Commentaire IFACI

4.

L'chantillonnage non statistique est utilis par l'auditeur qui souhaite se fonder sur sa propre
exprience et sur ses connaissances pour dterminer les critres de construction d'un chantillon. Ces sondages non statistiques (raisonns, essentiellement fonds sur le jugement), ne
permettent pas de justier, d'un point de vue mathmatique, lextrapolation des rsultats
lensemble de la population. Autrement dit, l'chantillon peut tre biais et non reprsentatif
de la population. L'objectif du test, son ecience, les caractristiques oprationnelles, les
risques inhrents et l'impact des rsultats sont des lments communment pris en compte
par l'auditeur pour orienter la mthode de sondage. L'chantillonnage non statistique peut
tre utilis lorsqu'il est ncessaire d'obtenir rapidement des rsultats et pour tester une hypothse plutt que pour projeter la vraisemblance mathmatique des conclusions lensemble
de la population.

Commentaire IFACI
Selon le paragraphe 5.g de la norme ISA 530 : le sondage statistique est une mthode de slection dchantillons

IFACI - septembre 2013

MPA 2300

Le caractre exhaustif est apprci au regard de lobjectif du test daudit et des caractristiques valuer.
En pratique, ces objectifs se traduisent notamment par la dfinition de bornes temporelles ou dune srie de transactionscls du processus auditer.

possdant les caractristiques suivantes :


Slection alatoire des lments formant lchantillon ;
Utilisation de la thorie des probabilits pour valuer les rsultats du sondage, y compris la mesure du risque
dchantillonnage.
Une mthode de sondage qui ne runit pas ces caractristiques est considre comme une mthode de sondage non
statistique.
Les tirages non statistiques peuvent par exemple tre justifis dans le cadre de lanalyse dun indice de fraude, en
constituant lchantillon partir d'lments connus comme tant les plus risques. La technique de sondage de dpistage
peut galement tre utilise dans le cas o la proportion est considre comme proche de 0.

Commentaire IFACI
Lauditeur interne dtermine sa stratgie dchantillonnage partir des objectifs daudit et en fonction du niveau des
risques dchantillonnage et daudit quil sest fix. Il conviendra galement de prendre en compte les caractristiques de la
population value notamment en termes dhomognit. Tous ces lments lui permettront de dfinir la mthode
dchantillonnage et la taille de lchantillon.

5.

Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'impossibilit, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'chantillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des mthodes
de sondage (statistique ou non) devrait construire et slectionner un chantillon, excuter
des procdures d'audit et valuer les rsultats de cet chantillon an d'obtenir des preuves
d'audit susantes, ables, pertinentes et utiles.

Commentaire IFACI
Les conclusions peuvent tre de 2 ordres :
1) Estimer une valeur (un montant, une moyenne. Par exemple, le montant des crances chues non renouveles de plus
de 3 mois), ou un attribut (nombre ou proportion dunits, possdant ou non une caractristique donne : taux de
demande dachat non signe)
2) Tester une hypothse (e.g., la satisfaction client est en moyenne plus leve dans la rgion A / rgion B).
Extrait de louvrage Les outils de laudit / IFACI. Eyrolles, 2013

6.

Il existe direntes techniques d'chantillonnage et objectifs associs en audit dont voici


quelques exemples :
chantillonnage alatoire simple - la slection n'est pas rgie par des facteurs prd-

IFACI - septembre 2013

Modalits Pratiques dApplication

termins ; chaque unit de la population a une chance gale d'tre slectionne.


Sondages bas sur des units montaires - utilis pour identier les anomalies montaires ventuelles dans le solde dun compte.
chantillonnage strati - utilis pour rpartir la population en sous-groupes ; en gnral, un chantillon alatoire est slectionn partir de chacun des sous-groupes pour
tre revu.
chantillonnage pour estimation dattributs - utilis pour dterminer le nombre ou la
proportion dunits, possdant ou non une caractristique donne, dans la population
value.
chantillonnage pour estimation de valeurs - utilis pour dterminer les paramtres
d'une population.
chantillonnage fond sur le jugement professionnel de l'auditeur, il est cens tre ax
sur une hypothse tester.
chantillonnage de dpistage - utilis lorsque la preuve de lexistence d'une erreur ou
d'une occurrence implique ensuite une investigation approfondie.
Commentaire IFACI

Pour la slection sur des champs de donnes, les mthodes les plus courantes sont les suivantes :
Le tirage alatoire partir de gnrateurs de nombres alatoires
Le tirage par intervalles fixes. Les units de sondage sont slectionns en respectant un intervalle fixe entre les tirages,
le point de dpart tant dtermin au hasard. A titre dexemple, il peut sagir de factures dotes dun numro unique
incrment unitairement, ce qui permet de procder ce tirage systmatique qui sapparente un tirage alatoire.
Par cellule (slection alatoire dans un intervalle)
Lannexe 4 de lISA 530 propose galement des exemples de mthodes dchantillonnage.

IFACI - septembre 2013

MPA 2300

Selon la nature des preuves daudit recherches, dautres typologies peuvent tre proposes.
Pour la slection sur les enregistrements, les mthodes dchantillonnage les plus courantes sont :
Le tirage alatoire
Le tirage laveuglette, sans dmarche structure et en vitant de fausser consciemment la slection ou de lui donner
un caractre prvisible
Le tirage raisonn et fond sur le jugement de lauditeur. Lchantillon est construit sur la base dun ou plusieurs critres
choisis par lauditeur en fonction de leur pertinence et non pas de leur reprsentativit statistique. Par exemple, il
choisit toutes les units de sondages suprieures un certain montant, tous les lments sauf un type prcis
dexceptions, toutes les valeurs ngatives, tous les nouveaux utilisateurs, etc. Les rsultats ne peuvent pas tre
gnraliss la population entire.

7.

Lorsqu'ils dterminent la taille et la structure d'un chantillon, les auditeurs devraient tenir
compte des objectifs d'audit de la mission, de la nature de la population et des mthodes
d'chantillonnage et de slection. L'auditeur devrait envisager de faire appel des spcialistes
comptents en matire de conception et d'analyse de la mthodologie d'chantillonnage.

Commentaire IFACI
Dterminer la structure dun chantillon consiste dfinir sa composition au regard des objectifs daudit (par exemple pour
des factures, lchantillon peut tre constitu des factures rcapitulatives ou des factures lacte) et son ventuelle
stratification.
Le recours des spcialistes devra se faire conformment la norme 1210.A1. Le service daudit interne est mme de
disposer collectivement de ces comptences grce notamment des formations, la diversit de parcours des auditeurs
internes et au recours des outils appropris.

8.

La mthode d'chantillonnage dpendra de l'objectif vis. Pour des tests de conformit,


l'chantillonnage pour estimation dattributs qui consiste observer un vnement ou une
transaction (par exemple le contrle dune autorisation lie une facture) est gnralement
utilis. Pour les tests de corroboration, l'chantillonnage pour estimation de valeurs est
souvent utilis.

9.

Dans la mesure o la population dsigne l'ensemble des donnes partir desquelles un


chantillon est construit et propos de laquelle l'auditeur interne souhaite tirer des conclusions ; cette population devra tre approprie et son caractre exhaustif, au regard de l'objectif
spcique de la mission, devra tre vri.

10. La stratication peut contribuer l'ecacit de la conception de l'chantillon. Elle consiste


rpartir une population en sous-groupes homognes explicitement dnis de manire ce
que chaque unit d'chantillonnage ne puisse appartenir qu une seule strate.
Commentaire IFACI
La stratification est recommande pour rduire la dispersion de lchantillon. Plusieurs sondages sont alors raliss. Par
exemple : si la population de clients est diversifie, elle peut tre stratifie selon leur zone de rsidence (ville / campagne)
si lhypothse sous-jacente est que ces clients nont pas le mme profil. Cela peut permettre aussi de rduire la taille totale
de lchantillon.

IFACI - septembre 2013

Modalits Pratiques dApplication

Erreur acceptable et erreur escompte


11. L'auditeur qui utilise un chantillon statistique devrait tenir compte de concepts tels que le
risque d'chantillonnage ainsi que les notions derreurs acceptables ou escomptes. Le risque
d'chantillonnage provient de la possibilit que la conclusion de l'auditeur puisse tre dirente de celle qu'il aurait tire en soumettant l'ensemble de la population la mme procdure d'audit. Il existe deux types de risques d'chantillonnage :
Le risque dacceptation incorrecte - le risque que la caractristique ou l'hypothse
teste soit valide alors qu'en ralit, elle est fausse,
Le risque de rejet incorrect - le risque que la caractristique ou l'hypothse teste soit
rejete alors qu'en ralit, elle est vraie.
Commentaire IFACI
Le risque dacceptation incorrecte est dnomm par les statisticiens risque de premire espre ou seuil de signification
(). dsigne la probabilit de se tromper, c'est--dire de rejeter lhypothse nulle (la population est homogne) alors
quelle est vraie.
Le risque de rejet incorrect est dnomm par les statisticiens risque de deuxime espce ou derreur de deuxime espce ().
dsigne la probabilit de se tromper (ne pas rejeter lhypothse nulle dhomognit de la population alors quelle est
fausse). Il sagit de la puissance du test.
En pratique, cest surtout lerreur de premire espce qui est utilise.
Le 5 de la norme ISA 530 donne des exemples de risque dchantillonnage en audit :
conclure que les contrles sont plus ecaces quils ne le sont en ralit, ou quil ny a pas danomalies significatives
alors quil en existe en ralit,
conclure que les contrles sont moins ecaces quils ne le sont en ralit, ou quil existe une anomalie significative alors
quil nen existe pas en ralit.
Les erreurs acceptables reprsentent le nombre maximum d'erreurs que l'auditeur est prt accepter sans pour autant que la validit de l'hypothse ne soit remise en cause. L'auditeur nest pas
toujours matre de la xation de ce nombre maximum, car elle peut tre dtermine par la nature
de l'activit, les avis du management ou les meilleures pratiques. Dans certains cas, une seule
erreur ne sera pas acceptable.
Commentaire IFACI
Lauditeur interne devra sassurer quun cart, mme minime, ne gnrera pas de graves dsordres.

IFACI - septembre 2013

Les erreurs escomptes sont celles que l'auditeur sattend trouver dans la population sur la base
de prcdents rsultats d'audit, de modications des processus et de preuves/conclusions provenant d'autres sources.
Commentaire IFACI
Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signification fix par lauditeur. Pour les tests de
conformit, cest le taux maximum dcart que lauditeur peut tolrer par rapport une procdure de contrle prescrite.
Les erreurs escomptes peuvent se fonder sur les rsultats des travaux de la seconde ligne de dfense, de la mise en uvre
de procdures et des rsultats de revues analytiques.
12. Le niveau de risque d'chantillonnage que l'auditeur est prt accepter, l'erreur acceptable
et l'erreur escompte sont autant de facteurs qui inuent sur la taille de l'chantillon. Le risque
d'chantillonnage devrait tre cohrent avec les lments pris en compte pour dnir le
risque daudit. Ce risque d'audit comprend le risque inhrent, le risque associ aux contrles
et le risque de non-dtection.
13. Des procdures d'chantillonnage ecaces augmentent la couverture, la prcision et l'ecience des missions. Elles permettent l'auditeur de donner une assurance sur les processus
oprationnels qui aectent la ralisation des buts et objectifs de l'organisation. Lorsqu'il
recherche la technique d'chantillonnage approprie, il est important que l'auditeur
comprenne les directives et les normes communment admises en matire d'chantillonnage, au mme titre que les processus oprationnels et les donnes sur lesquelles il travaille.
14. L'audit en continu permet l'auditeur interne de tester l'ensemble de la population en temps
voulu, tandis que l'chantillonnage d'audit facilite lanalyse de moins de 100 % de la population.
15. L'auditeur interne devrait analyser les erreurs potentielles dtectes dans l'chantillon an
de vrier qu'il s'agit rellement d'erreurs et, le cas chant, en dterminer la nature et la
cause. En fonction des erreurs avres, il sera ncessaire de dterminer si des tests supplmentaires devraient tre envisags.
Commentaire IFACI
En pratique, cette dcision dpendra des objectifs daudit.

16. L'auditeur interne dispose de direntes mthodes statistiques (le paragraphe 6 ci-dessus
prsente des exemples de procdures) pour obtenir des preuves d'audit susantes. S'il ne
peut appliquer les procdures d'audit prvues ou les procdures alternatives un lment
donn, l'auditeur interne devrait identier cet cart par rapport au programme de contrle.
8

IFACI - septembre 2013

Modalits Pratiques dApplication

17. L'auditeur interne devrait extrapoler les rsultats de lchantillon la population, en utilisant
une mthode dextrapolation cohrente avec celle utilise pour slectionner l'chantillon.
Lextrapolation des rsultats de lchantillon peut ncessiter d'estimer les erreurs ou les carts
probables dans la population, les erreurs qui pourraient ne pas avoir t dtectes du fait de
l'imprcision de la technique utilise, ainsi que les aspects qualitatifs des erreurs dtectes.
La question de savoir si l'chantillonnage a permis de conforter raisonnablement les conclusions relatives la population value devrait tre pose.
Commentaire IFACI
La rponse cette question dpendra notamment du seuil de confiance retenu.

18. L'auditeur devrait comparer l'erreur escompte dans la population l'erreur acceptable. En
fonction du risque dchantillonnage, il pourra alors envisager de rviser la taille de lchantillon ou d'excuter des procdures d'audit alternatives.
19. Les papiers de travail devraient tre susamment dtaills an de dcrire clairement l'objectif
de l'chantillonnage et le processus d'chantillonnage utiliss. Les papiers de travail devraient
indiquer la source de la population, la mthode d'chantillonnage utilise, les paramtres
d'chantillonnage (par exemple, la valeur de dpart utilise pour gnrer un tirage alatoire
ou la mthode de dtermination de la valeur de dpart et l'intervalle d'chantillonnage), les
lments slectionns, les dtails des tests d'audit raliss et les conclusions obtenues.
20. Lors de la communication, par lauditeur interne, des rsultats des tests et de la conclusion,
des informations susantes devront tre transmises au lecteur pour lui permettre de
comprendre le fondement de la conclusion.

Note : Cette MPA porte sur l'chantillonnage d'audit et n'est pas destine donner des informations sur l'analyse de donnes. Pour obtenir des informations sur l'analyse de donnes, veuillezvous rfrer au Guide Pratique dAudit des Technologies de lInformation (GTAG) 16, de l'IIA, Data
Analysis Technologies.

IFACI - septembre 2013

Modalits Pratiques dApplication

MPA 2320-4
Assurance en continue
Principale Norme de rfrence

2320 Analyse et valuation

1.

Les contrles sont traditionnellement tests sur une base rtrospective et cyclique, souvent
plusieurs mois aprs la ralisation des activits. Ces tests utilisent gnralement des techniques dchantillonnage de donnes historiques. Les missions daudit, fondes sur de telles
approches dchantillonnage, peuvent ne pas correspondre aux besoins de lorganisation, en
particulier lorsque lvaluation du prol de risque de cette organisation ncessite de prendre
en compte des informations rcentes. De surcrot, la rapidit avec laquelle les activits et les
organisations voluent exige d'identier de manire plus proactive les enjeux. Pour ce faire,
les systmes dinformation peuvent servir de levier pour identier en temps opportun les
problmes ventuels. Lorsque le prol de risques le justie, l'audit interne devrait envisager
d'valuer en continu l'ecacit des contrles au lieu dutiliser des tests plus classiques raliss
de manire priodique sur des donnes historiques relatives une slection de dispositifs
de contrle interne ou de risques.

2.

Le glossaire du CRIPP dnit lassurance comme un examen objectif dlments probants,


eectu en vue de fournir lorganisation une valuation indpendante des processus de
gouvernement dentreprise, de management des risques et de contrle . Le meilleur moyen
de fournir une assurance en continu consiste conjuguer la surveillance en continu incombant au management et les activits d'audit en continu.

3.

La surveillance en continu est un processus managrial qui permet de s'assurer en permanence que les dispositifs de contrle interne fonctionnent de manire ecace. Les vnements associs aux risques les plus importants (par exemple, des transactions inhabituelles
ou non rcurrentes) peuvent tre identis et faire l'objet d'une attention particulire ou de
tests supplmentaires. En plus des processus de surveillance en continu, des procdures d'audit en continu dveloppes par les auditeurs internes peuvent, le cas chant, tre transfres
au management. Elles deviennent alors des procdures de surveillance en continu mises en
uvre par le management.

IFACI - septembre 2013

MPA 2300

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des
analyses et valuations appropries.

4.

La plupart des techniques de surveillance en continu utilises par le management sont


semblables aux techniques d'audit en continu que l'auditeur interne peut employer. La cl
du succs en matire de surveillance en continu passe par lappropriation et la ralisation de
cette dmarche par le management dans le cadre de ses responsabilits de mise en uvre
et de maintien dun environnement de contrle ecace. tant donn que le management
est responsable des dispositifs de contrle interne, il devrait tre en mesure de dterminer,
en permanence, s'ils fonctionnent comme prvu. Ainsi, en se mettant en capacit didentier
et de corriger en temps opportun les problmatiques de contrle il est possible damliorer
lensemble du systme de contrle interne.

5.

Les domaines susceptibles de faire l'objet d'un audit en continu devraient tre identis dans
le plan d'audit annuel. L'audit interne devrait utiliser le rfrentiel de gestion des risques de
l'organisation (s'il en existe un), ainsi que sa propre valuation des risques, pour identier ces
domaines. La frquence de couverture devrait tre dtermine en fonction des facteurs de
risque du domaine ou du processus concern. L'audit en continu permet aux auditeurs
internes d'identier et d'valuer les risques, et de ragir de manire judicieuse et dynamique
aux changements au sein de l'organisation. Il contribue galement identier et valuer le
risque.

6.

Le soutien des principales parties prenantes est indispensable pour le succs de l'audit en
continu. Les tapes suivantes devraient tre envisages pour dvelopper et maintenir les
activits d'audit en continu :
Hirarchiser les domaines couvrir et slectionner une approche d'audit en continu.
Dnir les exigences en termes de livrables.
Slectionner les outils d'analyse, qui peuvent tre dvelopps en interne ou tre fournis
par un diteur de logiciel.
Dnir le primtre des procdures d'audit en continu.
valuer l'intgrit des donnes et prparer les donnes.
Prendre connaissance de l'approche de surveillance en continu du management.
Concevoir et mettre en uvre des procdures d'audit en continu pour valuer les
contrles et identier les dfaillances.

7.

Une fois les objectifs d'audit en continu dnis, il convient dobtenir le soutien de la direction
gnrale sur le primtre retenu.

8.

Les chiers de donnes, tels que les chiers de transactions dtailles, sont souvent conservs
sur une courte dure. Par consquent, l'auditeur interne devrait prendre les mesures ncessaires pour la conservation des donnes appropries. Une bonne organisation, en amont, de
laccs aux programmes/systmes et aux donnes permet de limiter les interfrences avec
l'environnement de production. L'auditeur interne devrait valuer l'impact potentiel sur l'utilisation des procdures d'audit en continu des modications apportes aux
IFACI - septembre 2013

Modalits Pratiques dApplication

programmes/systmes de production, y compris la scurit des accs. L'auditeur interne


devrait obtenir une assurance raisonnable quant l'intgrit, la abilit, l'ecacit et la scurit des procdures d'audit en continu, grce une planication, une conception, des tests,
un traitement et une revue appropris de la documentation.
9.

L'auditeur interne devrait examiner ladquation des activits de surveillance en continu du


management. Cela permettra de dterminer dans quelle mesure l'audit interne peut se er
l'environnement de contrle de l'organisation, ce qui inuera sur la nature et la frquence
des travaux d'audit.

10. Lorsqu'il dnit le calendrier, le primtre et le niveau de couverture des tests d'audit en
continu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'apptence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance en
continu par le management.
11. Les activits d'audit en continu vont de lanalyse en temps rel une analyse priodique de
transactions dtailles, dtats slectionns automatiquement des intervalles de temps
pralablement dnis ou de donnes consolides. La frquence de ces analyses dpendra
du niveau de risque associ au systme ou au processus examin, ainsi que de la pertinence
de la surveillance en continu ralise par le management et des ressources disponibles. Les
systmes critiques dots de contrles cls peuvent tre soumis une analyse en temps rel
des donnes relatives aux transactions. L'auditeur interne devrait prendre en considration
les exigences rglementaires et les mesures prises par le management pour grer les expositions aux risques et leur impact potentiel. Une fois que le management a mis en uvre les
processus de surveillance en continu des contrles, les auditeurs internes et les auditeurs
externes devraient dterminer dans quelle mesure ils peuvent s'appuyer sur ces processus
pour rduire lampleur de leur programme de tests dtaills.

13. Une fois les procdures d'audit en continu mises en uvre, l'auditeur interne devrait analyser
les rsultats an d'identier les transactions non conformes. Il est possible d'identier laccroissement des niveaux de risque par une analyse comparative (entre processus, entre entits, des rsultats du mme test dans le temps). L'un des enjeux de la mise en uvre d'un
systme d'audit en continu ou de surveillance en continu rside dans le traitement ecace
des risques et des carts identis. Lorsqu'un systme d'audit en continu ou de surveillance
en continu est mis en uvre, il s'avre souvent, aprs investigation, qu'un grand nombre
dcarts ne sont pas des sujets de proccupation. Le systme d'audit en continu devrait
IFACI - septembre 2013

MPA 2300

12. Lorsque les procdures d'audit en continu sont modies, l'auditeur interne devrait eectuer
une revue des modications en termes d'intgrit, de abilit, decacit et de scurit. L'auditeur interne devrait documenter les rsultats de cette revue avant de s'appuyer sur les
procdures d'audit en continu modies.

permettre l'ajustement des paramtres de test, an que ces carts n'engendrent ni alerte ni
notication. Une fois le processus d'identication des faux positifs excut, il sera dautant
plus possible de sappuyer sur le systme pour identier uniquement les dfaillances de
contrle ou les risques signicatifs.
14. Tout contrle dfaillant et/ou risque potentiel identi grce l'audit en continu devrait tre
communiqu au management. In ne, l'auditeur interne devrait, le cas chant, demander
au management de spcier le plan d'action et le calendrier de rsolution. Une fois les
mesures appropries prises, l'auditeur interne peut envisager d'utiliser nouveau le
programme d'audit en continu pour vrier si la solution adopte a permis de remdier la
faiblesse de contrle et de rduire le niveau de risque.
15. L'auditeur interne devrait revoir priodiquement l'ecience et l'ecacit des programmes
d'audit en continu. Il peut s'avrer ncessaire d'ajouter des points de contrle ou des mesures
dexpositions aux risques, et d'en supprimer d'autres, en fonction de la mise jour de lvaluation des risques. Il peut galement s'avrer ncessaire de renforcer ou d'assouplir les seuils,
les tests de contrle et les paramtres de diverses analyses.
16. Le processus d'audit en continu devrait tre susamment document an d'apporter des
preuves d'audit adquates. La MPA 2330-1, Documentation des informations , contient
des recommandations supplmentaires ce sujet.

IFACI - septembre 2013

MPA 2330-1
Documentation des informations
Principale Norme de rfrence

2330 Documentation des informations


Les auditeurs internes doivent documenter les informations pertinentes pour tayer les conclusions et les rsultats de la mission.

1.

Les auditeurs internes prparent les papiers de travail qui servent documenter les informations obtenues, les analyses faites, et qui confortent les conclusions et les rsultats de la
mission. Le management du service daudit interne rvise les papiers de travail.

2.

Les papiers de travail servent gnralement :


aider la planication, lexcution et la rvision des missions ;
fournir le principal document dappui pour les rsultats de la mission ;
documenter la ralisation des objectifs daudit ;
dmontrer lexactitude et lexhaustivit du travail eectu ;
fournir une base pour le programme dassurance et damlioration qualit de laudit
interne ;
faciliter la revue par des tiers.

3.

Lorganisation, la conception et le contenu des dossiers de travail de laudit sont fonction de


la nature de la mission ainsi que des objectifs et des besoins de lorganisation. Les dossiers
de travail comprennent tous les lments du processus, de la planication la communication des rsultats.

4.

Le responsable de l'audit interne dnit les rgles, adaptes chaque type de mission,
suivre en matire de papiers de travail. La normalisation des papiers de travail tels que les
questionnaires et les programmes daudit peut amliorer lecacit dune mission et faciliter
la dlgation du travail. Certains papiers de travail peuvent tre considrs comme permanents ou tre intgrs dans des dossiers qui contiennent des informations importantes
caractre permanent.

206

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2330.A1-1
Contrle des dossiers daudit
Principale Norme de rfrence
2330.A1 Le responsable de l'audit interne doit contrler l'accs aux dossiers de la mission. Il
doit, si ncessaire, obtenir l'accord de la direction gnrale et/ou l'avis d'un juriste avant de
communiquer ces dossiers des parties extrieures.

1.

Les dossiers daudit comportent, quel que soit le moyen de stockage, des rapports, des
preuves, des notes de rvision et des correspondances. Les dossiers et les papiers de travail
de la mission sont la proprit de lorganisation. Laudit interne contrle les papiers de travail
et ne les rend accessibles quau personnel autoris.

2.

Les auditeurs internes peuvent sensibiliser la direction gnrale et le Conseil au sujet de l'accs des personnes externes aux dossiers de la mission. Les rgles concernant le droit daccs
aux dossiers, les modalits de traitement des demandes d'accs, et les procdures suivre
lorsquune mission daudit est utilise en tant que preuve pendant une enqute, devront tre
revues par le Conseil.

Commentaire IFACI

3.

Les procdures daudit interne prcise le responsable du contrle et de la scurit des dossiers
du service, les quipes internes ou externes qui peuvent avoir accs aux dossiers daudit, ainsi
que les modalits de traitement des demandes daccs ces dossiers. Ces procdures varieront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des
prrogatives daccs dnies par la loi.

4.

Le management et les autres membres de lorganisation peuvent demander laccs au dossier


daudit ou des papiers de travail spciques. Un tel accs peut tre ncessaire pour corroborer ou expliquer les constatations et recommandations de la mission ou dautres ns
professionnelles. Le responsable de l'audit interne approuve ces demandes.

5.

Le responsable de l'audit interne approuve laccs des auditeurs externes aux papiers de
travail.

IFACI - dcembre 2012

207

MPA 2300

En France, compte tenu des responsabilits respectives du Conseil et de la direction gnrale, cette revue ne peut tre faite
que par la direction gnrale.

6.

Il y a des cas o les demandes daccs aux papiers de travail et aux rapports sont faites par
des personnes extrieures lorganisation, autres que les auditeurs externes. Avant de fournir
la documentation demande, le responsable de l'audit interne obtient lapprobation de la
direction gnrale et/ou, le cas chant, du conseiller juridique.

Commentaire IFACI
En France, les rapports daudit interne sont, en tant que de besoin, la disposition de la justice.
Pour le secteur bancaire, larticle 41 du rglement 97-02 modifi du CRBF, prcise que les rapports daudit interne sont tenus
la disposition des Commissaires aux comptes et du secrtariat gnral de la Commission Bancaire.
Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et
circonspection. Nous renvoyons ici aux commentaires formuls propos du Code de Dontologie.

7.

Potentiellement, les dossiers daudit interne qui ne sont pas spciquement protgs,
peuvent tre consults dans le cadre de poursuites judiciaires. Les conditions lgales varient
de faon signicative selon les juridictions. Lorsquil y a une demande spcique de dossiers
daudit lie une procdure judiciaire, le responsable de laudit interne travaille en troite
collaboration avec le conseiller juridique pour dterminer ce qui peut tre mis disposition.

208

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2330.A1-2
Autorisation daccs aux dossiers de la mission
Principale Norme de rfrence
2330.A1 Le responsable de l'audit interne doit contrler l'accs aux dossiers de la mission. Il
doit, si ncessaire, obtenir l'accord de la direction gnrale et/ou l'avis d'un juriste avant de
communiquer ces dossiers des parties extrieures.

Commentaire IFACI

1.

Les dossiers de la mission daudit interne incluent les rapports, les documents justicatifs, les
notes de revue et la correspondance change, quel que soit le support darchivage utilis.
On estime gnralement que le contenu de ces dossiers est condentiel et quil peut reposer
la fois sur des faits et sur des opinions. Or, les personnes qui nont pas une parfaite connaissance de lorganisation ou de ses processus daudit interne sont susceptibles de mal interprter ces faits et ces opinions. Laccs aux dossiers daudit interne peut tre sollicit par des
tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les poursuites
pnales, les litiges, les vrications scales, les contrles des rgulateurs, lexamen des marchs
publics et les contrles eectus dans le cadre de professions habilites sauto-rglementer.
La quasi-totalit des dossiers dune organisation qui ne sont pas couverts par le secret professionnel liant lavocat son client peuvent tre communiqus en cas de poursuites pnales.
Pour les autres procdures, la question de laccs est moins vidente et peut direr en fonction du pays de lorganisation.

2.

Des procdures explicites de laudit interne peuvent permettre de renforcer le contrle de


laccs aux dossiers de la mission.

3.

Laudit interne peut dnir laccs ses dossiers et le contrle de ces dossiers quel que soit
le support darchivage utilis.

IFACI - dcembre 2012

209

MPA 2300

Les auditeurs internes sont invits consulter un juriste sur toute question dordre juridique, la rglementation tant
susceptible de direr de faon significative selon les pays. Les lignes directrices contenues dans la prsente Modalit
Pratique dApplication reposent principalement sur les systmes juridiques qui protgent les informations et les travaux
eectus pour, ou communiqus , un avocat (cest--dire le secret professionnel liant lavocat son client), comme le
systme juridique des tats-Unis qui reconnat le attorney-client privilege . La MPA 2400-1 traite du secret professionnel
liant lavocat son client.

4.

Les rgles de laudit interne devraient porter sur les lments inclure dans les dossiers de
la mission et spcier le contenu et le format des dossiers, ainsi que la faon dont les auditeurs
internes traiteront les notes de revue valides. Ces rgles devraient galement spcier la
dure de conservation des dossiers daudit interne. Lorsque le responsable de laudit interne
spcie la dure de conservation des dossiers de la mission, il devrait tenir compte des
besoins de lorganisation et de la lgislation.

5.

Les rgles de laudit interne peuvent indiquer qui, au sein de lorganisation, est responsable
du contrle et de la scurit des dossiers de laudit interne, qui peut se voir accorder un accs
aux dossiers de la mission et comment les demandes daccs ces dossiers doivent tre traites. Ces rgles dpendent des pratiques mises en uvre dans le secteur dactivit ou dans
le pays o opre lorganisation. Le responsable de laudit interne devrait se tenir au courant
de lvolution des pratiques dans le secteur dactivit et des jurisprudences. Lorsquil dnit
ces rgles, le responsable de laudit interne devrait dterminer qui peut demander accder
aux dossiers de laudit interne.

6.

La procdure qui accorde un accs aux dossiers de la mission peut galement dnir des
processus permettant de :
rsoudre les problmes daccs ;
sensibiliser le personnel de laudit interne aux risques et aux problmes concernant
laccs leurs travaux ;
dterminer qui pourra demander accder ces travaux.

7.

Le responsable de laudit interne peut galement sensibiliser la direction gnrale et le


Conseil aux risques daccs aux dossiers de la mission. Le Conseil peut examiner les rgles
indiquant qui peut tre autoris accder aux dossiers et comment ces demandes doivent
tre traites. Certaines rgles dpendront de la nature de lorganisation et des droits daccs
prvus par la lgislation.

8.

En gnral, lorsquil donne accs aux dossiers de la mission, le responsable de laudit interne :
ne produit que certains documents spciques, conformment aux indications du
juriste ou aux procdures de laudit interne, ce qui exclut habituellement les documents
couverts par le secret professionnel liant lavocat son client. Les documents qui rvlent largumentation ou les stratgies de lavocat sont, le plus souvent, couverts par le
secret professionnel et leur communication nest pas obligatoire ;
prsente les documents sous une forme qui empche leur modication (par exemple,
un scan de prfrence un chier de traitement de texte). Concernant les documents
sur papier, le responsable de laudit interne en diuse des copies et conserve les originaux ;
appose la mention condentiel sur chaque document ainsi quune annotation indiquant que toute diusion autrui doit faire lobjet dune autorisation pralable.

210

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2330.A2-1
Conservation des dossiers
Principale Norme de rfrence
2330.A2 Le responsable de l'audit interne doit arrter des rgles en matire de conservation
des dossiers de la mission et ce, quelque soit le support darchivage utilis. Ces rgles doivent
tre cohrentes avec les orientations dnies par l'organisation et avec toute exigence rglementaire ou autre.

Les modalits de conservation des dossiers daudit varient en fonction des juridictions et de
lenvironnement lgal.

2.

Le responsable de laudit interne rdige une politique de conservation qui rpond aux
besoins de lorganisation et aux obligations lgales des juridictions dans lesquelles elle opre.

3.

La procdure de conservation des dossiers devra inclure des dispositions spciques pour la
conservation des dossiers lis aux missions ralises par des prestataires extrieurs.

MPA 2300

1.

IFACI - dcembre 2012

211

MPA 2340-1
Supervision de la mission
Principale Norme de rfrence

2340 Supervision de la mission


Les missions doivent faire l'objet d'une supervision approprie an de garantir que les objectifs
sont atteints, la qualit assure et le dveloppement professionnel du personnel eectu.
Interprtation :
Ltendue de la supervision est fonction de la comptence et de lexprience des auditeurs internes,
ainsi que de la complexit de la mission. Le responsable de l'audit interne a lentire responsabilit
de la supervision des missions qui sont ralises par ou pour le compte du service daudit interne,
mais il peut dsigner dautres membres de lquipe daudit interne possdant lexprience et la
comptence ncessaires pour raliser cette supervision. La preuve de la supervision doit tre documente et conserve dans les papiers de travail.

1.

Le responsable de l'audit interne ou son reprsentant assurent une supervision adquate de


la mission. La supervision est un processus qui dbute avec la planication de la mission et
se poursuit sur lensemble de la mission. Ce processus consiste :
sassurer que les auditeurs dsigns possdent collectivement les connaissances, le
savoir-faire et les autres comptences requises pour raliser la mission ;
donner des instructions appropries durant la planication de la mission et approuver
le programme de travail de la mission ;
vrier que le programme de travail approuv est correctement ralis sous rserve
que les changements soient justis et autoriss ;
contrler que les papiers de travail contiennent les lments probants justiant les
constats, conclusions et recommandations de la mission ;
sassurer que le rapport est exact, objectif, clair, concis, constructif et tabli dans les
dlais xs ;
sassurer que les objectifs daudit ont t atteints ;
saisir toutes les occasions pour dvelopper les connaissances, le savoir-faire et les autres
comptences des auditeurs internes.

2.

Le responsable de l'audit interne a la responsabilit de toutes les missions daudit quelles


soient eectues par ou pour le compte de laudit interne. Il est aussi responsable de toutes
les opinions professionnelles signicatives formules lors de la mission. Le responsable de

212

IFACI - dcembre 2012

modalits Pratiques dApplication

3.

Tous les papiers de travail sont revus an de sassurer quils supportent le rapport daudit et
que les procdures daudit ncessaires ont t mises en uvre. Cette revue est matrialise
par lapposition, sur chaque papier de travail revu, des initiales du superviseur et de la date.
Dautres techniques de rvision qui fournissent une preuve de la revue incluent :
une check-list de rvision des papiers de travail de la mission ;
un mmorandum prcisant la nature, ltendue et les rsultats de la revue ;
des revues dvaluation, de validation dans le logiciel de gestion des papiers de travail.

4.

Les superviseurs peuvent prparer une liste crite des questions (notes de revue) souleves
au cours de la revue. Au moment de la leve des points de revue, il convient de prendre soin
de vrier que le dossier de travail contient les lments dmontrant que les questions souleves lors de la revue sont rsolues. Les alternatives en ce qui concerne la conservation des
feuilles de notes, sont les suivantes :
garder les notes de revue en tant qu'enregistrement des questions souleves par le
superviseur et des actions entreprises pour les rsoudre ainsi que les rsultats de ces
actions ;
liminer les notes de revue aprs que les problmes soulevs aient t rsolus et que
les documents de travail ncessaires aient t modis pour fournir les informations
exiges.

5.

La supervision de la mission est aussi loccasion de former et de dvelopper les comptences


de lquipe et dvaluer les performances.

IFACI - dcembre 2012

213

MPA 2300

l'audit interne met galement en place les moyens appropris pour assumer cette responsabilit. Les moyens appropris incluent les rgles et procdures destines :
minimiser le risque que des auditeurs internes ou dautres personnes ralisant des
travaux pour laudit interne aient des opinions professionnelles ou entreprennent des
actions qui soient en dsaccord avec lopinion professionnelle du responsable de l'audit
interne ce qui aurait un impact dfavorable sur la mission ;
rgler les conits dopinion professionnelle entre le responsable de l'audit interne et les
auditeurs internes sur les points importants de la mission. Les moyens utiliser peuvent
tre :
- le dbat sur les constats pertinents ;
- des enqutes et recherches complmentaires ;
- la mention dans les papiers de travail de la mission, des dirents points de vue, avec
documents lappui.
En cas de divergence de jugements professionnels sur une question dthique, il peut tre
fait appel aux personnes qui, dans lorganisation, ont des responsabilits dans ce domaine.

214

IFACI - dcembre 2012

modalits Pratiques dApplication

mPA SrIE 2400

MPA 2400

CommuNICAtIoN DES rSultAtS

IFACI - dcembre 2012

215

216

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2400-1
Aspects lgaux de la communication des rsultats
Principale Norme de rfrence

2400 - Communication des rsultats


Les auditeurs internes doivent communiquer les rsultats de la mission.

Commentaire IFACI

1.

Lauditeur interne doit prendre toutes les prcautions ncessaires avant de communiquer
une non-conformit vis--vis de la lgislation, de la rglementation ou tout autre problme
dordre juridique. Il est vivement recommand de mettre en place des rgles et des procdures cet gard et de travailler en troite collaboration avec dautres intervenants comptents (conseiller juridique, dontologue / Compliance Ocer, etc.).

2.

Les auditeurs internes rassemblent des preuves, mettent des jugements fonds sur des
analyses, rendent compte des rsultats de leurs travaux et sassurent que le management a
mis en place des actions correctives appropries. Les impratifs de lauditeur interne, qui est
tenu de constituer les dossiers daudit, peuvent tre diciles concilier avec ceux du conseiller juridique, qui est lui soucieux de ne pas mentionner dlments susceptibles de compromettre lorganisation sur le plan juridique. Par exemple, mme si lauditeur interne collecte
et value correctement les informations, les faits et les analyses divulgus peuvent avoir, dun
point de vue juridique, une incidence ngative sur lorganisation. Une planication et des
procdures appropries (notamment la dnition du rle de chacun et des modalits de
communication) sont essentielles pour viter quune rvlation soudaine des faits ne
provoque un dsaccord entre le conseiller juridique et lauditeur interne. Par ailleurs, lauditeur
interne et le conseiller juridique doivent favoriser, au sein de lorganisation, une culture
thique et une approche prventive en sensibilisant le management aux procdures tablies.

IFACI - dcembre 2012

217

MPA 2400

Les auditeurs internes sont invits consulter un juriste sur toute question dordre juridique, la rglementation tant
susceptible de direr de faon significative selon les pays. Les directives contenues dans la prsente Modalit Pratique
dApplication reposent principalement sur les systmes juridiques qui protgent les informations et les travaux eectus
pour, ou communiqus , un avocat (cest--dire le secret professionnel liant lavocat son client), comme le systme
juridique des tats-Unis qui reconnat le attorney-client privilege . La MPA 2400-1 traite du secret professionnel liant
lavocat son client.

3.

Une communication privilgie (relation de conance visant rechercher, obtenir ou apporter une assistance juridique au client) est ncessaire pour protger le secret professionnel
liant lavocat son client. Le secret professionnel, dont le principal objet est de protger les
informations communiques aux avocats, peut galement sappliquer aux informations
communiques des tiers travaillant avec un avocat.

4.

Certains tribunaux reconnaissent un droit dauto-analyse critique qui permet de prserver


la condentialit de documents dautocritique tels que les travaux daudit. En rgle gnrale,
la reconnaissance de ce droit repose sur le postulat selon lequel la condentialit des analyses
eectues, dans ces cas, prime sur lintrt gnral.

5.

En rgle gnrale, la protection par le secret professionnel sapplique lorsque :


les informations protges par le secret proviennent dune analyse autocritique eectue par la partie qui invoque le secret ;
la protection des informations contenues dans lanalyse critique est dicte par lintrt
gnral ;
il sagit dinformations dont la divulgation ventuelle aurait pour eet de restreindre le
ux dautres informations.

6.

Lorsque la demande de transmission des documents mane dune administration publique,


il est plus dicile de faire admettre lexistence dun droit au secret fond sur lauto-valuation.
Cette attitude est vraisemblablement lie au fait que le respect du droit revt un plus grand
intrt pour ltat.

7.

Les documents susceptibles de bncier de la protection par le secret professionnel devront


gnralement avoir t tablis :
dans le cadre de travaux (mmos, programmes informatiques, par exemple) ;
en prvision dun litige ;
par une personne travaillant selon les instructions de lavocat.

8.

Les documents tablis et remis lavocat avant ltablissement de la relation privilgie avec
son client ne sont gnralement pas protgs par le secret professionnel.

218

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2410-1
Contenu de la communication
Principale Norme de rfrence

2410 Contenu de la communication

1.

Le format et le contenu des rapports dnitifs daudit varient selon lorganisation et le type
de mission. Cependant, ils contiennent, au minimum, les objectifs, le primtre et les rsultats
de laudit.

2.

Les rapports dnitifs daudit peuvent comporter des informations sur le contexte et des
synthses. Les informations sur le contexte peuvent prsenter les entits et activits examines et fournir des explications. Le statut des observations, conclusions et recommandations
des rapports prcdents peut aussi tre repris ; on peut aussi indiquer si cet audit est une
mission inscrite au plan daudit ou rpondant une demande particulire. Les synthses
constituent un expos proportionn du contenu du rapport.

3.

L'expos de l'objet de la mission dcrit les objectifs de la mission et informe le lecteur des
motifs de la mission et des rsultats escompts.

4.

Lexpos du primtre de la mission prcise les activits audites et peut comporter des informations complmentaires telles que la priode couverte et les activits connexes non examines an de dlimiter lintervention. Il peut prciser la nature et ltendue des travaux raliss.

5.

Les rsultats comprennent les observations, les conclusions, les opinions, les recommandations et les plans d'actions.

6.

Les observations sont des exposs pertinents des faits. Lauditeur interne communique les
observations ncessaires pour soutenir ses conclusions et recommandations, et viter les
malentendus. Lauditeur interne peut communiquer de manire informelle les informations
ou observations moins importantes.

IFACI - dcembre 2012

219

MPA 2400

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.

7.

Les observations et recommandations sont le rsultat dun processus de comparaison dun


rfrentiel (la situation normale) et dun fait (la situation actuelle). Quil y ait ou non constat
dun cart, lauditeur interne dispose dlments sur lesquels fonder son rapport. Lorsque les
situations sont conformes au rfrentiel, il peut tre appropri de faire tat dans le rapport
daudit dun fonctionnement satisfaisant. Les observations et recommandations sont fondes
sur les caractristiques suivantes :
des rfrentiels : les normes, mesures ou exigences requises, utiliss pour valuer ou
vrier (la situation normale) ;
des faits : les preuves factuelles identies par lauditeur interne au cours de son examen
(la situation actuelle) ;
des causes : la raison de la dirence entre les situations attendues et existantes;
des consquences : le risque ou le danger encouru par lorganisation ou d'autres, du
fait que les situations dirent du rfrentiel (limpact de la dirence). Pour dterminer
l'importance du risque ou de l'enjeu, les auditeurs internes prennent en considration
les consquences de leurs observations et recommandations sur le fonctionnement et
les tats nanciers de l'organisation ;
les observations et recommandations peuvent inclure les ralisations de lentit audite,
des questions connexes et des informations destines tayer les conclusions.

8.

Les conclusions et les opinions sont les valuations de lauditeur interne sur les consquences
des observations et recommandations sur les activits audites. Habituellement, elles situent
les observations et recommandations dans la perspective de leurs implications globales. Les
conclusions de la mission sont clairement exposes dans le rapport daudit. Elles peuvent
porter sur l'ensemble du champ audit ou sur des aspects particuliers. Elles peuvent exposer,
entre autres, dans quelle mesure les objectifs oprationnels et les programmes sont
conformes ceux de lorganisation, si les buts et objectifs de l'organisation sont atteints, et si
lactivit examine fonctionne comme prvu. Lopinion peut consister en une valuation
globale des contrles ou tre limite des contrles spciques ou certains aspects de la
mission.

9.

Lauditeur interne peut communiquer des recommandations sur les amliorations et faire
tat des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont
fondes sur les observations et conclusions de lauditeur interne. Elles appellent des actions
destines corriger les situations existantes ou amliorer le fonctionnement et peuvent
suggrer des approches visant corriger ou amliorer le fonctionnement, approches que
le management peut utiliser comme guide pour latteinte des rsultats xs. Les recommandations peuvent tre de nature gnrale ou spcique. Par exemple, lauditeur interne peut
recommander une ligne de conduite gnrale et des propositions spciques de mise en
uvre. Dans dautres cas, lauditeur interne peut suggrer un examen ou une tude complmentaire.

220

IFACI - dcembre 2012

modalits Pratiques dApplication

10. Lauditeur interne peut communiquer sur les ralisations de laudit, qu'il s'agisse d'amliorations apportes depuis le dernier audit, ou de la mise en place dactivits bien matrises.
Cette information peut tre ncessaire pour reprsenter dlement les conditions actuelles
dexercice, orir une perspective et assurer un quilibre dans le rapport daudit.
11. Lauditeur interne peut communiquer les points de vue de laudit sur les conclusions ou
recommandations de laudit.
12. Dans le cadre des discussions entre lauditeur interne et laudit, lauditeur interne obtient
laccord de l'audit sur les rsultats de laudit et sur tout plan daction ncessaire lamlioration des activits. Si lauditeur interne et laudit ne sentendent pas sur les rsultats de laudit, le rapport d'audit mentionne les deux positions ainsi que les raisons du dsaccord. Les
commentaires crits de laudit peuvent tre inclus en annexe au rapport, dans le corps du
rapport ou dans une lettre introductive.
13. Il peut ne pas tre opportun de communiquer certaines informations tous les destinataires
du rapport, notamment lorsquil sagit de renseignements couverts par le secret professionnel,
protgs ou relatifs des actes irrguliers ou illgaux. Ces informations sont alors incluses
dans un rapport distinct. Si les faits rapports impliquent la direction gnrale, le rapport est
adress au Conseil.
14. Les rapports intermdiaires sont crits ou oraux, et peuvent tre transmis d'une manire ocielle ou informelle. Des rapports intermdiaires sont utiliss pour communiquer des informations ncessitant une attention immdiate, pour signaler un changement dans le champ
de la mission ou pour informer le management de lavancement des travaux lorsque la
mission est de longue dure. Lemploi de rapports intermdiaires ne rduit ni nlimine la
ncessit d'un rapport dnitif.

MPA 2400

15. Un rapport sign est mis la n des travaux. Des notes de synthse mettant en vidence
les rsultats de la mission sont recommandes pour les suprieurs hirarchiques de laudit ;
elles peuvent tre mises sparment ou conjointement avec le rapport dnitif. Le terme
sign signie que l'auditeur autoris signe manuellement ou lectroniquement le rapport
ou la lettre de couverture. Le responsable de laudit interne dtermine lauditeur interne autoris signer le rapport. Si les rapports d'audit sont diuss par des moyens lectroniques, un
exemplaire sign manuellement est archiv l'audit interne.

IFACI - dcembre 2012

221

MPA 2420-1
Qualit de la communication
Principale Norme de rfrence

2420 qualit de la communication


La communication doit tre exacte, objective, claire, concise, constructive, complte et mise
en temps utile.
Interprtation :
Une communication exacte ne contient pas derreur ou de dformation, et est dle aux faits sousjacents. Une communication objective est juste, impartiale, non biaise et rsulte dune valuation
quitable et mesure de tous les faits et circonstances pertinents. Une communication claire est
facilement comprhensible et logique. Elle vite lutilisation dun langage excessivement technique
et fournit toute linformation signicative et pertinente. Une communication concise va droit lessentiel et vite tout dtail superu, tout dveloppement non ncessaire, toute redondance ou
verbiage. Une communication constructive aide laudit et lorganisation, et conduit des amliorations lorsquelles sont ncessaires. Une communication complte n'omet rien qui soit essentiel
aux destinataires cibles. Elle intgre toute linformation signicative et pertinente, ainsi que les
observations permettant dtayer les recommandations et conclusions.
Une communication mise en temps utile est opportune et propos, elle permet au management
de prendre les actions correctives appropries en fonction du caractre signicatif de la problmatique.

1.

Collecter, valuer et synthtiser les donnes et les preuves avec soin et prcision.

2.

Dvelopper et noncer les constats, conclusions et recommandations sans prjug, parti pris,
intrt personnel ni inuence inapproprie.

3.

Amliorer la clart en vitant lutilisation dun langage excessivement technique et en fournissant toute linformation signicative et pertinente dans ce contexte.

222

IFACI - dcembre 2012

modalits Pratiques dApplication

4.

Prparer des communications dont chaque lment est porteur de sens tout en tant
concises.

Commentaire IFACI
Les besoins et donc les critres de concision dirent selon les publics cibles.
Les audits et leur hirarchie immdiate veulent un document complet, intgrant une argumentation dtaille et
ventuellement technique du raisonnement de l'auditeur. Ceci conditionne ladhsion aux constats et aux
recommandations des auditeurs.
La direction gnrale veut tre informe mais n'est pas en charge de la conduite oprationnelle de la rsolution des
problmes. Elle veut donc l'essentiel, sous forme dune contraction de texte sans la dmonstration technique dtaille.

5.

Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs
de lorganisation.

Commentaire IFACI
Il est utile de donner aux audits des indications de lecture sous la forme de remarques liminaires. A titre dexemples :
Ce document est un rapport d'audit interne. Il vous est demand de ne pas le diuser car il contient des informations
confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements
pour faire dvelopper des actions de progrs mais il noublie pas de noter, en quelques phrases, ce qui fonctionne
correctement.
Il contient des recommandations. Une recommandation est une piste damlioration propose au responsable habilit
mener l'action. Celui-ci est en charge de dvelopper et mettre en place une solution au problme soulev : celle
propose ou une meilleure.

Sassurer que la communication est cohrente avec le style et la culture de lorganisation.

7.

Prvoir le dlai de prsentation des rsultats de la mission an dviter des contretemps excessifs.

MPA 2400

6.

IFACI - dcembre 2012

223

MPA 2440-1
Diusion des rsultats de la mission
Principale Norme de rfrence

2440 Diusion des rsultats de la mission


Le responsable de l'audit interne doit diuser les rsultats aux destinataires appropris.
Interprtation :
Le responsable de l'audit interne a la responsabilit de la revue et de lapprobation du rapport
dnitif avant quil ne soit mis, et dcide qui et de quelle manire il sera dius.
Lorsque le responsable de laudit interne dlgue ces fonctions, il/elle en garde lentire responsabilit.

1.

Les auditeurs internes changent sur leurs conclusions et recommandations avec le niveau
de management appropri avant que le responsable de laudit interne n'mette le rapport
dnitif. Ceci est habituellement eectu pendant le droulement de la mission ou lors des
runions postrieurs aux travaux (par exemple, les runions de clture).

Commentaire IFACI
Ceci sera facilit si le management audit a t considr tout au long de la mission comme un partenaire. Ceci est le cas
notamment lorsque des changes priodiques ont lieu au cours de la mission sur le droulement de celle-ci.

2.

Une autre technique consiste faire revoir au management de l'activit audite des points,
observations et recommandations envisags. Ces discussions et rvisions aident viter les
malentendus ou fausses interprtations des faits et orent lentit audite loccasion de
clarier certains points particuliers et dexprimer son opinion sur les observations, les conclusions et les recommandations.

3.

Le niveau hirarchique des participants aux discussions et aux rvisions varie selon lorganisation et la nature du rapport daudit; elles impliquent gnralement les personnes qui
connaissent prcisment les oprations audites et celles qui sont en mesure dautoriser la
mise en uvre de mesures correctrices.

4.

Le responsable de laudit interne adresse le rapport dnitif au management de lactivit


audite et aux membres de lorganisation qui peuvent sassurer que les rsultats de laudit

224

IFACI - dcembre 2012

modalits Pratiques dApplication

recevront lattention ncessaire et qui peuvent entreprendre les actions correctives qui simposent ou sassurer que de telles mesures seront prises. Lorsque cela est appropri, le responsable de laudit interne peut adresser une note de synthse aux membres de lorganisation
occupant un poste plus lev dans la hirarchie. Lorsque cela est prvu dans la charte daudit
interne ou par une rgle interne, le responsable de laudit interne communique galement
les rsultats de la mission aux personnes intresses ou concernes, telles que les auditeurs
externes et le Conseil.
Commentaire IFACI
Cest donc en interne, et essentiellement dans le cadre du rapport daudit, que ces faits matriels doivent tre rvls. Il
convient toutefois dtre bien conscient que des informations dlicates destines a priori la direction gnrale et/ ou au
comit daudit sont susceptibles dtre connues lextrieur de lorganisation. Cest ainsi que les rapports daudit interne
peuvent tre communiqus la justice.

MPA 2400

Pour le secteur bancaire, le rglement 97-02 modifi du CRBF, prcise que les rapports daudit interne sont tenus la
disposition des Commissaires aux comptes et du secrtariat gnral de la Commission bancaire. Il convient donc de
prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement.

IFACI - dcembre 2012

225

MPA 2440-2
Communication dinformations sensibles
dans ou en dehors de la ligne hirarchique
Principale Norme de rfrence

2440 Diusion des rsultats de la mission


Le responsable de l'audit interne doit diuser les rsultats aux destinataires appropris.
Interprtation :
Le responsable de l'audit interne a la responsabilit de la revue et de lapprobation du rapport
dnitif avant quil ne soit mis, et dcide qui et de quelle manire il sera dius.
Lorsque le responsable de laudit interne dlgue ces fonctions, il/elle en garde lentire responsabilit.

1.

Les auditeurs internes entrent souvent en possession dinformations trs sensibles, qui sont
importantes pour lorganisation et peuvent avoir des consquences signicatives. Ces informations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des
gaspillages, des erreurs de gestion, des activits illgales, des abus de pouvoir, une mauvaise
gestion mettant en danger la sant ou la scurit publique, ou dautres mfaits. Du reste, ces
dirents lments peuvent porter prjudice la rputation de lorganisation, son image,
sa comptitivit, sa russite, sa viabilit, sa valeur boursire, ses investissements et ses actifs
incorporels ou ses bnces.

2.

Sil estime que les informations nouvelles sont importantes et crdibles, lauditeur interne les
communique en principe, dans des dlais appropris, la direction gnrale et au Conseil
conformment la Norme 2060 et la MPA 2060-1. Cette communication suivra gnralement la ligne hirarchique normale pour lauditeur interne.

3.

Si, lissue de ces discussions, le responsable de laudit interne conclut que la direction gnrale expose lorganisation un risque inacceptable et quelle ne prend pas les mesures appropries, le responsable de laudit interne doit alors prsenter les informations et les divergences
dopinions au Conseil, conformment la Norme 2600.

4.

Le scnario classique de communication par la ligne hirarchique peut tre acclr, pour
certains types dvnements sensibles, en vertu de la lgislation nationale, de la rglementation ou de pratiques communment admises. Par exemple, en cas de publication dinfor-

226

IFACI - dcembre 2012

modalits Pratiques dApplication

mations nancires frauduleuses par une socit cote, la rglementation locale peut prvoir
lobligation dinformer sans dlai le Conseil des circonstances entourant le risque de publication de rapports nanciers errons et ce, mme si la direction gnrale et le responsable de
laudit interne sont daccord sur les mesures prendre. Dans certains pays, la lgislation et la
rglementation indiquent que le Conseil devrait tre inform de la dcouverte dune infraction aux lois pnales, aux lois relatives aux titres de socits, lalimentation, aux stupants
ou la pollution, ou de tout autre acte illgal, tel que la corruption ou toute autre forme de
versement abusif eectu en faveur de fonctionnaires, de fournisseurs ou de clients.
Lauditeur interne peut, dans certaines situations, faire face un dilemme lorsquil envisage
de communiquer des informations des personnes qui il nest pas hirarchiquement rattach ou mme lextrieur de lorganisation. Cette communication est communment dsigne par lexpression whistleblowing ( droit dalerte ). La divulgation dinformations
ngatives une personne qui fait partie de lorganisation, mais sans passer par la ligne hirarchique de lauditeur interne relve du droit dalerte interne, tandis que le droit dalerte externe
consiste communiquer des informations une administration ou une autre instance extrieure lorganisation.

6.

La majorit des personnes qui lance une alerte interne divulgue des informations sensibles.
Elles le feront dautant plus facilement quelles ont conance dans la capacit des procdures
et des dispositifs, en place dans lorganisation, dclencher une investigation et les mesures
appropries en cas dallgation dopration illgale ou abusive. Toutefois, certaines personnes
en possession dinformations sensibles peuvent dcider de les divulguer en dehors de lorganisation, en particulier si elles redoutent des reprsailles de la part de leur employeur ou
de collgues, si elles doutent que laaire sera correctement investigue, si elles pensent
quelle sera dissimule ou si elles dtiennent la preuve dune opration illgale ou abusive
mettant en pril la sant, la scurit ou le bien-tre de membres de lorganisation ou de la
communaut.

7.

Lorsquil choisit dutiliser le droit dalerte interne, lauditeur interne doit valuer dautres
moyens de signaler le risque des personnes ou des groupes qui ne font pas partie de sa
ligne hirarchique. tant donn les rpercussions et les risques lis ces dmarches, lauditeur
interne est tenu de peser le caractre probant et raisonnable de ses conclusions et dexaminer
les avantages et les inconvnients de chacune des actions envisageables. Une action de ce
type peut savrer approprie pour lauditeur interne si elle doit aboutir ladoption dactions
srieuses par la direction gnrale ou par le Conseil.
MPA 2400

5.

IFACI - dcembre 2012

227

Commentaire IFACI
Dans la mesure o les rgles du jeu sont dment tablies et connues de toutes les parties prenantes, le Directeur de l'audit
interne a un devoir d'alerte l'gard du Comit d'audit pour des faits minemment graves (dlits sanctionns par la loi
pnale), commis ou tolrs par la Direction Gnrale et/ou pouvant mettre en danger la continuit de l'exploitation. []
En cas d'chec d'une telle procdure, il appartiendrait alors au Directeur de l'audit interne de prendre toutes ses
responsabilits.
L'Institut est par contre extrmement rserv sur une permanente organisation formalise et a fortiori institutionnalise du
rle d'alerte de l'audit interne vis--vis des [rgulateurs] bancaires et des auditeurs externes. Elle aurait pour consquence,
-grave-, de dnaturer [le rle] l'audit interne [], [ce qui] serait susceptible d'aecter gravement [sa crdibilit lgard
de lexcutif de lentreprise].
Extrait de la Prise de Position sur le document consultatif du Comit de Ble relatif laudit interne dans les banques et
aux relations entre les superviseurs bancaires et les auditeurs internes et externes .

8.

De nombreux pays ont adopt une lgislation ou une rglementation en vertu desquelles
les fonctionnaires qui ont connaissance dactes illgaux ou contraires lthique sont tenus
dinformer un inspecteur gnral, un autre fonctionnaire ou un mdiateur. Certaines lois nationales relatives au droit dalerte protgent les citoyens qui sapprtent divulguer certains
types dabus. Les activits numres dans la lgislation et la rglementation de ces pays
comprennent notamment :
les infractions criminelles et les autres infractions la loi ;
les actes assimils des erreurs de justice ;
les actes mettant en pril la sant, la scurit ou le bien-tre des personnes ;
les actes dommageables pour lenvironnement ;
les oprations destines dissimuler ou couvrir les actes ci-dessus.
Dautres pays ne proposent aucune directive ni aucun systme de protection ou encore ne
protgent que les salaris du secteur public (gnralement ceux qui ont le statut de fonctionnaire).

9.

Lauditeur interne devra avoir connaissance de la lgislation et de la rglementation des divers


pays dans lesquels opre lorganisation. Les juristes qui connaissent bien les aspects juridiques
du droit dalerte peuvent aider les auditeurs internes confronts ce problme. Lauditeur
interne devra consulter un juriste sil a des doutes sur les consquences juridiques ou les
dispositions lgales en vigueur concernant le droit dalerte interne ou externe.

10. De nombreuses associations professionnelles requirent que leurs membres divulguent les
agissements illgaux ou contraires lthique. Le caractre distinctif dune profession rside
dans le fait quelle accepte des responsabilits tendues vis--vis du public et quelle entend
prserver le bien commun. Outre lexamen des obligations lgales, les membres de lIIA, ainsi
que tous les auditeurs internes CIA, doivent suivre les rgles du Code de dontologie de la
profession.
228

IFACI - dcembre 2012

modalits Pratiques dApplication

11. Lauditeur interne est tenu, par devoir professionnel et par la dontologie, de peser avec attention tous les lments probants et le caractre raisonnable de ses conclusions, puis de dcider
si dautres mesures sont ncessaires pour prserver les intrts de lorganisation, de ses parties
prenantes, de la communaut extrieure ou des institutions de la socit. En outre, lauditeur
interne tiendra compte du principe de condentialit du Code de dontologie de la profession, respectera la valeur et la condentialit des informations et sabstiendra de les divulguer
sans y tre dment habilit, sauf en cas dobligation lgale ou professionnelle. Lauditeur
interne peut consulter un juriste et, le cas chant, dautres experts, durant ce processus
dvaluation. Ces discussions peuvent savrer utiles, notamment parce quelles permettent
dobtenir un autre point de vue sur les circonstances de laaire et de recueillir un avis sur
lincidence et les consquences potentielles des diverses actions envisageables. La dmarche,
adopte par lauditeur interne pour rsoudre ce type de situation complexe et sensible, peut
donner lieu des reprsailles et, le cas chant, engager sa responsabilit.
12. En dnitive, lauditeur interne prend une dcision professionnelle propos de ses obligations
vis--vis de son employeur. La dcision de communiquer, en dehors de la ligne hirarchique,
doit tre prise en connaissance de cause. Elle est motive par des preuves susantes et crdibles concernant les agissements en cause, et par la ncessit de prendre dautres mesures
en vertu dune obligation lgale, rglementaire, professionnelle ou dontologique.
Commentaire IFACI

MPA 2400

Les organisations soumises la section 301 de la loi amricaine Sarbanes-Oxley Act (SOX), disposent dun dispositif dalerte
de type whistleblowing.
En France, les traitements des donnes concerns par un dispositif dalerte professionnelle sont lgaux sils rpondent une
obligation lgislative ou rglementaire de droit franais visant l'tablissement de procdures de contrle interne dans les
seuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il sagit de lAutorisation unique N 4
(AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-unfichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/decmode/DISPLAYSINGLEFICHEDECL/dec-uid/4/

IFACI - dcembre 2012

229

MPA 2440.A2-1
Diusion des rsultats daudit
en dehors de lorganisation
Principale Norme de rfrence
2440.A2 Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable
de laudit doit accomplir les tches suivantes avant de diuser les rsultats des destinataires
ne faisant pas partie de lorganisation :
valuer les risques potentiels pour lorganisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diusion en imposant des restrictions quant lutilisation des rsultats.

1.

La charte d'audit interne et celle du Conseil, les politiques de lorganisation ou les instructions
spcies dans la lettre de mission peuvent contenir des lignes directrices relatives la diusion dinformations en dehors de lorganisation. dfaut de telles directives, le responsable
de laudit interne peut faciliter ladoption de politiques appropries concernant, par exemple :
lautorisation requise pour diuser des informations en dehors de lorganisation ;
le processus dautorisation pour la diusion dinformations en dehors de lorganisation ;
les instructions concernant la nature des informations dont la diusion est admise ou
non ;
les personnes extrieures autorises recevoir des informations et la nature des informations qui peuvent leur tre communiques ;
les rgles relatives la condentialit des donnes personnelles, les obligations rglementaires et les aspects juridiques examiner avant toute diusion dinformations en
dehors de lorganisation ;
la nature des conclusions, des conseils, des recommandations, des opinions, des instructions et autres informations pouvant tre diuss en dehors de lorganisation.

2.

Les demandes dinformation peuvent concerner des donnes qui existent dj, par exemple
un rapport daudit interne dj dius, ou bien porter sur des informations qui nont pas
encore t produites ou dnies et qui rsulteront dune future mission ou dun nouveau
rapport daudit interne. Pour les informations dj existantes, lauditeur interne examinera si
elles peuvent tre diuses en dehors de lorganisation.

230

IFACI - dcembre 2012

modalits Pratiques dApplication

3.

Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un
rapport ou des informations existant(s) pour permettre une diusion approprie en dehors
de lorganisation.

4.

Avant toute diusion dinformations en dehors de lorganisation, il convient dexaminer les


points suivants :
lintrt dun accord crit avec le destinataire prvu concernant les informations diuser et les responsabilits de lauditeur interne ;
lidentication des fournisseurs et des canaux dinformation, des signataires du rapport,
des destinataires des informations et des personnes ayant un lien avec le rapport ou
les informations diuses ;
lidentication des objectifs, des limites et des procdures respecter pour produire les
informations concernes ;
la nature du rapport ou des autres informations communiques, notamment les
opinions, les recommandations, les rserves, les limitations et les types de certication
ou de dclaration fournir ;
les droits de reproduction, lutilisation prvue des informations et les restrictions concernant la diusion ou le partage ultrieur des informations.

5.

Si un auditeur interne dcouvre des informations censes tre communiques la direction


gnrale ou au Conseil au cours dune mission et que ces donnes sont soumises une obligation de communication externe, le responsable de laudit interne doit tablir une communication approprie avec le Conseil ce sujet.

Commentaire IFACI

MPA 2400

Des informations dlicates destines, a priori, la direction gnrale ou au comit daudit tant susceptibles dtre connues
lextrieur de lorganisation, il convient de prsenter les faits dont ont eu connaissance les auditeurs internes avec
intelligence, prudence et circonspection.

IFACI - dcembre 2012

231

232

IFACI - dcembre 2012

modalits Pratiques dApplication

mPA SrIE 2500

IFACI - dcembre 2012

233

MPA 2500

SurVEIllANCE DES ACtIoNS DE ProgrS

234

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2500-1
Surveillance des actions de progrs
Principale Norme de rfrence

2500 Surveillance des actions de progrs

1.

Pour tre en mesure de surveiller ecacement les suites donnes aux rsultats communiqus
au management, le responsable de laudit interne tablit des procdures couvrant les aspects
suivants :
le dlai dans lequel le management doit rpondre aux observations et recommandations de l'audit ;
lvaluation de la rponse du management ;
la vrication de la rponse (si ncessaire) ;
la ralisation dune mission de suivi (si ncessaire) ;
un processus pour porter, lattention du niveau appropri de la direction gnrale et
du Conseil, les rponses/actions non satisfaisantes et lacceptation du risque qui en
rsulte.

2.

Si certaines observations et recommandations de l'audit sont dune importance telle quelles


ncessitent une action immdiate de la part du management ou du Conseil, l'audit interne
surveille la ralisation des actions entreprises jusqu ce que lobservation soit leve ou que
la recommandation soit mise en uvre.

3.

Laudit interne peut ecacement surveiller les progrs en :


notiant les observations et recommandations de l'audit aux niveaux appropris du
management responsables dentreprendre les actions ;
en collectant et en valuant les rponses du management et les propositions de plan
daction par rapport aux observations et recommandations de l'audit, pendant la
mission ou dans un dlai raisonnable aprs la communication des rsultats de la
mission. Les rponses sont dautant plus utiles quelles comportent des informations
susantes pour que le responsable de laudit interne puisse en apprcier la pertinence
et le calendrier des actions proposes ;
en obtenant du management des mises jour priodiques permettant dapprcier
l'tat davancement de ses actions pour remdier aux observations et/ou mettre en
uvre les recommandations ;

IFACI - dcembre 2012

235

MPA 2500

Le responsable de l'audit interne doit mettre en place et tenir jour un systme permettant de
surveiller la suite donne aux rsultats communiqus au management.

en obtenant et en valuant les informations en provenance dautres entits de lorganisation ayant reu la responsabilit du suivi ou de la ralisation dactions correctives ;
en rendant compte la direction gnrale et/ou au Conseil de lavancement des
rponses aux observations et recommandations de l'audit.

236

IFACI - dcembre 2012

modalits Pratiques dApplication

MPA 2500.A1-1
Processus de suivi de la mission
Principale Norme de rfrence

1.

Les auditeurs internes dterminent si le management a entrepris les actions correctrices ou


mis en uvre les recommandations. Ils sassurent que les rsultats escompts sont atteints,
ou que la direction gnrale ou le Conseil ont accept le risque de ne pas engager dactions
ou de ne pas mettre en uvre les recommandations.

2.

Le suivi est un processus par lequel les auditeurs internes valuent le caractre appropri,
eectif et opportun des actions entreprises par le management, en rponse aux observations
et recommandations, y compris celles mises par les auditeurs externes ou d'autres intervenants. Au cours de ce processus il convient galement de dterminer si la direction gnrale
et le Conseil ont assum le risque de ne pas entreprendre daction correctrice en rponse
aux observations.

3.

La charte daudit interne devra dnir la responsabilit du suivi. Le responsable de laudit


interne xe la nature, le calendrier et l'tendue du suivi en considrant les facteurs suivants :
limportance des observations et recommandations ;
le niveau deort et le cot ncessaire pour corriger les situations nonces;
limpact que pourrait avoir lchec de laction corrective ;
la complexit de laction corrective ;
les dlais.

4.

Le responsable de laudit interne assure la planication des activits de suivi dans le cadre de
llaboration des programmes de travail. La planication du suivi est fonde sur les risques
encourus et leurs impacts, ainsi que sur le niveau de dicult et limportance du dlai de
mise en uvre des actions correctrices.

5.

Lorsque le responsable de laudit interne juge que la rponse orale ou crite du management
indique que l'action entreprise est susante par apport au niveau dimportance des observations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le
cadre de la mission suivante.

IFACI - dcembre 2012

237

MPA 2500

2500.A1 Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont t eectivement mises en uvre par le
management ou que la direction gnrale a accept de prendre le risque de ne rien faire.

6.

Les auditeurs internes vrient si les actions entreprises suite aux observations et recommandations corrigent les situations sous-jacentes. Les activits suivies devront tre convenablement documentes.

238

IFACI - dcembre 2012