Normes Professionnelles Audit Interne

NORMES
PROFESSIONNELLES
DE LAUDIT INTERNE
Inclus :
la dfinition
le code de dontologie
les normes
les modalits pratiques dapplication
accompagnes
des commentaires de lIFACI
En annexe : version en anglais des normes publies par lIIA,

The Institute of Internal Auditors
IFACI - Paris - Octobre 2002
Juin 2004
Septembre 2006
ISBN 2-91-5051-003
Copyright 2002 de lIFACI, 12 bis, place Henri-Bergson, 75008 Paris.
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement
de lauteur, ou de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, ali-
na 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que
ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du
Code Pnal.
SOMMAIRE
I. Avant-propos et remerciements
II. La dfinition de laudit interne et le code de dontologie
III. Les Normes
IV. Les modalits pratiques dapplication
Annexes : The IIA Professional Practices Framework (PPF)
OCTOBRE 2002
1
AVERTISSEMENT
Le cadre de rfrence professionnel de laudit interne nest pas fig. De

nouvelles Modalits Pratiques dApplication des normes (MPA) sont en
cours de rdaction, dautres suivront. Il en ira vraisemblablement de
mme pour les Normes.
Afin de faciliter les mises jour ultrieures de ce document, chaque par-
tie dispose de sa propre numrotation. Bien plus, pour la partie IV,
consacre aux Modalits Pratiques dApplication, une numrotation sp-
cifique a t affecte chaque MPA.
OCTOBRE 2002
2
Avant-Propos
AVANT-PROPOS
Laudit interne est une profession, une profession qui sest modele au fil des ans, en
sefforant de toujours rpondre aux besoins changeants des organisations. Laudit interne,
centr ses origines sur les problmes comptables, est devenu, aujourdhui, un outil
puissant de dtection des principaux risques des organisations. Proche, il y a quelques
annes, de la fonction comptable et financire, il est, prsent, rattach aux dirigeants
et entretient une relation forte et continue avec le comit daudit. Lun et lautre sont
dailleurs parfaitement complmentaires : le comit daudit, en effet, garantit et consacre
lindpendance de laudit interne ; de son ct, laudit interne apporte au comit daudit
un regard impartial et professionnel sur les risques de lorganisation, et contribue am-
liorer son information et celle du Conseil sur le niveau de scurit de lorganisation. Tous
deux participent, leur faon, la bonne gouvernance des organisations.
Laudit interne est une profession bien organise, linfluence croissante. Porte par plus
de 80 instituts nationaux, fdrs lInstitute of Internal Auditors (IIA) dont le sige est
Orlando aux tats-Unis, la profession regroupe plus de 77 000 membres rpartis dans
plus de 120 pays. LIFACI (Institut Franais de lAudit et du Contrle Internes) est lun
des instituts nationaux les plus importants et les plus dynamiques. Fort de ses quelque
2 000 adhrents, il poursuit cinq objectifs :
tre un lieu de rflexion sur la profession et son volution (activit recherche) ;
contribuer la professionnalisation des acteurs de laudit interne (activit formation) ;
tre un lieu dchanges professionnels (runions mensuelles, colloques) ;
tre un vecteur de promotion de laudit interne (revue audit et ouvrages) ;
tre, enfin, le porte parole de la profession auprs des organismes institutionnels et

rglementaires (les prises de position).
Laudit interne est une profession qui sappuie sur un cadre de rfrence vocation mon-
diale mme si du fait de la varit denvironnements dans lequel il se pratique, il doit
sadapter pour tenir compte des particularits lgislatives et rglementaires de chaque
pays, des rgles spcifiques qui rgissent certains secteurs dactivit (bancaire par exemple)
ou tout simplement de la taille et de la culture des organisations.
OCTOBRE 2002 1
AVANT-PROPOS
Ce cadre de rfrence sert de base la prparation dun diplme professionnel de porte

mondiale, dlivr sur examen par la profession, le CIA (Certified Internal Auditor) qui
constitue pour la pratique de laudit interne, le pendant du diplme dexpertise comp-
table pour lexercice de la rvision des comptes.
Cadre de rfrence des Pratiques Professionnelles
Code de Dontologie
Normes de mise en uvre

Normes de mise en uvre
Normes de qualification
Dfinition de lAudit Interne
Dfinition de lAudit Interne

Activit dassurance
Activit de conseil
Normes de fonctionnement
Modalits pratiques dapplication

Accompagnement au dveloppement professionnel
Le cadre de rfrence comprend :
la dfinition de laudit interne adopte en juin 1999 par le Conseil dAdministration de

lIIA, qui prcise que laudit interne a vocation effectuer des missions dassurance et
de conseil ; que ses domaines de responsabilits sont le risque, le contrle interne et
le gouvernement dentreprise ; et que sa finalit est de contribuer crer de la valeur
ajoute aux organisations ;
le code de dontologie qui fournit aux auditeurs internes les principes et les valeurs leur
permettant de guider leur pratique professionnelle dans le contexte particulier qui est
le leur ;
les normes professionnelles pour la pratique de laudit interne qui guident les auditeurs
internes dans la ralisation de leur mission et la gestion de leur activit ;
OCTOBRE 2002
2
AVANT-PROPOS
les modalits pratiques dapplication (MPA) qui commentent et expliquent les normes
et mettent en avant les meilleures pratiques ;
laccompagnement au dveloppement professionnel, constitu notamment des ouvrages

et des articles de doctrine, des actes des colloques et confrences, ainsi que des smi-
naires.
La connaissance et lapplication de ce cadre de rfrence donnent aux organisations et

aux organismes de rgulation une assurance sur le degr de professionnalisme des audi-
teurs internes.
Les principes et rgles dicts par le code de dontologie et les normes ont un caractre
obligatoire. Ne pas les respecter, cest non seulement se mettre en dehors de la profes-
sion, mais cest aussi et surtout se priver dun moyen dtre plus efficace et, partant, plus
crdible. Lamateurisme en audit interne na plus cours, seule une approche systmatique
et mthodique est source de valeur ajoute pour les organisations.
Les modalits pratiques dapplication nont pas la mme force excutoire. Elles font
cependant autorit, et il est fortement recommand de les mettre en uvre tout en
admettant que certaines adaptations aux lois et rglements nationaux peuvent tre justi-
fies.
Quant aux documents classs dans la rubrique accompagnement au dveloppement

professionnel , ils peuvent tre utiliss en tant que de besoin, sans faire ncessairement
autorit.
* *
*
Le prsent classeur contient la traduction de tous les documents du Professional

Practices Framework de lIIA. Cette traduction est accompagne, lorsque cest nces-
saire, de commentaires appropris de lIFACI. Bien plus, certaines MPA dinspiration trop
amricaines nont pas t retenues, elles sont ou seront remplaces par des modalits
pratiques plus conformes au contexte franais. On trouvera nanmoins en annexe et en
anglais lintgralit du Professional Practices Framework tel quil a t publi par
lIIA.
Normes et MPA ne sont pas figes car la profession continue et continuera dvoluer.
Certaines MPA relatives notamment au Gouvernement dEntreprise manquent, elles sont
en cours dlaboration et ne seront disponibles que dans quelques mois. Dautres normes
verront le jour et seront suivies de leur cortge de MPA. Cest pour cette raison, quau
lieu de diffuser un ouvrage, nous avons prfr publier un classeur permettant son actua-
lisation rgulire, selon des modalits qui vous seront communiques en temps oppor-
tun.
OCTOBRE 2002
3
AVANT-PROPOS
Que ce cadre de rfrence vous fasse prendre conscience de votre appartenance une
vritable profession, toujours en tat de veille et soucieuse en permanence de vous sen-
sibiliser sur les mthodes et pratiques les plus mme de rpondre vos besoins et aux
attentes de vos organisations. Reportez-y-vous souvent et appliquez le toujours.
Louis Vaurs
Dlgu Gnral
OCTOBRE 2002
4
REMERCIEMENTS
LIFACI remercie chaleureusement toutes les personnes qui ont apport leur contribution
la traduction et lanalyse du cadre de rfrence de notre profession.
Nos remerciements sadressent plus particulirement
Florence Bergeret, Responsable de la Recherche, IFACI
Jos Bouaniche, Auditeur Interne, Caisse des Dpts et Consignations
Franoise Caradec, Superviseur de lAudit du Sige et des Filiales, La Poste
Marc Chambault, Directeur Audit et Contrle des Risques, France Tlcom
Philippe Christelle, Director of Group Internal Audit, Cap Gemini Ernst & Young
Mireille Cuny, Head of Business, Planning and Operations, Crdit Commercial de

France HSBC
Philippe Deregel, Auditeur Interne, SNECMA
Florence Fradin, Responsable de la Recherche, IFACI
Franoise Giron, Directeur Technique Missions, France Tlcom
Olivier Lemant, Consultant, Amorce
Jacques Renard, Consultant
Dominique Vincenti, Directeur de lAudit Interne, Conforama Management Service
pour leur forte et permanente implication, et pour la pertinence et la richesse de leurs

apports.
Louis Vaurs
Dlgu Gnral
JUIN 2004
5
Dfinition
et Code de dontologie
DFINITION DE LAUDIT INTERNE (1)
Laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations,
lui apporte ses conseils pour les amliorer, et contribue crer de la
valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management
des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit.
(1) Version franaise de la dfinition internationale, approuve le 21 mars 2000 par le Conseil
dAdministration de lIFACI.
OCTOBRE 2002 1
CODE DE DONTOLOGIE
PRAMBULE : POURQUOI UN CODE DE DONTOLOGIE

Il peut paratre paradoxal de prsenter, en prambule dune nouvelle dition de
normes professionnelles de laudit interne, un code de dontologie. En effet,
pourquoi donc les normes naplaniraient-elles pas toutes les difficults auxquel-
les la pratique professionnelle peut se trouver confronte, en indiquant de
manire systmatique, la bonne conduite technique adopter ?
Allons mme plus loin : sil apparat indispensable de joindre un code de don-
tologie un corpus de normes professionnelles, nest-ce pas reconnatre explici-
tement que les normes sont insuffisantes, quelles ne couvrent pas lensemble du
champ de la pratique de laudit interne et quen certaines situations il faudra
donc, par dfaut de normes, faire appel des principes gnraux pour laborer
une solution pratique ? Et dans ce cas, naurait-il pas t plus utile dajouter cer-
taines normes, plutt que de faire appel des grands principes ?
Ces questions sont lgitimes, et les rponses quelles appellent, ou les justifica-
tions auxquelles elles obligent, permettent de prciser la porte des
normes et le rle dun code de dontologie :
La diversit des situations dabord, ne permet pas denvisager raisonnable-

ment quun ensemble de normes, aussi complet soit-il, puisse rpertorier par
avance toutes les dispositions que la pratique professionnelle devrait obser-
ver. Les lois nationales, les rglements et les risques propres aux diffrents
secteurs conomiques, les formes juridiques des organisations et leurs moda-
lits de fonctionnement, et le rle finalement dvolu laudit interne, crent
des situations particulires ; un dveloppement trop extensif de normes ten-
drait ramener systmatiquement la diversit de la ralit une situation
type, et nuirait finalement la reconnaissance de loriginalit et des particu-
larits de chacune des situations.
Dans ces conditions, savoir limiter le champ des normes ce qui est gnra-
lement commun au sein de la profession est essentiel pour garantir leur uti-
lit ; en complment de quoi, fournir aux professionnels les principes et les
valeurs leur permettant de guider leur pratique professionnelle dans le
contexte particulier qui est le leur, est tout aussi essentiel : cest le premier
objet du code de dontologie.
OCTOBRE 2002
3
CODE DE DONTOLOGIE
La nature mme de lactivit daudit interne, ensuite, impose des exigences

dontologiques ; dans le cadre des missions dassurance qui constituent le
fondement de sa pratique, laudit interne procde des valuations, et met
des avis. Or, la qualit dun jugement repose largement sur deux conditions
pralables qui sont mentionnes dans la nouvelle dfinition de laudit
interne : lindpendance et lobjectivit. Ces deux notions mritent dtre
explicites et illustres dans le contexte particulier de la profession dauditeur
interne, ce qui justifie largement une rflexion dontologique conduisant
tracer les lignes directrices dun Code de rfrence.
Cest quen effet, lauditeur interne et notamment le responsable de laudit
interne, se trouvent frquemment confronts au jeu naturel des influences de
toutes natures, qui peuvent parfois les mettre lpreuve de situations per-
sonnelles moralement difficiles et confuses. Il appartient alors au code de
dontologie de rappeler les principes fondamentaux susceptibles dviter ou
de clarifier les situations impropres lexercice dun jugement professionnel
serein.
Ces principes permettent lauditeur interne de juger en son me et conscience
de la dmarche quil convient de suivre en cas de situation dlicate.
Concernant des faits dlictueux, ils prennent dautant plus dimportance en
France que le cadre lgal et les pratiques de management ne requirent ou
nencouragent pas leur rvlation.
Lexistence dun code de dontologie de laudit interne, sign par les audi-
teurs internes et annex la Charte dAudit constitue, notre sens, le tmoi-
gnage dun engagement de rigueur et le signal visible dun niveau lev
dintgrit, favorisant le maintien dun climat dhonntet et dintgrit au
sein mme de lorganisation.
Il permet aux auditeurs internes, face une situation pouvant mettre en cause
leur objectivit et leur indpendance, dobtenir conseil de leur suprieur hi-
rarchique.
Communiqu au sein de lorganisation, le code de dontologie accrot la

confiance des audits dans lobjectivit et lintgrit des auditeurs internes et,
par consquent, contribue la qualit des rsultats de laudit.
Nous souhaitons que la traduction du code de dontologie de lIIA que nous

prsentons dans les pages suivantes puisse faciliter votre rflexion et vous four-
nir la trame du futur code de dontologie de votre dpartement daudit interne.
OCTOBRE 2002
4
CODE DE DONTOLOGIE
INTRODUCTION
Le Code de Dontologie de lInstitut a pour but de promouvoir une culture de lthique
au sein de la profession daudit interne.
Laudit interne est une activit indpendante et objective qui donne une organisation
une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour
les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche syst-
matique et mthodique, ses processus de management des risques, de contrle, et de
gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit.
Compte tenu de la confiance place en laudit interne pour donner une assurance objec-
tive sur les processus de management des risques, de contrle et de gouvernement
dentreprise, il tait ncessaire que la profession se dote dun tel code. Le code de don-
tologie va au-del de la dfinition de laudit interne et inclut deux composantes essen-
tielles :
1. des principes fondamentaux pertinents pour la profession et pour la pratique de laudit

interne ;
2. des rgles de conduite dcrivant les normes de comportement attendues des auditeurs
internes. Ces rgles sont une aide la mise en uvre pratique des principes fonda-
mentaux et ont pour but de guider la conduite thique des auditeurs internes.
Le Code de Dontologie associ au Cadre de Rfrence des Pratiques

Professionnelles ( Professional Practices Framework ) et les autres dclarations de
lInstitut fournissent les lignes de conduite pour les auditeurs internes. On dsigne par
Auditeurs Internes les membres de lInstitut, les titulaires de certifications profes-
sionnelles de lIIA ou les candidats celles-ci, ainsi que les personnes proposant des ser-
vices entrant dans le cadre de la dfinition de laudit interne.
Champ dapplication et caractre obligatoire

Le Code de Dontologie sapplique aux personnes et aux entits qui fournissent des ser-
vices daudit interne.
Toute violation du Code de Dontologie par des membres de lInstitut, des titulaires de
certifications professionnelles de lIIA ou des candidats celles-ci, fera lobjet dune va-
luation et sera traite en accord avec les Statuts de lInstitut et ses Directives
OCTOBRE 2002
5
CODE DE DONTOLOGIE
Administratives. Le fait quun comportement donn ne figure pas dans les Rgles de
Conduite ne lempche pas dtre inacceptable ou dshonorant et peut donc entraner
une action disciplinaire lencontre de la personne qui sen est rendu coupable.
Principes Fondamentaux
Il est attendu des auditeurs internes quils respectent et appliquent les principes fonda-
mentaux suivants :
Intgrit
Lintgrit des auditeurs internes est la base de la confiance et de la crdibilit accor-
des leur jugement.
Objectivit
Les auditeurs internes montrent le plus haut degr dobjectivit professionnelle en col-
lectant, valuant et communiquant les informations relatives lactivit ou au processus
examin. Les auditeurs internes valuent de manire quitable tous les lments perti-
nents et ne se laissent pas influencer dans leur jugement par leurs propres intrts ou
par autrui.
Confidentialit
Les auditeurs internes respectent la valeur et la proprit des informations quils reoi-
vent ; ils ne divulguent ces informations quavec les autorisations requises, moins
quune obligation lgale ou professionnelle ne les oblige le faire.
Comptence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et exp-
riences requis pour la ralisation de leurs travaux.
Rgles de Conduite
1. Intgrit
Les auditeurs internes :
1.1. Doivent accomplir leur mission avec honntet, diligence et responsabilit.
1.2. Doivent respecter la loi et faire les rvlations requises par les lois et les rgles de
la profession.
En France, la loi ne sapplique en ce sens que pour les crimes. En revanche, cer-
tains secteurs peuvent tre rglements. Ainsi, le secteur bancaire est soumis
des dispositions fortes du Rglement Gnral du CMF, Conseil des Marchs
Financiers, en ce qui concerne la dontologie des collaborateurs.
OCTOBRE 2002
6
CODE DE DONTOLOGIE
1.3. Ne doivent pas sciemment prendre part des activits illgales ou sengager dans
des actes dshonorants pour la profession daudit interne ou leur organisation.
Il convient de prciser que la notion de dshonneur est culturelle,

quelle dpend des poques, des individus, de lthique de lorganisation et de
nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs thiques et lgitimes de leur organisa-
tion.
Cette rgle de conduite appelle la question suivante : quentend-on par objectif

thique et objectif lgitime ? On peut dfinir lgitime comme conforme aux lois,
aux rglements et lobjet social tandis quthique fait rfrence aux valeurs
morales et divers principes. Il appartient chaque auditeur interne de donner
ces deux mots un sens adapt la situation particulire dans laquelle il se trou-
ve.
Dans le cas o lorganisation aurait des objectifs non thiques ou non lgitimes
ou jugs tels par lauditeur, ce Code de Dontologie ne contraint pas lauditeur
interne les respecter et encore moins y contribuer, pas plus quil ne linterdit.
Cette situation, si elle se produisait, ne dispenserait pas lauditeur interne de
garder leur gard un parfait esprit critique.
2. Objectivit
2.1. Ne doivent pas prendre part des activits ou tablir des relations qui pourraient
compromettre ou risquer de compromettre le caractre impartial de leur jugement.
Ce principe vaut galement pour les activits ou relations daffaires qui pourraient
entrer en conflit avec les intrts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3. Doivent rvler tous les faits matriels dont ils ont connaissance et qui, sils
ntaient pas rvls, auraient pour consquence de fausser le rapport sur les acti-
vits examines.
Cest donc en interne, dans le cadre du rapport daudit, que ces faits matriels
doivent tre rvls. Il convient toutefois dtre bien conscient que des informa-
tions dlicates destines a priori la Direction Gnrale et/ ou au Comit
dAudit sont susceptibles dtre connues lextrieur de lorganisation. Cest
ainsi que les rapports daudit interne doivent tre communiqus aux
OCTOBRE 2002
7
CODE DE DONTOLOGIE
Commissaires aux comptes et la justice sils en font la demande. Pour le sec-

teur bancaire, le rglement 97-02 du Comit de la Rglementation Bancaire et
Financire, remplac par le rglement 2000-01, prcise que les rapports sur le
contrle interne et la surveillance des risques sont adresss chaque anne aux
Commissaires aux comptes et au secrtariat gnral de la Commission Bancaire.
Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs
internes avec discernement, prudence et circonspection.
3. Confidentialit
Il est important de prciser que la confidentialit et les rgles de conduite y aff-

rentes sappliquent toute personne proposant des services entrant dans la dfi-
nition de laudit interne. Le responsable de laudit interne, dans le cas o il sous-
traite une mission, lextrieur du service daudit interne ou de lorganisation,
doit veiller ce quune clause de cet ordre soit intgre dans le contrat de pres-
tation.
Dans le secteur bancaire, le Comit de Ble, dans son document consultatif sur
laudit interne dans les organisations bancaires et les relations entre les auditeurs
internes et externes, publi en juillet 2000, sest pench sur le droit dalerte
(Whistleblowing) des auditeurs internes. Il a soumis la rflexion des instituts
daudit interne et des rgulateurs nationaux lventuelle obligation qui serait
faite aux auditeurs internes dalerter les autorits de tutelle sur certains dys-
fonctionnements.
LIFACI, sollicit par la Commission Bancaire sur ce document, a pris ce sujet
une position trs claire : la mission dalerte des auditeurs internes doit concerner
exclusivement les organes de dcision internes, Direction Gnrale, Conseil
dAdministration et, sil existe, le Comit dAudit. LIFACI prconise que le
responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit
pour des faits minemment graves commis par la Direction Gnrale et pouvant
mettre en danger la continuit dexploitation, condition que ces faits soient
avrs et que le rle de laudit interne en la matire soit dment explicit dans
une charte dthique. En revanche, pour ce qui est du rle dalerte que laudit
interne pourrait jouer auprs des superviseurs bancaires et des Commissaires
aux comptes, cette ventualit ne parat pas approprie.
La Commission Bancaire a adopt le mme point de vue. Elle considre en effet
que le fait dimposer aux auditeurs internes une obligation dalerte auprs des
tiers (Commission Bancaire, Commissaires aux comptes, ) pourrait tre de
nature affaiblir leur position et leur crdibilit au sein des entreprises, ce qui
nuirait lefficacit de leurs contrles .

3.1. Doivent utiliser avec prudence et protger les informations recueillies dans le cadre
de leurs activits.
OCTOBRE 2002
8
CODE DE DONTOLOGIE
3.2. Ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou
dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux
objectifs thiques et lgitimes de leur organisation.
Est assimilable bnfice personnel non seulement le bnfice procur un

tiers apparent ou ami, mais aussi l'utilisation des informations recueillies dans
le cadre de l'activit d'audit des fins trangres cette activit, telles que la
communication des associations caritatives, humanitaires, et plus
gnralement but louable, soutenues par l'auditeur interne : les auditeurs
internes doivent respecter la valeur et la proprit des informations qu'ils reoi-
vent.
4. Comptence
4.1. Ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances,
le savoir-faire et lexprience ncessaires.
4.2. Doivent raliser leurs travaux daudit interne dans le respect des Normes pour la
Pratique Professionnelle de lAudit Interne (Standards for the Professional Practice
of Internal Auditing).
4.3. Doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de

leurs travaux.
Traduction du Code of Ethics adopt par le Conseil dAdministration de lIIA le 17 juin

2000.
OCTOBRE 2002
9
Normes
LES NORMES
Pages
Introduction ........................................................................ 1
Normes de qualification .......................................................... 7
Normes de fonctionnement ...................................................... 15
Glossaire ............................................................................ 27
JUIN 20O4
INTRODUCTION
INTRODUCTION
L'Audit Interne est une activit indpendante et objective qui donne une organisation
une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour
les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche syst-
matique et mthodique, ses processus de management des risques, de contrle, et de
gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacit.
Les activits d'audit interne sont conduites dans diffrents environnements juridiques et
culturels, dans des organisations dont l'objet, la taille, la complexit et la structure sont
divers, ainsi que par des professionnels de l'audit, internes ou externes l'organisation.
Bien que ces diffrences peuvent influencer la pratique de l'audit interne dans chaque
environnement, le respect des Normes internationales pour la pratique professionnelle de
l'audit interne (ci-aprs les Normes ) est essentiel pour que les auditeurs internes puis-
sent s'acquitter de leurs responsabilits. Lorsque certaines dispositions des Normes sont
contraires la lgislation ou la rglementation en vigueur, les auditeurs internes
doivent respecter les autres dispositions et communiquer les informations appropries.
Dans le cadre des missions d'assurance, l'auditeur interne procde une valuation
objective en vue de formuler en toute indpendance une opinion ou des conclusions sur
un processus, un systme ou tout autre sujet. Il dtermine la nature et l'tendue de ses
missions qui comportent gnralement trois types d'intervenants : (1) la personne ou le
groupe directement impliqu dans le processus, le systme ou le sujet examin autre-
ment dit le propritaire du processus, (2) la personne ou le groupe ralisant l'valuation
l'auditeur interne, et (3) la personne ou le groupe qui utilise les rsultats de l'valuation
l'utilisateur.
Les missions de conseil sont gnralement entreprises la demande d'un client. Leur
nature et leur primtre font l'objet d'un accord avec ce dernier. Elles comportent gn-
ralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en
l'occurrence l'auditeur interne, et (2) la personne ou le groupe donneur d'ordre auquel ils
sont destins le client. Lors de la ralisation de missions de conseil, l'auditeur interne
doit faire preuve d'objectivit et n'assumer aucune fonction de management.
JUIN 2004 3
INTRODUCTION
Les Normes ont pour objet :

1. de dfinir les principes de base que la pratique de l'audit interne doit suivre ;
2. de fournir un cadre de rfrence pour la ralisation et la promotion d'un large ventail
d'activits d'audit interne apportant une valeur ajoute ;
3. d'tablir les critres d'apprciation du fonctionnement de l'audit interne ;
4. de favoriser l'amlioration des processus organisationnels et des oprations.
Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement

et des Normes de Mise en uvre. Les Normes de Qualification noncent les caractris-
tiques que doivent prsenter les organisations et les personnes accomplissant des activits
d'audit interne. Les Normes de Fonctionnement dcrivent la nature des activits d'audit
interne et dfinissent des critres de qualit permettant d'valuer les services fournis.
Tandis que les Normes de Qualification et les Normes de Fonctionnement s'appliquent
aux travaux d'audit interne en gnral, les Normes de Mise en uvre s'appliquent des
types de missions spcifiques.
Alors qu'il existe un seul ensemble de Normes de Qualification et de Normes de

Fonctionnement, il peut exister diffrents ensembles de Normes de Mise en uvre,
correspondant chacun un grand type d'activit d'audit interne. Les Normes de Mise en
uvre concernent les activits d'assurance (indiques par la lettre A aprs le numro
de la Norme, par exemple 1130.A1) et les activits de conseil (indiques par la lettre
C aprs le numro de la Norme, par exemple 1130.C1).
Les Normes font partie du Cadre de Rfrence des Pratiques Professionnelles. Il comprend
la Dfinition de l'Audit Interne (l), le Code de Dontologie (2), les Normes (3) et d'autres
orientations. Les orientations lies la mise en uvre des Normes figurent dans les
Modalits Pratiques d'Application (MPAs), labores par The Professional Issues
Committee (Comit des Questions Professionnelles).
Le glossaire contient des termes qui sont utiliss dans des acceptions particulires au
sein des Normes.
L'laboration et la diffusion des Normes est un processus continu. The Internal Auditing
Standards Board mne une large consultation et concertation avant la publication des
(1) Traduction franaise approuve le 21 mars 2000 par le Conseil d'Administration de l'IFACI.
(2) Traduction franaise approuve le 27 fvrier 2001 par le Conseil d'Administration de l'IFACI.
(3) Normes pour la Pratique Professionnelle de l'Audit Interne.
JUIN 2004
4
INTRODUCTION
Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires
publics. Ils sont consultables sur le site internet de l'IIA et sont distribus tous les instituts
affilis. Des suggestions et commentaires peuvent tre adresss :
Institute of Internal Auditors

Global Practices Center, Professional Practices Group
247, Maitland Ave.
Altamonte Springs, Florida 32701
4201, USA
Courrier lectronique: standards@theiia.org
Site web : http://www.theiia.org
Les dernires mises jour des Normes ont t publies en dcembre 2003 et entreront
en vigueur au 1er janvier 2004.
Des orientations complmentaires relatives aux modalits d'application des Normes

figurent dans les Modalits Pratiques d'Application ( Practice Advisories ) publies par
The Professional Issues Committee .
JUIN 2004
5
NORMES DE QUALIFICATION
1000 Mission, pouvoirs et responsabilits

La mission, les pouvoirs et les responsabilits de l'audit interne doivent tre formellement
dfinis dans une charte, tre cohrents avec les Normes et dment approuvs par le
Conseil.
1000.A1 La nature des missions d'assurance ralises pour
l'organisation doit tre dfinie dans la Charte d'Audit. S'il est prvu
d'effectuer des missions d'assurance l'extrieur de l'organisation, leur
nature doit galement tre dfinie dans la Charte.
1000.C1 La nature des missions de conseil doit tre dfinie dans la
Charte d'Audit.
1100 Indpendance et objectivit

L'audit interne doit tre indpendant et les auditeurs internes doivent effectuer leur tra-
vail avec objectivit.
1110 Indpendance dans l'organisation

Le responsable de l'audit interne doit relever d'un niveau hirarchique permettant
aux auditeurs internes d'exercer leurs responsabilits.
1110.A1 L'audit interne ne doit subir aucune ingrence lors de la dfi-
nition de son champ d'intervention, de la ralisation du travail et de la
communication des rsultats.
1120 Objectivit individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dpourvue de pr-
jugs, et viter les conflits d'intrts.
1130 Atteintes l'indpendance et l'objectivit

Si l'objectivit ou l'indpendance des auditeurs internes sont compromises dans
les faits ou mme en apparence, les parties concernes doivent en tre informes
de manire prcise. La forme de cette communication dpendra de la nature de
l'atteinte l'indpendance.
JUIN 2004
9
1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des opra-

tions particulires dont ils ont t auparavant responsables. L'objectivit
d'un auditeur interne est prsume altre lorsqu'il ralise une mission
d'assurance pour une activit dont il a eu la responsabilit au cours de
l'anne prcdente.
1130.A2 Les missions d'assurance concernant des fonctions dont le
responsable de l'audit a la charge doivent tre supervises par une
personne ne relevant pas de l'audit interne.
1130.C1 Les auditeurs internes peuvent tre amens raliser des mis-
sions de conseil lies des oprations dont ils ont t auparavant respon-
sables.
1130.C2 Si l'indpendance ou l'objectivit des auditeurs internes sont
susceptibles d'tre compromises lors des missions de conseil qui leur
sont proposes, ils doivent en informer le client donneur d'ordre avant de
les accepter.
1200 Comptence et conscience professionnelle

Les missions doivent tre remplies avec comptence et conscience professionnelle.
1210 Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les
autres comptences ncessaires l'exercice de leurs responsabilits individuelles.
L'audit interne doit possder ou acqurir collectivement les connaissances, le
savoir-faire et les autres comptences ncessaires l'exercice de ses responsabi-
lits.
1210.A1 Le responsable de l'audit interne doit obtenir l'avis et
l'assistance de personnes qualifies si les auditeurs internes ne poss-
dent pas les connaissances, le savoir-faire et les autres comptences
ncessaires pour s'acquitter de tout ou partie de leur mission.
1210.A2 L'auditeur interne doit possder des connaissances suffisantes
pour identifier les indices d'une fraude, mais il n'est pas cens possder
l'expertise d'une personne dont la responsabilit premire est la dtec-
tion et l'investigation des fraudes.
1210.A3 Les auditeurs internes doivent possder une bonne connais-
sance des principaux risques et contrles lis aux technologies de
l'information et des techniques d'audit informatises susceptibles d'tre
mises en uvre dans le cadre des travaux qui leur sont confis. Toutefois,
chaque auditeur interne n'est pas cens possder l'expertise d'un audi-
teur dont la responsabilit premire est l'audit informatique.
JUIN 2004
10
1210.C1 Le responsable de l'audit interne doit dcliner une mission de

conseil ou obtenir l'avis et l'assistance de personnes qualifies si l'quipe
d'audit interne ne possde pas les connaissances, le savoir-faire et les
autres comptences ncessaires pour s'acquitter de tout ou partie de la
mission.
1220 Conscience professionnelle

Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire
que l'on peut attendre d'un auditeur interne raisonnablement averti et comptent.
La conscience professionnelle n'implique pas l'infaillibilit.
1220.A1 L'auditeur interne doit apporter tout le soin ncessaire sa
pratique professionnelle en prenant en considration les lments sui-
vants :
l'tendue du travail ncessaire pour atteindre les objectifs de la mission ;
la complexit relative, la matrialit ou le caractre significatif des
domaines auxquels sont appliques les procdures propres aux mis-
sions d'assurance ;
la pertinence et l'efficacit des processus de management des risques,
de contrle et de gouvernement d'entreprise ;
la probabilit d'erreurs, d'irrgularits ou de non-conformits significa-
tives ;
le cot de la mise en place des contrles par rapport aux avantages
escompts.
1220.A2 Pour remplir ses fonctions avec conscience professionnelle,
l'auditeur interne doit envisager l'utilisation d'outils d'audit informa-
tiques et d'autres techniques informatises d'analyse des donnes.
1220.A3 L'auditeur interne doit exercer une vigilance particulire
l'gard des risques significatifs susceptibles d'affecter les objectifs, les
oprations ou les ressources. Toutefois, les procdures d'audit seules,
mme lorsqu'elles sont menes avec la conscience professionnelle requise,
ne garantissent pas que tous les risques significatifs seront dtects.
1220.C1 L'auditeur interne doit apporter une mission de conseil toute
sa conscience professionnelle, en prenant en considration les lments
suivants :
Les besoins et attentes des clients, y compris sur la nature, le calen-
drier et la communication des rsultats de la mission.
La complexit de celle-ci, et l'tendue du travail ncessaire pour
atteindre les objectifs fixs.
Son cot par rapport aux avantages escompts.
JUIN 2004
11
1230 Formation professionnelle continue

Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire et autres
comptences par une formation professionnelle continue.
1300 Programme d'assurance et d'amlioration qualit
Le responsable de l'audit interne doit laborer et tenir jour un programme d'assurance
et d'amlioration qualit portant sur tous les aspects de l'audit interne et permettant un
contrle continu de son efficacit. Ce programme inclut la ralisation priodique
d'valuations internes et externes de la qualit ainsi qu'un suivi interne continu. Chaque
partie du programme doit tre conue dans un double but : aider l'audit interne appor-
ter une valeur ajoute aux oprations de l'organisation et les amliorer, et garantir qu'il
est men en conformit avec les Normes et le Code de Dontologie.
1310 valuations du programme qualit
L'audit interne ncessite l'adoption d'un processus permettant de surveiller et
d'valuer l'efficacit globale du programme qualit. Ce processus doit comporter
des valuations tant internes qu'externes.
1311 valuations internes
Les valuations internes doivent comporter :
des contrles continus du fonctionnement de l'audit interne ;
des contrles priodiques, effectus par auto-valuation ou par d'autres
personnes de l'organisation connaissant les pratiques d'audit interne et
les Normes.
1312 valuations externes
Des valuations externes doivent tre ralises au moins tous les cinq
ans par un valuateur ou une quipe qualifis et indpendants extrieurs
l'organisation. Le responsable de l'audit interne doit s'entretenir avec
le Conseil au sujet du besoin ventuel d'augmenter la frquence de ces
valuations externes, ainsi que des qualifications et de l'indpendance
de l'valuateur ou de l'quipe d'valuation externes ; en particulier, tout
conflit d'intrt potentiel doit tre examin. Ces discussions doivent
aussi porter sur l'adquation de l'exprience de l'valuateur ou de
l'quipe d'valuation la taille, la complexit et au secteur d'activit
de l'organisation.
1320 Rapports relatifs au programme qualit
Le responsable de l'audit interne doit communiquer au Conseil les rsultats des
valuations externes.
1330 Utilisation de la mention Conduit conformment aux Normes
Les auditeurs internes sont encourags indiquer dans leurs rapports que leurs
activits sont conduites conformment aux Normes pour la pratique profes-
sionnelle de l'audit interne . Toutefois, ils ne peuvent utiliser cette mention que
SEPTEMBRE 2006
12
si les valuations du programme d'amlioration qualit dmontrent que l'audit

interne fonctionne conformment aux Normes.
1340 Indication de non-conformit

L'audit interne doit tre exerc dans le parfait respect des Normes et les audi-
teurs doivent se conformer au Code de Dontologie ; toutefois, il peut arriver que
cette pleine conformit ne soit pas ralise. Lorsque la non-conformit a une inci-
dence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, la
Direction Gnrale et le Conseil doivent en tre informs.
JUIN 2004
13
NORMES DE FONCTIONNEMENT
2000 Gestion de l'audit interne

Le responsable de l'audit interne doit grer cette activit de faon garantir qu'elle
apporte une valeur ajoute l'organisation.
2010 Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les
risques afin de dfinir les priorits cohrentes avec les objectifs de l'organisation.
2010.A1 Le plan des missions d'audit interne doit s'appuyer sur une
valuation des risques ralise au moins une fois par an et tenir compte
du point de vue de la Direction Gnrale et du Conseil.
2010.C1 Lorsqu'on lui propose une mission de conseil, le responsable
de l'audit interne, avant de l'accepter, doit considrer dans quelle mesure
elle est susceptible de crer de la valeur ajoute, d'amliorer le manage-
ment des risques et le fonctionnement de l'organisation. Les missions de
conseil qui ont t acceptes doivent tre intgres dans le plan d'audit.
2020 Communication et approbation

Le responsable de l'audit interne doit communiquer la Direction Gnrale et au
Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que
tout changement important susceptible d'intervenir en cours d'exercice. Le
responsable de l'audit interne doit galement signaler l'impact de toute limitation
de ses ressources.
2030 Gestion des ressources

Le responsable de l'audit interne doit veiller ce que les ressources affectes
cette activit soient adquates, suffisantes et mises en uvre de manire efficace
pour raliser le plan d'audit approuv.
2040 Rgles et procdures

Le responsable de l'audit interne doit tablir des rgles et procdures fournissant
un cadre l'activit d'audit interne.
JUIN 2004
17
2050 Coordination
Le responsable de l'audit interne doit partager les informations et coordonner les
activits avec les autres prestataires internes et externes de services d'assurance
et de conseil, de manire assurer une couverture adquate des travaux et
viter dans toute la mesure du possible les doubles emplois.
2060 Rapports au Conseil et la Direction Gnrale

Le responsable de l'audit interne doit rendre compte priodiquement la
Direction Gnrale et au Conseil des missions, des pouvoirs et des responsabi-
lits de l'audit interne, ainsi que des rsultats obtenus par rapport au plan
d'audit prvu. Ces rapports doivent galement porter sur les risques importants,
sur le contrle et le gouvernement d'entreprise, ainsi que sur d'autres sujets dont
le Conseil et la Direction Gnrale ont besoin ou ont demand l'examen.
2100 Nature du travail

L'audit interne doit valuer les processus de management des risques, de contrle et de
gouvernement d'entreprise et contribuer leur amlioration sur la base d'une approche
systmatique et mthodique.
2110 Management des risques

L'audit interne doit aider l'organisation en identifiant et en valuant les risques
significatifs et contribuer l'amlioration des systmes de management des
risques et de contrle.
2110.A1 L'audit interne doit surveiller et valuer l'efficacit du systme
de management des risques de l'organisation.
2110.A2 L'audit interne doit valuer les risques affrents au gouverne-
ment d'entreprise, aux oprations et aux systmes d'information de
l'organisation au regard :
de la fiabilit et l'intgrit des informations financires et opration-
nelles ;
de l'efficacit et l'efficience des oprations ;
de la protection du patrimoine ;
du respect des lois, rglements et contrats.
2110.C1 Au cours des missions de conseil, les auditeurs internes consi-
drent l'ensemble des risques rencontrs, y compris ceux qui n'entrent
pas dans le primtre de la mission, dans la mesure o ils sont signifi-
catifs.
JUIN 2004
18
2110.C2 Les auditeurs internes doivent intgrer dans le processus

d'identification et d'valuation des risques significatifs de l'organisation
les risques rvls lors de missions de conseil.
2120 Contrle
L'audit interne doit aider l'organisation maintenir un dispositif de contrle
appropri en valuant son efficacit et son efficience et en encourageant son
amlioration continue.
2120.A1 Sur la base des rsultats de l'valuation des risques, l'audit
interne doit valuer la pertinence et l'efficacit du dispositif de contrle
portant sur le gouvernement d'entreprise, les oprations et les systmes
d'information de l'organisation. Cette valuation doit porter sur les
aspects suivants :
la fiabilit et l'intgrit des informations financires et oprationnelles ;
l'efficacit et l'efficience des oprations ;
la protection du patrimoine ;
le respect des lois, rglements et contrats.
2120.A2 Les auditeurs internes doivent dterminer dans quelle mesure
des buts et objectifs concernant les oprations et les projets ont t dfinis
et si ces buts et objectifs sont conformes ceux de l'organisation.
2120.A3 Les auditeurs internes doivent passer en revue les oprations
et les projets afin de dterminer dans quelle mesure les rsultats suivent
les buts et objectifs tablis et si ces oprations et projets sont mis en
uvre ou raliss comme prvu.
2120.A4 Des critres adquats sont ncessaires pour valuer le dispo-
sitif de contrle. Les auditeurs internes doivent dterminer dans quelle
mesure le management a dfini des critres adquats pour apprcier si
les objectifs et les buts ont t atteints. Si ces critres sont adquats, les
auditeurs internes doivent les utiliser dans leur valuation. S'ils sont
inadquats, les auditeurs internes doivent travailler avec le management
pour laborer des critres d'valuation appropris.
2120.C1 Au cours des missions de conseil, les auditeurs internes
examinent le processus de contrle interne en accord avec les objectifs
de la mission et sont attentifs l'existence de toute faiblesse de contrle
significative.
2120.C2 Les auditeurs internes doivent prendre en compte dans le pro-
cessus d'identification et d'valuation des risques significatifs de
l'organisation le dispositif de contrle interne dont ils ont eu connais-
sance lors de leurs missions de conseil.
JUIN 2004
19
2130 Gouvernement d'entreprise

L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler
les recommandations appropries en vue de son amlioration. cet effet, il dter-
mine si le processus rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries au sein de
l'organisation ;
garantir une gestion efficace des performances de l'organisation, assortie d'une
obligation de rendre compte ;
bien communiquer aux services concerns au sein de l'organisation les infor-
mations relatives aux risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes
et au management, et assurer une coordination efficace de leurs activits.
2130.A1 L'audit interne doit valuer la conception, la mise en uvre et
l'efficacit des objectifs, des programmes et des activits de
l'organisation lis l'thique.
2130.C1 Les objectifs de la mission de conseil doivent tre en coh-
rence avec les valeurs et objectifs gnraux de l'organisation.
2200 Planification de la mission

Les auditeurs internes doivent concevoir et formaliser un programme pour chaque
mission. Ce programme prcise le champ d'intervention, les objectifs, la date et la dure
de la mission, ainsi que les ressources alloues.
2201 Considrations relatives la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en
compte :
les objectifs de l'activit soumise l'audit et la manire dont elle est matrise ;
les risques significatifs lis l'activit, ses objectifs, les ressources mises en
uvre et ses tches oprationnelles, ainsi que les moyens par lesquels l'impact
potentiel du risque est maintenu un niveau acceptable ;
la pertinence et l'efficacit des systmes de management des risques et de
contrle de l'activit, en rfrence un cadre ou modle de contrle appropris ;
les opportunits d'amliorer de manire significative les systmes de manage-
ment des risques et de contrle de l'activit.
2201.A1 Lorsqu'ils planifient une mission pour des tiers extrieurs
l'organisation, les auditeurs internes doivent laborer avec eux un accord
JUIN 2004
20
crit sur les objectifs et le champ de la mission, les responsabilits et les

attentes respectives, et prciser les restrictions observer en matire de
diffusion des rsultats de la mission et d'accs aux dossiers.
2201.C1 Les auditeurs internes doivent tablir avec le client donneur
d'ordre un accord sur les objectifs et le champ de la mission de conseil,
les responsabilits de chacun et plus gnralement sur les attentes du
client donneur d'ordre. Pour les missions importantes, cet accord doit
tre formalis.
2210 Objectifs de la mission

Les objectifs doivent tre prciss pour chaque mission.
2210.A1 L'auditeur interne doit procder une valuation prliminaire
des risques lis l'activit soumise l'audit. Les objectifs de la mission
doivent tre dtermins en fonction des rsultats de cette valuation.
2210.A2 En dtaillant les objectifs de la mission, l'auditeur interne doit
tenir compte de la probabilit qu'il existe des erreurs, irrgularits, cas
de non-conformit et autres risques importants.
2210.C1 Les objectifs d'une mission de conseil doivent porter sur les
processus de management des risques, de contrle et de gouvernement
d'entreprise dans la limite convenue avec le client.
2220 Champ de la mission

Le champ doit tre suffisant pour rpondre aux objectifs de la mission.
2220.A1 Le champ de la mission doit couvrir les systmes, les docu-
ments, le personnel et les biens concerns, y compris ceux qui se trou-
vent sous le contrle de tiers.
2220.A2 Lorsqu'au cours d'une mission d'assurance apparaissent
d'importantes opportunits en termes de conseil, il convient de rdiger
un accord spcifique prcisant les objectifs et le champ de la mission de
conseil, les responsabilits et les attentes respectives. Les rsultats de la
mission de conseil doivent tre communiqus conformment aux normes
applicables ces missions.
2220.C1 Quand ils effectuent une mission de conseil, les auditeurs
internes doivent s'assurer que le champ d'intervention permet de rpondre
aux objectifs convenus. Si, en cours de mission, ils mettent des rserves
sur ce primtre, ils doivent en discuter avec le client donneur d'ordre
afin de dcider s'il y a lieu de poursuivre la mission.
JUIN 2004
21
2230 Ressources affectes la mission

Les auditeurs internes doivent dterminer les ressources appropries pour atteindre
les objectifs de la mission. La composition de l'quipe doit s'appuyer sur une
valuation de la nature et de la complexit de chaque mission, des contraintes
de temps et des ressources disponibles.
2240 Programme de travail de la mission

Les auditeurs internes doivent laborer un programme de travail permettant
d'atteindre les objectifs de la mission. Ce programme de travail doit tre formalis.
2240.A1 Le programme de travail doit dfinir les procdures appli-
quer pour trouver, analyser, valuer et documenter les informations lors
de la mission. Le programme de travail doit tre approuv avant sa mise
en uvre. Les ajustements ventuels doivent tre approuvs rapidement.
2240.C1 Le programme de travail d'une mission de conseil peut varier,
dans sa forme et son contenu, selon la nature de la mission.
2300 Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, valuer et documenter les informations
ncessaires pour atteindre les objectifs de la mission.
2310 Identification des informations

Les auditeurs internes doivent identifier les informations ncessaires, fiables,
pertinentes et utiles pour atteindre les objectifs de la mission.
2320 Analyse et valuation

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur
mission sur des analyses et valuations appropries.
2330 Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour
tayer les conclusions et les rsultats de la mission.
2330.A1 Le responsable de l'audit interne doit contrler l'accs aux
dossiers de la mission. Il doit, si ncessaire, obtenir l'accord de la
Direction Gnrale et/ou l'avis d'un juriste avant de communiquer ces
dossiers des parties extrieures.
2330.A2 Le responsable de l'audit interne doit arrter des rgles en
matire de conservation des dossiers de la mission. Ces rgles doivent
tre cohrentes avec les orientations dfinies par l'organisation et avec
toute exigence rglementaire ou autre.
JUIN 2004
22
2330.C1 Le responsable de l'audit interne doit dfinir des procdures

concernant la protection et la conservation des dossiers de la mission de
conseil ainsi que leur diffusion l'intrieur et l'extrieur de
l'organisation. Ces procdures doivent tre cohrentes avec les orienta-
tions dfinies par l'organisation et avec toute exigence rglementaire ou
autre approprie.
2340 Supervision de la mission

Les missions doivent faire l'objet d'une supervision approprie afin de garantir
que les objectifs sont atteints, la qualit assure et le dveloppement profes-
sionnel du personnel effectu.
2400 Communication des rsultats

Les auditeurs internes doivent communiquer les rsultats de la mission.
2410 Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que
les conclusions, recommandations et plans d'actions.
2410.A1 La communication finale des rsultats de la mission doit, lors-
qu'il y a lieu, contenir l'opinion globale de l'auditeur interne et/ou ses
conclusions.
2410.A2 Les auditeurs internes sont encourags faire tat des forces
releves lors de la communication des rsultats de la mission.
2410.A3 Lorsque les rsultats de la mission sont communiqus des
destinataires ne faisant pas partie de l'organisation, les documents
communiqus doivent prciser les restrictions observer en matire de
diffusion et d'exploitation des rsultats.
2410.C1 La communication sur l'avancement et les rsultats d'une mis-
sion de conseil variera dans sa forme et son contenu en fonction de la
nature de la mission et des besoins du client donneur d'ordre.
2420 Qualit de la communication

La communication doit tre exacte, objective, claire, concise, constructive,
complte et mise en temps utile.
2421 Erreurs et omissions
Si une communication finale contient une erreur ou une omission impor-
tante, le responsable de l'audit interne doit faire parvenir les informa-
tions corriges tous les destinataires de la version initiale.
JUIN 2004
23
2430 Indication de non-conformit aux Normes

Lorsqu'une mission donne n'a pas t conduite conformment aux Normes, la
communication des rsultats doit indiquer :
la ou les Normes qui n'ont pas t entirement respectes,
la ou les raisons de la non-conformit, et
l'incidence de la non-conformit sur la mission.
2440 Diffusion des rsultats

Le responsable de l'audit interne doit diffuser les rsultats aux destinataires
appropris.
2440.A1 Le responsable de l'audit interne est charg de communiquer
les rsultats dfinitifs aux destinataires mme de garantir que ces
rsultats recevront l'attention ncessaire.
2440.A2 Sauf indication contraire de la loi, de la rglementation ou des
statuts, le responsable de l'audit doit accomplir les tches suivantes
avant de diffuser les rsultats des destinataires ne faisant pas partie de
l'organisation :
valuer les risques potentiels pour l'organisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diffusion en imposant des restrictions quant l'utilisation
des rsultats.
2440.C1 Le responsable de l'audit interne est charg de communiquer les
rsultats dfinitifs des missions de conseil son client donneur d'ordre.
2440.C2 Au cours des missions de conseil, il peut arriver que des
problmes relatifs aux processus de management des risques, de contrle
et de gouvernement d'entreprise soient identifis. Chaque fois que ces
problmes sont significatifs pour l'organisation, ils doivent tre commu-
niqus la Direction Gnrale et au Conseil.
2500 Surveillance des actions de progrs

Le responsable de l'audit interne doit mettre en place et tenir jour un systme permet-
tant de surveiller la suite donne aux rsultats communiqus au management.
2500.A1 Le responsable de l'audit interne doit mettre en place un
processus de suivi permettant de surveiller et de garantir que des mesures
ont t effectivement mises en uvre par le management ou que la
Direction Gnrale a accept de prendre le risque de ne rien faire.
JUIN 2004
24
2500.C1 L'audit interne doit surveiller la suite donne aux rsultats des
missions de conseil conformment l'accord pass avec le client
donneur d'ordre.
2600 Acceptation des risques par la Direction Gnrale

Lorsque le responsable de l'audit interne estime que la Direction Gnrale a accept un
niveau de risque rsiduel qui pourrait s'avrer inacceptable pour l'organisation, il doit
examiner la question avec elle. S'ils ne peuvent arrter une dcision concernant le risque
rsiduel, ils doivent soumettre la question au Conseil aux fins de rsolution.
JUIN 2004
25
GLOSSAIRE
GLOSSAIRE
Activits d'assurance II s'agit d'un examen objectif d'lments probants, effectu en vue
de fournir l'organisation une valuation indpendante des processus de management
des risques, de contrle ou de gouvernement d'entreprise. Par exemple, des audits finan-
ciers, oprationnels, de conformit, de scurit des systmes et de due diligence.
Activit d'audit interne Assure par un service, une division, une quipe de consultants
ou tout autre praticien, c'est une activit indpendante et objective qui donne une orga-
nisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils
pour les amliorer, et contribue crer de la valeur ajoute. L'activit d'audit interne aide
cette organisation atteindre ses objectifs en valuant, par une approche systmatique
et mthodique, ses processus de management des risques, de contrle, et de gouverne-
ment d'entreprise, et en faisant des propositions pour renforcer leur efficacit.
Activits de conseil Conseils et services y affrents rendus au client donneur d'ordre,
dont la nature et le champ sont convenus au pralable avec lui. Ces activits ont pour
objectifs de crer de la valeur ajoute et d'amliorer les processus de gouvernement
d'entreprise, de management des risques et de contrle d'une organisation sans que
l'auditeur interne n'assume aucune responsabilit de management. Quelques exemples :
avis, conseil, assistance et formation.
Atteintes Parmi les atteintes l'objectivit individuelle et l'indpendance dans
l'organisation peuvent figurer les conflits d'intrts personnels, les limitations du champ
d'un audit, les restrictions d'accs aux dossiers, aux biens et au personnel, ainsi que les
limitations de ressources.
Charte La charte de l'audit interne est un document officiel qui dfinit la mission, les
pouvoirs et les responsabilits de cette activit. La charte doit (a) dfinir la position de
l'audit interne dans l'organisation ; (b) autoriser l'accs aux documents, aux biens et aux
personnes ncessaires la bonne ralisation des missions ; (c) dfinir le champ des acti-
vits d'audit interne.
Code de Dontologie Le Code de Dontologie de l'Institut comprend les principes appli-
cables la profession et la pratique de l'audit interne, ainsi que les rgles de conduite
dcrivant le comportement attendu des auditeurs internes. Le Code de Dontologie
s'applique la fois aux personnes et aux organismes qui fournissent des services d'audit
interne. Il a pour but de promouvoir une culture de l'thique au sein de la profession
d'audit interne.
JUIN 2004
29
GLOSSAIRE
Conflit d'intrts Toute relation qui n'est pas ou ne semble pas tre dans l'intrt de
l'organisation. Un conflit d'intrts peut nuire la capacit d'une personne assumer de
faon objective ses devoirs et responsabilits.
Conformit L'observation et le respect des politiques, plans, procdures, lois, rgle-

ments, contrats ou autres exigences.
Conseil Le conseil est l'organe de direction d'une organisation. Il peut s'agir d'un conseil
d'administration, d'un conseil de surveillance, de leur comit d'audit, de l'instance diri-
geante d'un organisme public ou d'une association ou de tout autre organe auquel le
responsable de l'audit interne est rattach sur le plan fonctionnel.
Contrle Toute mesure prise par le management, le Conseil et d'autres parties afin de
grer les risques et d'accrotre la probabilit que les buts et objectifs fixs seront atteints.
Les managers planifient, organisent et dirigent la mise en uvre de mesures suffisantes
pour donner une assurance raisonnable que les buts et objectifs seront atteints.
Contrle satisfaisant C'est le cas lorsque le management s'est organis de manire

apporter une assurance raisonnable que les risques que court l'organisation ont t grs
efficacement et que les buts et objectifs de l'organisation seront atteints d'une manire
efficace et conomique.
Doit Traduction de should , il implique une obligation induite par les Normes.
Environnement de contrle L'attitude et les actions du Conseil et du management au

regard de l'importance du contrle dans l'organisation. L'environnement de contrle
constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du
systme de contrle interne. L'environnement de contrle englobe les lments suivants :
intgrit et valeurs thiques,
philosophie et style de direction,
structure organisationnelle,
attribution des pouvoirs et responsabilits,
politiques et pratiques relatives aux ressources humaines,
comptence du personnel.
Fraude Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de

la confiance. Les fraudes sont perptres par des personnes et des organisations afin
d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage personnel ou
commercial.
Gouvernement d'entreprise Le dispositif comprenant les processus et les structures mis

en place par le Conseil afin d'informer, de diriger, de grer et de piloter les activits de
l'organisation en vue de raliser ses objectifs.
JUIN 2004
30
GLOSSAIRE
Indpendance Le fait de n'tre expos aucune situation susceptible d'altrer

l'objectivit, en ralit ou en apparence. Cette situation doit tre gre au niveau de
l'auditeur individuel et de la mission, ainsi qu'au niveau de la fonction et de
l'organisation.
Management des risques Processus visant identifier, valuer, grer et piloter les v-
nements ventuels et les situations pour fournir une assurance raisonnable quant la
ralisation des objectifs de l'organisation.
Mission Une mission, tche ou activit de rvision particulires telles qu'un audit interne,
une auto-valuation de contrle, l'investigation d'une fraude ou une mission de conseil.
Une mission peut englober de multiples tches ou activits menes pour atteindre un
ensemble dtermin d'objectifs qui s'y rapportent.
Norme Document d'ordre professionnel promulgu par the Internal Auditing Standards
Board (Comit interne l'IIA charg d'laborer les Normes) afin de dfinir les rgles
applicables un large ventail d'activits d'audit interne et utilisables pour
l'valuation de ses performances.
Objectifs de la mission Enoncs gnraux labors par les auditeurs internes et dfinis-
sant ce qu'il est prvu de raliser pendant la mission.
Objectivit Attitude intellectuelle impartiale qui permet une indpendance d'esprit et de
jugement et implique que les auditeurs internes ne subordonnent pas leur propre juge-
ment celui d'autres personnes. Leurs apprciations doivent tre fondes sur les faits ou
preuves indiscutables et s'appuyer sur des travaux incontestables exempts de tout prjug.
Prestataire de services extrieur Une personne ou entreprise, extrieure l'organisation,
qui possde des connaissances, un savoir-faire et une exprience particulires dans une
discipline donne.
Processus de contrle Les politiques, procdures et activits faisant partie d'un cadre
de contrle, conues pour assurer que les risques sont contenus dans les limites de tol-
rance fixes par le processus de management des risques.
Programme de travail de la mission Un document numrant les procdures suivre en
vue de la ralisation de la mission.
Responsable de l'audit interne Le poste de plus haut niveau au sein de l'organisation
responsable des activits d'audit interne. En principe, dans une activit d'audit interne
organise de manire classique, ce serait le Directeur de l'audit interne. Dans le cas o
les activits d'audit interne sont confies des prestataires de services extrieurs, le
responsable de l'audit interne est la personne charge de surveiller l'excution du contrat
de services et l'assurance de la qualit d'ensemble de ces activits, et qui rend compte
la Direction Gnrale et au Conseil des activits d'audit interne et du suivi des rsul-
tats des missions. Ce poste peut galement porter le titre d'auditeur gnral, de chef de
JUIN 2004
31
GLOSSAIRE
l'audit interne ou d'inspecteur gnral.
Risque Possibilit que se produise un vnement qui aura un impact sur la ralisation
des objectifs. Le risque se mesure en termes de consquences et de probabilit.
Risques rsiduels Les risques qui subsistent aprs les mesures prises par le manage-
ment pour rduire l'impact et la probabilit d'occurrence d'un vnement dfavorable et,
notamment, aprs les dispositifs de contrle mis en place en rponse un risque.
Valeur ajoute Les missions d'assurance comme de conseil apportent de la valeur ajoute
en augmentant les chances de raliser les objectifs de l'organisation, en identifiant les
amliorations possibles sur le plan oprationnel, et/ou en rduisant l'exposition aux
risques.
Remerciements
The Institute of Internal Auditors (IIA) exprime toute sa reconnaissance aux instances
publiques et professionnelles, aux auditeurs internes et externes, aux dirigeants, aux
administrateurs et aux universitaires qui l'ont conseill et assist dans l'laboration et
l'interprtation des Normes. L'IIA doit beaucoup toutes celles et tous ceux qui sont
intervenus au fil des ans dans le cadre du Internal Auditing Standards Board et de ses
sous-comits.
JUIN 2004
32
Modalits pratiques
dapplication
LES MODALITS PRATIQUES DAPPLICATION
Pages
Tableau de correspondance ...................................................... 19
Tableau rcapitulatif des mises jour .......................................... 1 16
MPA 1000 Missions, pouvoirs et responsabilits ........................... 1 21
MPA 1100 Indpendance et objectivit ..................................... 1 17
MPA 1200 Comptence et consciences professionnelle ................... 1 17
MPA 1300 Programme dassurance et damlioration qualit ............ 1 21
MPA 2000 Gestion de laudit interne ........................................ 1 38
MPA 2100 Nature du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 71
MPA 2200 Planification de la mission ....................................... 1 12
MPA 2300 Accomplissement de la mission ................................. 1 17
MPA 2400 Communication des rsultats .................................... 1 22
MPA 2500 Surveillance des actions de progrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
MPA 2600 Acceptation des risques par la direction gnrale ............ 14
SEPTEMBRE 2006
TABLEAU DE CORRESPONDANCE
NORMES/MODALITS PRATIQUES DAPPLICATION
Normes Normes de Modalits pratiques

de qualification mise en uvre dapplication (MPA)
1000 Missions, pouvoirs et 1000-1

responsabilits Charte d'audit interne
1000.A1
1000.C1 1000.C1-1
Principes directeurs de la ralisation
des missions de conseil des auditeurs internes
1000.C1-2
Proccupation supplmentaire pour
les missions de conseil formelles
1000.C1-3
Points supplmentaires pour les missions
de conseil dans des organismes publics
1100 Indpendance 1100-1
et objectivit Indpendance et objectivit
1110 Indpendance 1110-1
dans l'organisation Indpendance dans l'organisation
1110-2
Rattachement du responsable de l'audit interne
1110.A1 1110.A1-1
Justification des demandes d'information
1120 Objectivit individuelle 1120-1
Objectivit individuelle
1130 Atteintes l'indpendance 1130-1
et l'objectivit Atteintes l'indpendance et l'objectivit
1130.A1 1130.A1-1
Audit des oprations dont les auditeurs
internes ont t auparavant responsables
1130.A1-2
Responsabilits exerces par l'audit interne
au titre d'autres fonctions
1130.A2
1130.C1
1130.C2
SEPTEMBRE 2006
3

de qualification mise en uvre dapplication (MPA)
1200 Comptence et 1200-1

conscience professionnelle Comptence et conscience professionnelle
1210 Comptence 1210-1
Comptence
1210.A1 1210.A1-1
Recours des prestataires de services externes
1210.A2 1210.A2-1
Responsabilits de l'auditeur interne en matire
de prvention, de dtection et d'valuation des
risques
1210.A2-2
Responsabilits de l'auditeur interne en matire
d'enqutes, de prsentation de rapports, de
rsolution de problmes et de communication
relatives la fraude
1210.A3
1210.C1
1220 Conscience 1220-1
professionnelle Conscience professionnelle
1220-2
Outils daudit assists par ordinateur
1220.A1
1220.A2
1220.A3
1220.C1
1230 Formation professionnelle 1230-1
continue Formation professionnelle continue
1300 Programme d'assurance 1300-1
et d'amlioration qualit Programme d'assurance et d'amlioration qualit
1310 valuations du programme 1310-1
qualit valuations du programme qualit
1311 valuations internes 1311-1
valuations internes
1311-2
Mise en place dindicateurs (valuations
quantitatives et qualitatives) lappui des
contrles de la performance de lactivit
daudit interne
1312 valuations externes 1312-1 (*)
valuations externes
(*) La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
SEPTEMBRE 2006
4

de fonctionnement mise en uvre dapplication (MPA)
1312-2 (*)
valuations externes : auto-valuation avec
validation indpendante des rsultats
1312-3
Certification des directions daudit interne
1320 Rapports relatifs 1320-1
au programme qualit Rapports relatifs au programme qualit
1330 Utilisation de la mention 1330-1 (*)
Conduit conformment aux Audits effectus conformment aux Normes
Normes 1330-2
Audits : effectus conformment aux Normes
1340 Indication
de non conformit
2000 Gestion de l'audit interne 2000-1
Gestion de l'audit interne
2010 Planification 2010-1
Planification
2010-2
La prise en compte des risques
pour l'laboration du plan d'audit
2010.A1
2010.C1
2020 Communication 2020-1
et approbation Communication et approbation
2030 Gestion des ressources 2030-1
Gestion des ressources
2030-3
Les exigences franaises en matire
d'indpendance des commissaires aux comptes
2040 Rgles et procdures 2040-1
Rgles et procdures
2050 Coordination 2050-1
Coordination
2050-2 (*)
Acquisition de services d'audit externe
2050-3
Acquisition de services proposs
par les cabinets daudit externe
SEPTEMBRE 2006
5

2060 Rapports au Conseil et 2060-1
la direction gnrale Rapports au Conseil et la direction gnrale
2060-2
Relations avec le comit daudit
2100 Nature du travail 2100-1
Nature du travail
2100-2
Scurit de l'information
2100-3
Le rle de l'audit interne dans le processus
de management des risques
2100-4
Le rle de l'audit interne en l'absence
de processus de management des risques
2100-5
valuation des programmes de compliance
(conformit aux rglementations)
aspects juridiques
2100-6
Le commerce lectronique : un impact
sur les contrles et sur laudit
2100-7
Le rle de laudit interne dans lidentification
et le reporting des risques environnementaux
2100-8
Lvaluation du dispositif mis en place par
lorganisation pour protger la vie prive :
rle de lauditeur
2100-9
Revue des systmes d'application
2100-10
Vrification par sondage
2100-11
Impact des contrles de pilotage des systmes
d'information
2100-12
Externalisation des activits relatives aux
systmes d'information
2100-13
Incidence des prestataires sur les contrles
informatiques d'une organisation
2100-14
Preuves d'audit rassembler
SEPTEMBRE 2006
6

2110 Management des risques 2110-1

valuer le processus de management des risques
2110.A1
2110.A2 2110-2
Le rle de laudit interne dans le processus
de continuit des oprations
2110.C1
2110.C2
2120 Contrle 2120.A1 2120.A1-1
valuer les processus de contrle interne et en
rendre compte
2120.A1-2
Utiliser l'auto-valuation des contrles pour
valuer la pertinence des processus de contrle
2120.A1-3
Le rle de l'audit interne en matire de reporting
financier, de publication des informations et de
certification par les dirigeants
2120.A1-4
Audit du processus de reporting financier
2120.A2
2120.A3
2120.A4 2120.A4-1
Critres de contrle
2120.C1
2120.C2
2130 Gouvernement 2130.A1 2130-1
d'entreprise Le rle de l'audit interne et de l'auditeur interne
en terme de culture thique
2130.C1
2200 Planification de 2200-1
la mission Considrations relatives la planification
2201 Considrations relatives 2201.A1
la planification 2201.C1
2210 Objectifs de la mission 2210-1
Objectifs de la mission
2210.A1 2210.A1-1
valuation des risques dans la planification
de la mission
2210.A2
2210.C1
SEPTEMBRE 2006
7

2220 Champ de la mission
2220.A1
2220.A2
2220.C1
2230 Ressources affectes 2230-1
la mission Ressources affectes la mission
2240 Programme de travail 2240-1
de la mission Programme de travail de la mission
2240.A1 2240.A1-1
Approbation des programmes de travail
2240.C1
2300 Accomplissement 2300-1

de la mission L'utilisation d'informations caractre personnel
par l'auditeur interne dans le cadre des audits
2310 Identification 2310-1
des informations Identification des informations
2320 Analyse et valuation 2320-1
Analyse et valuation
2330 Documentation 2330-1
des informations Documentation des informations
2330.A1 2330.A1-1
Contrle des dossiers d'audit
2330.A1-2
Accs aux dossiers d'audit aspects juridiques
2330.A2 2330.A2-1
Conservation des dossiers
2330.C1
2340 Supervision de 2340-1
la mission Supervision de la mission
2400 Communication 2400-1

des rsultats Communication des rsultats aspects juridiques
2410 Contenu de 2410-1
la communication Contenu de la communication
2410.A1
2410.A2
2410.A3
2410.C1
2420 Qualit de 2420-1
la communication Qualit de la communication
SEPTEMBRE 2006
8

2430 Indications de
non conformit aux normes
2440 Diffusion des rsultats 2440-1
Destinataires des rsultats de la mission
2440-2
Diffusion des rsultats l'extrieur de
l'organisation
2440-3
La communication d'informations sensibles
par la voie hirarchique ou en marge de celle-ci
2440.A1
2440.A2
2440.C1
2440.C2
2500 Surveillance des actions 2500-1
de progrs Surveillance des actions de progrs
2500.A1 2500.A1-1
Processus de suivi de la mission
2500.C1
2600 Acceptation des risques 2600-1
par la Direction Gnrale Acceptation des risques par la Direction Gnrale
Ce tableau le met en exergue : toutes les normes ne sont pas accompagnes de MPA. Dans les
pages suivantes, nous navons repris que les normes associes des MPAs. Pour avoir le texte
complet des normes, nous vous invitons vous reporter la partie III du prsent ouvrage.
SEPTEMBRE 2006
9
TABLEAU RCAPITULATIF
DES MISES JOUR
TABLEAU RCAPITULATIF DES MISES JOUR 2004-2006
RELATIVES AUX MPAs SRIE 1000
La formulation Les Normes pour la Pratique Professionnelle de lAudit Interne a t
remplace dans lensemble des MPAs par les Normes Internationales pour la Pratique
Professionnelle de lAudit Interne (les Normes ) .
Modalits pratiques Date de mise

volutions/Commentaires
dapplication jour
MPA 1000-1 : Charte Avril 2004 Paragraphe 1 : Le responsable de laudit

daudit interne interne doit chercher obtenir lapprobation
de la charte par la direction gnrale ainsi
que son acceptation par le Conseil .
Auparavant, il tait spcifi le Conseil,
le comit daudit ou tout organe dlibrant
appropri.
Paragraphe 1 : Ajout : Lapprobation de
la Charte doit tre documente dans les procs-
verbaux des runions de lorgane dlibrant .
MPA 1000.C1-1 : Principes

directeurs de la ralisation Aucun changement
des missions de conseil
formelles
MPA 1000.C1-2 :
Proccupations supplmentaires Aucun changement
pour les missions de conseil
formelles
MPA 1000.C1-3 : Septembre 2005

Points supplmentaires Nouvelle MPA
pour les missions de conseil
dans des organismes publics
MPA 1100-1 : Indpendance Aucun changement

et objectivit
MPA 1110-1 : Indpendance Avril 2004 Paragraphe 3 : Le responsable de laudit

dans lorganisation interne doit tre rattach, sur le plan fonctionnel
au Conseil . Auparavant, il tait spcifi
au comit daudit, au Conseil, ou tout autre
organe dlibrant comptent.
Paragraphe 5 : La prsence et la
participation active du responsable de laudit
interne ces runions lui permettent dtre
inform des orientations stratgiques de
SEPTEMBRE 2006
3

dapplication jour
lentreprise tant en termes dactivit que sur

le plan oprationnel, et de soulever en amont
tout problme important relatif aux risques,
aux systmes, aux procdures ou aux contrles.
Elles permettent en outre un change
dinformations sur la planification et les activits
de laudit interne. Ce paragraphe a volu de
faon encourager la participation des
responsables daudit lensemble des runions
du Conseil et pas uniquement aux runions
du comit daudit ou aux runions des organes
dlibrants. Ainsi, le responsable de laudit
interne doit tre tenu inform des changements
stratgiques de lentreprise de faon adapter
le plan daudit et pouvoir diffuser des
informations au Conseil et pas uniquement
une manation restrictive de ce dernier.
MPA 1110.A1-1 : Justification
Aucun changement
des demandes dinformation
MPA 1110-2 : Rattachement
du Responsable de laudit Nouvelle MPA
interne
MPA 1120-1 : Objectivit Avril 2004 Paragraphe 5 : Le terme Invitation a t
individuelle ajout la liste des items jugs contraire
lthique et pouvant altrer le jugement
objectif de lauditeur.
Paragraphe 6 : Ce paragraphe a t rajout.
Il stipule que : Le service daudit interne doit
sengager, dans le cadre dune procdure,
conduire ses activits de faon viter les
conflits dintrt, et divulguer toute activit
susceptible dentraner un ventuel conflit
dintrt. Le dpartement daudit interne doit,
par consquent, mettre en place des procdures
documentes dans lesquelles il sengage jouer
la transparence sur toute activit susceptible
dentraner un ventuel conflit dintrt.
MPA 1130-1 : Atteintes Avril 2004 Paragraphes 3, 4 : Toutes les formules
lindpendance ou Conseil, comit daudit ou tout autre organe
lobjectivit dlibrant ont t remplaces par Conseil.
MPA 1130.A1-1 : Audit des
oprations dont les auditeurs Aucun changement
internes ont t auparavant
responsables
SEPTEMBRE 2006
4

dapplication jour
MPA 1130.A1-2 : Responsabilits

exerces par laudit interne Aucun changement
au titre dautres fonctions
MPA 1200-1 : Comptence et
conscience professionnelle Aucun changement
MPA 1210-1 : Comptence Avril 2004 MPA remplace
Paragraphe 5 : Ajout : Il convient de procder
une analyse mensuelle des connaissances
et des comptences des membres du service
daudit (de faon identifier les points amliorer
par la mise en uvre de programmes
de formation continue, de recrutements ou un
recours des ressources externes partages .
Les paragraphes 6 et 7 ont t entirement
rajouts
MPA 1210.A1-1 : Recours Avril 2004 Paragraphe 3 : Ajout de Conseil en matire
des prestations de services de management des risques et dans dautres
externes domaines comme exemple pour lequel laudit
interne peut faire appel des prestataires
de service.
Paragraphe 9 : Ajout de Le cas chant,
une mention relative au respect des Normes
de lIIA et lapplication des normes ou
mthodes de travail de laudit interne devra
figurer dans la lettre dengagement .
Le respect de ces normes est une clause
contractuelle pour lexcution des missions
des prestataires de service extrieur.
Paragraphe 10 : Le responsable de laudit
interne doit exiger et veiller ce que les travaux
daudit interne des prestataires de service soient
accomplis conformment aux normes
ou mthodes de travail de laudit interne .
MPA 1210.A2-1 :
Responsabilits de lauditeur
interne en matire Avril 2006 MPA remplace
de prvention, de dtection
et dvaluation des risques
MPA 1210.A2-2 :
Responsabilit de lauditeur
interne en matire denqutes,
de prsentation de rapports, Avril 2006 MPA remplace
de rsolution de problmes
et de communication
relatives la fraude
SEPTEMBRE 2006
5

dapplication jour
MPA 1220-1 : Conscience

Aucun changement
professionnelle
MPA 1220-2 :
Avril 2005 Nouvelle MPA
Outils assists par ordinateur
MPA 1230-1 : Formation
Aucun changement
professionnelle continue
MPA 1300-1 : Programme Nouvelle MPA
dassurance et damlioration Le programme dassurance et damlioration
qualit qualit tait trait dans la MPA 1310-1.
Cette dernire traite, dornavant, de lvaluation
du programme qualit.
MPA 1310-1 : Lvaluation MPA remplace
du programme qualit
Paragraphe 1 : Supprim et remplac par
Suivi des programmes qualit anciennement
le paragraphe 2 de la MPA. Ce paragraphe
a volu dans sa globalit.
Paragraphe 2 : Nouveau paragraphe
Paragraphe 3 : Lvaluation des programmes
qualit porte particulirement sur les points
suivants : respect des Normes et du Code
de Dontologie, et notamment mise en uvre,
dans des dlais appropris, dactions
correctrices visant remdier toute
non-conformit significative.
Paragraphe 4 : Tout programme dvaluation
et damlioration de la qualit doit dboucher
sur une modification approprie, effectue
dans des dlais raisonnables, des ressources,
des technologies, des processus et des procdures.
Paragraphe 5 : Dans un souci de transparence,
le responsable de laudit interne doit
communiquer les rsultats des valuations
externes aux diverses parties prenantes de
laudit interne, telles que la direction gnrale,
le Conseil et les auditeurs externes .
MPA 1311-1: valuations Avril 2004 MPA remplace
internes
Paragraphe 1 : nouveau paragraphe
Paragraphe 2 : Ces valuations sont
gnralement incorpores dans les procdures
et les pratiques courantes de gestion de
laudit interne.
SEPTEMBRE 2006
6

dapplication jour
Paragraphe 4 : On parle dornavant

dvaluations internes priodiques et non
plus dvaluations priodiques. Ces valuations
correspondent gnralement des revues et
des contrles de conformit ponctuels,
finalit spcifique.
Paragraphe 6 : nouveau paragraphe
MPA 1311-2 : Mise en place

dindicateurs (valuations
quantitatives et qualitatives)
Septembre 2005 Nouvelle MPA
lappui des contrles
de la performance
de lactivit daudit interne
MPA 1312-1 : valuations Avril 2004 MPA 1312-1 : MPA change,

externes MPA 1312-2 : Nouvelle MPA
MPA 1312-2 : valuations La traduction de ces MPAs se trouve en annexe

externes : auto-valuation la suite de chaque Practice Advisory
et validation indpendante en anglais.
des rsultats La MPA 1312-3 se substitue ces deux MPAs
pour la Pratique Professionnelle franaise.
MPA 1312-3 : Certification Avril 2004 Nouvelle MPA ddie aux Pratiques
des directions daudit interne Professionnelles franaises
MPA 1320-1 : Rapports relatifs MPA enrichie d'un commentaire franais

au programme qualit
MPA 1330-1 : Audits Avril 2004 MPA remplace

effectus conformment La traduction de cette MPA se trouve en annexe
externes : auto-valuation la suite de la Practice Advisory en anglais.
et validation indpendante
MPA 1330-2 : Audits Nouvelle MPA ddie aux Pratiques

effectus conformment Professionnelles franaises.
aux Normes
SEPTEMBRE 2006
7
TABLEAU RCAPITULATIF TABLEAU RCAPITULATIF
TABLEAU RCAPITULATIF DES MISES JOUR

RELATIVES AUX MPAs SRIE 2000
La formulation Les Normes pour la Pratique Professionnelle de lAudit Interne a t remplace
dans lensemble des MPAs par les Normes Internationales pour la Pratique Professionnelle de
lAudit Interne (les Normes ) .

dapplication jour
MPA 2000-1 : Gestion de Avril 2004 MPA remplace

laudit interne Paragraphe 1 : La prcdente MPA prvoyait
que les objectifs gnraux et de responsabilits
de laudit interne soient approuvs par la
direction gnrale et accepts par le Conseil.
La nouvelle version stipule que : les objectifs
gnraux et de responsabilits de laudit interne
sont approuvs par le Conseil et, le cas
chant, par la direction gnrale .
Ceci suppose que le Conseil peut outrepasser
les dcisions de la direction gnrale et approuver,
seul, les objectifs gnraux et de responsabilits
de laudit interne.
LIFACI nagre pas ce principe.
La prcdente formulation approuvs par
le direction gnrale et accepts par le Conseil
correspond davantage la pratique franaise.
MPA 2010-1 : Planification Avril 2004 Paragraphe 4, item c : Lors de la planification,

les points prendre en considration sont
les demandes manant du Conseil et de
la direction gnrale et non plus comme
mentionn auparavant, les demandes manant
de la direction gnrale, du comit daudit
et dautres organes de direction.
Cette nouvelle formulation qui prend en
considration la culture amricaine ne
correspond pas la perception franaise.
MPA 2010-2 : La prise en Avril 2004 MPA remplace

compte des risques pour
llaboration du plan daudit Cette MPA a t modifie de manire
significative.
Paragraphe 1 : Nouveau paragraphe qui traite
des risques et incertitudes qui peuvent affecter
de manire positive ou ngative toute organisation
et des divers moyens de les grer, notamment
le contrle interne.
SEPTEMBRE 2006
8

dapplication jour
Paragraphe 2 : Paragraphe modifi comme

suit : Le principal but de laudit est de
fournir au management des informations pour
attnuer les consquences ngatives que ces
risques font courir la ralisation des objectifs
de lorganisation, ainsi quune valuation de
lefficacit du systme de gestion des risques
mis en place par la direction .
Paragraphe 3 : Il a t rajout que
En principe, le plan stratgique de
lorganisation doit tenir compte de
lenvironnement dans lequel elle opre.
Les facteurs lis cet environnement influeront
vraisemblablement sur la dmarche daudit
et lvaluation des risques .
Paragraphe 4 : Nouveau paragraphe.
Paragraphe 5 : Le programme des missions
daudit doit tre bas sur lexposition aux
risques de lorganisation. Les mthodes et les
techniques utilises dans le cadre des missions
daudit, pour effectuer des tests et valider
lexposition aux risques, doivent tenir compte
de la matrialit des risques et de leur
probabilit doccurrence .
Paragraphe 6 : Les rapports daudit doivent
mentionner limportance critique de
lexposition aux risques et son incidence sur
la ralisation des objectifs .
MPA 2020-1 : Communication Avril 2004 Paragraphe 1 : Il est suggr que :

et approbation les programmes de travail de laudit interne,
les prvisions deffectifs et le budget financier
doivent dornavant tre approuvs par le Conseil
plutt que par la direction gnrale comme
mentionn dans la prcdente version de la MPA.
LIFACI ne partage pas ce sentiment et conseille
de sen tenir la formulation prcdente :
le responsable de laudit interne doit soumettre,
annuellement, la direction gnrale pour
approbation et au Conseil pour information, les
programmes de travail de laudit interne, les
prvisions deffectifs et le budget financier .
MPA 2030-1 : Gestion Avril 2004 MPA remplace

des ressources Paragraphes 2 et 3 : Le responsable de laudit
interne a comme nouvelles responsabilits :
SEPTEMBRE 2006
9

dapplication jour
La slection de collaborateurs qualifis et

comptents tant dans les domaines audits
quen matire dapplication des mthodes
daudit interne.
La dfinition dobjectifs annuels de
performance lintention des auditeurs internes.
Si besoin, le recours des ressources
partages, dautres consultants ou aux
collaborateurs dautres services qui apporteront
des comptences supplmentaires ou spcialises.
MPA 2030-2 : Les exigences

de la SEC en matire
dindpendance des auditeurs MPA Supprime
externes pour fournir des
prestations daudit interne
MPA 2030-3 : Les exigences Avril 2004

franaises en matire Nouvelle MPA ddie aux Pratiques
dindpendance des Professionnelles franaises
commissaires aux comptes
MPA 2040-1 : Rgles

Aucun changement
et procdures
MPA 2050-1 : Coordination Avril 2004 MPA enrichie de commentaires franais
MPA 2050-2 : Acquisition de Avril 2004

Aucun changement
services daudit externe (*)
MPA 2050-3 : Acquisition de Avril 2004 Nouvelle MPA ddie aux Pratiques
services proposs par les Professionnelles franaises
cabinets daudit externe
MPA 2060-1 : Rapports au Avril 2004 Paragraphe 1 : Le responsable de laudit doit

conseil et la direction soumettre un rapport dactivit la direction
gnrale gnrale et au conseil plusieurs fois par an ,
et non plus, comme dans lancienne version
de la MPA, annuellement, et plus frquemment
si ncessaire.
MPA 2060-2 : Relations avec Nouvelle MPA

le comit daudit
SEPTEMBRE 2006
10

dapplication jour
MPA 2100-1 : Nature du Avril 2004 Paragraphe 5 : Le management tablit et

travail maintient une culture dentreprise et
notamment un climat thique qui
tient compte de lexposition aux risques et
qui inclut la mise en uvre de stratgies
efficaces en matire de gestion des risques .
Paragraphe 8, second tiret : Le systme de
contrle interne est adquat , efficace
et efficient.
MPA 2100-2 : Scurit de Avril 2004 Suppression du comit daudit ou tout autre
linformation organe de direction dans l'ensemble des
paragraphes. Seuls, le management et le Conseil
ont la responsabilit de la scurit de
linformation.
MPA 2100-3 : Le rle de

laudit interne dans le Aucun changement
processus de management
des risques

laudit interne en labsence Aucun changement
de processus de management
des risques
MPA 2100-5 : valuation des

programmes de compliance
(conformit aux Aucun changement
rglementations)-aspects
juridiques
MPA 2100-6 : Le commerce

lectronique : un impact sur Nouvelle MPA
les contrles et sur laudit

laudit interne dans
Nouvelle MPA
lidentification et le reporting
des risques environnementaux
MPA 2100-8 : Lvaluation du

dispositif mis en place par
Nouvelle MPA
lorganisation pour protger
la vie prive : rle de lauditeur
SEPTEMBRE 2006
11

dapplication jour
MPA 2100-9 : Revue

des systmes dapplication
MPA 2100-10 : Vrification
par sondage
MPA 2100-11 : Impact des
contrles de pilotage Avril 2005 Nouvelle MPA
des systmes dinformation
MPA 2100-12 :
Externalisation des activits
relatives aux systmes
dinformation
MPA 2100-13 : Incidence
des prestataires
sur les contrles informatiques
dune organisation
MPA 2100-14 :
Preuves daudit rassembler
MPA 2110-1 : valuer le
processus de management Aucun changement
des risques
laudit interne dans le Nouvelle MPA
processus de continuit des
oprations
MPA 2120.A1-1 : valuer les Avril 2004 MPA remplace
processus de contrle interne On ne parle plus seulement des processus
et en rendre compte de contrle mais des processus de
management des risques et de contrle ,
ce qui suppose que les auditeurs doivent
valuer et rendre compte des processus
de contrle interne mais aussi des processus
de management des risques.
Paragraphe 4 : Ajout de Le plan daudit doit
comporter une revue des principaux processus
de gestion des risques en place dans
lorganisation et mentionner les principaux
risques identifis grce ces processus.
Paragraphe 9 : Ajout de Le responsable de
laudit interne doit prsenter la direction
gnrale et au Conseil, gnralement une fois
par an, un rapport sur ltat des processus de
management des risques et de contrle de
lorganisation.
SEPTEMBRE 2006
12

dapplication jour
MPA 2120.A1-2 : Utiliser

lauto-valuation des contrles Aucun changement
pour valuer la pertinence
des processus de contrle
MPA 2120.A1-3 : Le rle de
laudit interne en matire de
reporting financier, de Nouvelle MPA
publication des informations
et de certification par les
dirigeants
MPA 2120.A1-4 : Audit du
processus de reporting Nouvelle MPA
financier
MPA 2120.A4-1 : Critres Avril 2004 MPA remplace
de contrle Cette MPA a t entirement rcrite.
La nouvelle version de cette MPA suppose
que, dornavant, les auditeurs internes
identifient le degr de risque que la direction
gnrale est dispose prendre en fonction
des objectifs et prvisions oprationnelles
quelle sest fixs.
Si la direction gnrale na pas prcis
les principaux risques ni le degr de risque
quelle est dispose prendre, laudit
interne peut ly aider.
laudit interne et de Aucun changement
lauditeur interne en terme
de culture thique
MPA 2200-1 : Considrations Avril 2004 Paragraphe 1, tiret 4 : Le programme
relatives la planification de mission doit : identifier les aspects
techniques, les objectifs de lactivit,
les risques, les procds et les transactions
qui doivent tre audites .
MPA 2210-1 : Objectifs de Aucun changement
la mission
MPA 2210.A1-1 : valuation Avril 2004 MPA remplace
des risques dans la Nature de la MPA : il a t rajout :
planification de la mission quil appartient aux auditeurs internes
dapprcier quels sont les lments ncessaires
pour acqurir une assurance suffisante que les
risques appropris sont identifis pour une
mission donne .
SEPTEMBRE 2006
13

dapplication jour
Paragraphe 1 : Nouveau paragraphe.

Paragraphe 6 : Il appartient lauditeur
interne dtablir un rsum des rsultats
obtenus suite lexamen de lvaluation
des risques effectus par la direction,
des informations de base et des conclusions
des examens prliminaires.
MPA 2230-1: Ressources Aucun changement
affectes la mission
MPA 2240-1 : Programme de Avril 2004 Paragraphe 2 : rfrence la MPA 2340-1
travail de la mission rajoute afin dobtenir des lignes directrices
plus dtailles.
MPA 2240.A1-1 : Approbation Avril 2004 MPA remplace
des programmes de travail Paragraphe 1 : Le programme de travail de
la mission doit tre approuv par crit par
le responsable de laudit interne ou son dlgu
avant le dmarrage de la mission, dans toute la
mesure du possible. Lapprobation peut tre
dabord obtenue oralement sil nest pas
possible de lobtenir par crit avant le
dmarrage de la mission. Les modifications
apportes au plan de la mission doivent tre
approuves temps .
MPA 2300-1 : Lutilisation
dinformations caractre
Nouvelle MPA
personnel par lauditeur interne
dans le cadre des audits
MPA 2310-1 : Identification Aucun changement
des informations
MPA 2320-1: Analyse et Avril 2004 Paragraphe 4, rajout dune puce : Aprs avoir
valuation valu ces facteurs, les auditeurs internes
doivent prendre en considration et utiliser,
si ncessaire, dautres procdures daudit pour
atteindre lobjectif de la mission, savoir :
lvaluation des risques et lefficacit du
processus de management des risques dans
le domaine examin .
MPA 2330-1 : Documentation Avril 2004 Paragraphe 2 : Lorganisation, la conception
des informations et le contenu des dossiers de travail de laudit
sont fonction de la mission. Les dossiers de
travail doivent toutefois comprendre les
lments suivants du processus : la planification
de la mission, lvaluation des risques... .
SEPTEMBRE 2006
14

dapplication jour
MPA 2330.A1-1 : Contrle

Aucun changement
des dossiers daudit
MPA 2330.A1-2 : Accs aux Avril 2004 Paragraphe 1 : Il a t rajout : pour les
dossiers daudit autres procdures, la question de laccs aux
aspects juridiques dossiers est moins vidente et les solutions sont
susceptibles de varier en fonction du droit
national applicable lorganisation .
MPA 2330.A2-1 : Conservation Aucun changement

des dossiers
MPA 2340-1 : Supervision Avril 2004 Paragraphe 5 : Lvaluation et la validation

de la mission laide dun logiciel des papiers de travail sous
format lectronique ont t rajoutes la liste
des techniques fournissant une preuve de
la revue.
MPA 2400-1 : Communication Avril 2004

des rsultats aspects Aucun changement
juridiques
MPA 2410-1 : Contenu de la Avril 2004 Paragraphe 5 : Les conclusions ont t

communication rajoutes, au mme titre que les observations
et les opinions, dans la liste des rsultats
devant tre communiqus.
Paragraphe 8 : il est prcis que
une opinion peut comporter une valuation
globale des contrles ou du domaine examins,
ou tre limite certains contrles ou certains
aspects de la mission .
MPA 2420-1 : Qualit de

Aucun changement
la communication
MPA 2421-1 : Erreurs et Avril 2004

MPA supprime
omissions
MPA 2440-1 : Diffusion des Avril 2004 MPA remplace

rsultats Lintitul de cette MPA a t chang. Au lieu de
diffusion des rsultats , dsormais il faut lire
destinataires des rsultats de la mission .
MPA 2440-2 : Diffusion des Avril 2004

rsultats lextrieur de Aucun changement
lorganisation
SEPTEMBRE 2006
15

dapplication jour
MPA 2440-3 : Avril 2004

La communication
dinformations sensibles par Nouvelle MPA
la voie hirarchique ou en
marge de celle-ci
MPA 2500-1 : Surveillance Aucun changement

des actions de progrs
MPA 2500.A1-1 : Processus Aucun changement

de suivi de la mission
MPA 2600-1 : Acceptation

des risques par la direction Aucun changement
gnrale
SEPTEMBRE 2006
16
MPA SRIE 1000
Missions, pouvoirs et responsabilits
1000 M ISSION , POUVOIRS ET RESPONSABILITS
LA MISSION, LES POUVOIRS ET LES RESPONSABILITS DE

LAUDIT INTERNE DOIVENT TRE FORMELLEMENT DFINIS DANS
UNE CHARTE, TRE COHRENTS AVEC LES NORMES
ET DMENT APPROUVS PAR LE CONSEIL
MPA 1000-1
Charte daudit interne
Nature de cette Modalit Pratique dApplication :
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au
moment dadopter la charte daudit interne. La prsente MPA na pas pour but de pas-
ser en revue lensemble des points examiner avant dadopter une charte mais de
recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. La mission, les pouvoirs et les responsabilits de laudit interne doivent tre dfinis
dans une Charte. Le responsable de l'audit interne doit chercher obtenir
lapprobation de la Charte par la direction gnrale ainsi que son acceptation par le
Conseil, le comit d'audit ou tout organe dlibrant appropri.
La Charte doit :
tablir la position du service daudit interne dans lorganisation ;
autoriser laccs aux documents, aux personnes et aux biens physiques, ncessaire
la bonne ralisation des missions ;
dfinir le champ de laudit interne.
2. La Charte du service daudit interne doit tre crite. Un document crit permet une
soumission officielle la direction gnrale pour examen et approbation, et au Conseil
pour acceptation. Il facilite en outre lvaluation priodique de la pertinence de la
mission, des pouvoirs et des responsabilits de laudit interne. La diffusion dun docu-
OCTOBRE 2002 3
ment crit et officiel contenant la Charte de laudit interne est un lment essentiel
pour la russite de laudit interne au sein de lorganisation. La mission, les pouvoirs
et les responsabilits doivent tre dfinis et communiqus dans le but de prciser le
rle de laudit interne et de fournir la direction gnrale et au Conseil une base dans
lvaluation des activits de la fonction. En cas dinterrogation, la Charte est la rf-
rence crite officielle de l'accord pass avec la direction gnrale et le Conseil sur le
rle et les responsabilits de laudit interne au sein de lorganisation.
3. Le responsable de l'audit interne doit priodiquement valuer si la mission, les pou-

voirs, et les responsabilits dfinis dans la Charte permettent toujours au service
daudit interne datteindre ses objectifs. Le rsultat de cette valuation priodique
doit tre communiqu la direction gnrale et au Conseil.
1000.C1
La nature des missions de conseil doit tre dfinie dans la Charte daudit.
MPA 1000.C1-1
Principes directeurs de la ralisation des missions de conseil des auditeurs internes
Selon la dfinition de laudit interne, Laudit interne est une activit indpendante
et objective qui donne une organisation une assurance sur le degr de matrise de
ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la
valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche sys-
tmatique et mthodique, ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions pour renforcer leur effi-
cacit . Rappelons aux auditeurs internes que les Normes de qualification et de
fonctionnement sappliquent aussi bien aux missions dassurance quaux missions de
conseil.
La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans
toutes les missions de conseil. Les prestations de conseil vont des missions officielles,
dfinies par un accord crit, aux activits telles que la participation des quipes
charges de projets ou des comits de direction permanents ou temporaires. Il
appartient aux auditeurs internes dexercer leur jugement professionnel pour appr-
cier, au cas par cas, dans quelle mesure les directives contenues dans la prsente
MPA peuvent tre appliques. Certaines missions de conseil, comme la participation
OCTOBRE 2002
4
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
un projet de fusion ou dacquisition ou des missions dextrme urgence (mise en

uvre de plans de secours par exemple), peuvent ncessiter des drogations aux pro-
cdures qui rgissent habituellement les missions de conseil.
Il est recommand aux auditeurs internes de tenir compte des principes directeurs
suivants lors des missions de conseil. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner dans le cadre dune mission de conseil.
Il appartient aux auditeurs internes de prendre toutes les prcautions ncessaires
pour sassurer que les membres de la direction gnrale et du Conseil comprennent
et adhrent au principe, aux rgles directrices et aux procdures de communication
ncessaires la ralisation des missions de conseil.
1. Lapport de valeur Lapport de valeur de laudit interne est ralis au sein dune orga-
nisation lorsque les auditeurs internes interviennent selon des modalits bien adap-
tes sa culture et ses ressources. Cet apport de valeur, indiqu dans la dfinition
de laudit interne, sapplique aux activits dassurance et de conseil, dont lobjet est
dapporter de la valeur ajoute lorganisation par la mise en uvre dune approche
systmatique et mthodique dans les domaines du gouvernement dentreprise, du
management des risques et du contrle.
2. Cohrence avec la dfinition de laudit interne Laudit interne exige la mise en

uvre dune mthodologie dvaluation rigoureuse et systmatique. Les prestations
fournies relvent gnralement de l'assurance et du conseil. Toutefois, elles peuvent
galement inclure des missions valeur ajoute diffrentes, ds lors quelles sont
cohrentes avec la dfinition gnrale de laudit interne.
3. Activits qui vont au-del de lassurance et du conseil Les missions daudit interne
peuvent prendre des formes multiples. De mme que lassurance et le conseil ne sont
pas incompatibles, ils nexcluent pas la ralisation dautres missions telles que des
enqutes ou autres prestations ne relevant pas proprement parler de laudit. Notons
que de nombreuses prestations daudit auront la fois des dimensions dassurance
et de conseil.
4. Interdpendance de lassurance et du conseil Les missions de conseil accroissent

la valeur ajoute de laudit interne. Sil arrive frquemment que les missions
dassurance dbouchent sur des missions de conseil, il faut aussi reconnatre que des
missions dassurance peuvent galement dcouler de missions de conseil.
5. Prvoir les missions de conseil dans la Charte Les auditeurs internes effectuent
traditionnellement diffrents types de missions de conseil allant de lanalyse des
contrles intgrs dans le dveloppement de systmes, ltude des dispositifs de
OCTOBRE 2002
5
scurit ou la participation des groupes de travail chargs dexaminer les opra-

tions et de formuler des recommandations, etc. Le Conseil (ou le comit d'audit) doit
habiliter laudit interne effectuer dautres missions ds lors quelles nengendrent
pas de conflit dintrt et quelles ne sont pas incompatibles avec ses obligations
envers le Comit. Cette habilitation doit figurer dans la Charte de laudit interne.
6. Objectivit Les missions de conseil fournissent parfois lauditeur loccasion

damliorer sa connaissance des processus de lorganisation ou des problmes soule-
vs pendant une mission (d'expression) dassurance ; elles naltrent pas ncessaire-
ment lobjectivit de lauditeur ou de laudit interne. Laudit interne nest pas une
fonction de prise de dcisions. La dcision dadopter ou de mettre en place les recom-
mandations formules lissue dune mission de conseil relve du management. Par
consquent, lobjectivit de laudit interne ne devrait pas tre altre par les dcisions
prises par le management la suite de telles missions.
7. Le fondement des missions de conseil au sein de laudit interne La plupart des pres-
tations de conseil sinscrivent dans le prolongement naturel des missions dassurance
et dinvestigations et peuvent consister en des recommandations, tudes ou valua-
tions, formelles ou informelles. Laudit interne est idalement plac pour effectuer ce
type de prestations tant donn (a) son adhsion aux critres les plus levs
dobjectivit, et (b) ltendue de ses connaissances en matire de processus organi-
sationnels, de risques et de stratgies.
8. Communication des informations essentielles Lune des principales fonctions de

laudit interne est de fournir une assurance la direction gnrale et aux administra-
teurs du comit d'audit. Les missions de conseil ne sauraient tre accomplies sans
divulguer les informations qui, aux yeux du responsable de l'audit interne, doivent tre
communiques la direction gnrale et au Conseil. Toute prestation de conseil
sinscrit dans ce contexte.
9. Comprhension par lorganisation des principes rgissant les missions de conseil

Les organisations doivent avoir des principes de base rgissant la ralisation des mis-
sions de conseil, connus et compris de tous les membres de lorganisation. Ces prin-
cipes doivent tre codifis dans la Charte dAudit approuve par le comit d'audit et
diffuss dans lorganisation.
10. Missions de conseil formelles Il arrive frquemment que la direction confie des
consultants externes des missions de conseil formelles dune dure significative.
Toutefois, certaines entits peuvent estimer que le service daudit interne est le plus
comptent pour accomplir ces missions de conseil. Lorsque laudit interne entreprend
une telle mission, il doit la conduire selon une approche systmatique et mthodique.
11. Devoirs du responsable de l'audit interne Les missions de conseil permettent au

responsable de l'audit interne dengager un dialogue avec le management sur certains
OCTOBRE 2002
6
points lis la gestion de lorganisation. Ce dialogue permet dadapter ltendue et le

calendrier de la mission aux besoins du management. Toutefois, cest au responsable
de l'audit interne de dcider des techniques daudit mettre en uvre et dinformer
la direction gnrale et le comit d'audit lorsque la nature et limportance des rsul-
tats mettent en vidence des risques significatifs pour lorganisation.
12. Rsolution des conflits ou situations imprvues Lauditeur interne demeure avant
tout un auditeur interne. A ce titre, tous ses travaux sont rgis par le Code de
Dontologie de lIIA et par les Normes de Qualification et de Fonctionnement figurant
dans les Normes pour la Pratique Professionnelle de laudit interne. Tout conflit ou
activit imprvus doivent tre rsolus conformment au Code de Dontologie et aux
Normes.
MPA 1000.C1-2
Proccupations supplmentaires pour les missions de conseil formelles
Remarque particulire concernant la prsente MPA et les Normes correspondantes La pr-

sente Modalit Pratique dApplication contient des recommandations qui concernent plusieurs
Normes de mise en uvre pour lactivit de conseil. Outre la Norme 1000.C1, ces recom-
mandations couvrent galement les Normes 1130.C1 et C2, 1210.C1, 1220.C1, 2010.C1,
2110.C1 et C2, 2120.C1 et C2, 2130.C1, 2201.C1, 2210.C1, 2220.C1, 2240.C1, 2330.C1,
2410.C1, 2440.C1 et C2, et 2500.C1. Les rfrences ces Normes figurent entre parenth-
ses dans les titres de la prsente Modalit Pratique dApplication.
La prsente Modalit Pratique dApplication traite du mme sujet que la MPA

1000.C1-1, relative aux principes rgissant la ralisation de prestations de conseil.
Ces deux MPA sont utiles aux auditeurs internes qui effectuent des prestations de
conseil. Selon sa dfinition, Laudit interne est une activit indpendante et objec-
tive qui donne une organisation une assurance sur le degr de matrise de ses op-
rations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur
ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche sys-
tmatique et mthodique, ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions pour renforcer leur effi-
cacit .
Il convient de rappeler aux auditeurs internes que les Normes de qualification et de

fonctionnement sappliquent aussi bien aux missions d'expression dassurance quaux
missions de conseil.
OCTOBRE 2002
7
La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans
toutes les missions de conseil formelles. Les prestations de conseil vont des missions
explicitement dfinies par un accord crit, aux activits telles que la participation
des quipes charges de projets ou des comits de direction permanents ou tem-
poraires. Il appartient aux auditeurs internes dexercer leur jugement professionnel
pour apprcier, au cas par cas, dans quelle mesure les lignes directrices contenues
dans la prsente MPA doivent tre appliques. Certaines missions de conseil, comme
la participation un projet de fusion ou dacquisition ou la gestion de circonstances
imprvues (mise en uvre de plans de secours par exemple), peuvent ncessiter des
drogations aux procdures qui rgissent habituellement les missions de conseil.
Il est recommand aux auditeurs internes de tenir compte des suggestions suivantes
lors des missions de conseil formelles. La prsente recommandation na pas pour but
de procder un expos exhaustif des points examiner dans le cadre dune mission
de conseil formelle. Il appartient aux auditeurs internes de prendre toutes les pr-
cautions ncessaires pour sassurer que les membres de la direction gnrale et du
Conseil comprennent et adhrent au concept, aux rgles directrices et aux procdures
de communication ncessaires la ralisation des missions de conseil formelles.
DFINITION DES PRESTATIONS DE CONSEIL FORMELLES :
1. Le glossaire annex aux Normes dfinit les activits de conseil comme suit :
Conseils et services y affrents rendus au client donneur dordre dont la nature et
le champ sont convenus au pralable avec lui. Ces activits ont pour objectifs de crer
de la valeur ajoute et damliorer le fonctionnement dune organisation. Quelques
exemples : consultation, conseil, facilitation, conception de processus et formation .
2. Le responsable de l'audit interne doit dfinir la mthodologie mettre en uvre pour

distinguer les diffrents types de mission existants dans lorganisation. Il peut savrer
opportun, dans certains cas, de regrouper au sein dune mission caractre mixte des
prestations de conseil et dassurance ralises selon une approche commune. Parfois
au contraire, il est prfrable de distinguer les composantes assurance et conseil de
la mission.
3. Les auditeurs internes peuvent effectuer des prestations de conseil soit dans le cadre
de leurs activits courantes, soit en rponse des demandes du management. Il
appartient chaque organisation dexaminer le type dactivits de conseil proposer
et de dterminer sil y a lieu dadopter des procdures ou des rgles spcifiques
chaque type dactivits. Les diverses catgories concernes sont :
les missions de conseil formelles planifies et faisant lobjet daccords crits ;
OCTOBRE 2002
8
les missions de conseil informelles prestations courantes, telles que la participa-

tion des comits permanents, des projets de dure dtermine, des runions
ponctuelles, ainsi qu' des changes courants dinformations ;
les missions de conseil exceptionnelles participation un projet de fusion et
dacquisition ou un projet de changement de systme ;
les missions de conseil en situation de crise participation une quipe constitue
en vue de la reprise ou de la poursuite des activits aprs un sinistre ou tout autre
vnement exceptionnel, ou dans une quipe investie dune mission temporaire
dassistance afin de rpondre une demande ponctuelle ou de respecter un dlai
inhabituel.
4. Dune faon gnrale, les auditeurs doivent sabstenir deffectuer une mission de
conseil dans le seul but de se soustraire ou de permettre autrui de se soustraire
aux normes habituellement applicables aux missions dassurance lorsque ces dernires
sont plus appropries pour les services en cause. Cette rgle nexclut pas dadapter
les mthodologies lorsquil savre que les prestations effectues antrieurement dans
le cadre de missions dassurance relvent plutt dune mission de conseil.
INDPENDANCE ET OBJECTIVIT DANS LE CADRE

DES MISSIONS DE CONSEIL FORMELLES (NORME 1130.C1) :
5. Il peut arriver que les auditeurs internes soient sollicits pour effectuer des presta-
tions de conseil relatives des activits dont ils ont pu tre prcdemment respon-
sables ou pour lesquelles ils ont ralis des missions dassurance. Avant de proposer
de telles prestations, le responsable de l'audit interne doit sassurer que le Conseil
comprend et approuve les principes de la ralisation de prestations de conseil. Une
fois ces principes acquis, il convient de mettre jour la Charte daudit interne pour y
inclure les rgles relatives aux pouvoirs et aux responsabilits en matire de conseil.
Laudit interne doit en outre rdiger des procdures appropries la conduite de ces
missions.
6. Les auditeurs internes doivent rester objectifs lorsquils tirent des conclusions ou pro-
posent des conseils lattention du management. Celui-ci doit tre inform sans dlai
de toute situation susceptible daltrer lindpendance ou lobjectivit des auditeurs,
que cette situation soit antrieure la mission de conseil ou quelle survienne durant
celle-ci.
7. Il existe un risque daltration de lindpendance et de lobjectivit lorsque les mis-

sions dassurance sont ralises au cours de lanne qui suit une mission de conseil
formelle. Lincidence de cette situation peut tre minimise par diverses mesures
telles que :
laffectation dauditeurs distincts entre les missions dassurance et de conseil ;
la dsignation de superviseurs et managers diffrents ;
OCTOBRE 2002
9
le rattachement provisoire de lquipe charge de la mission de conseil au client

donneur dordre ;
Par exemple, si des auditeurs internes sont prts un dpartement ou une
unit, tels que le dpartement juridique ou le service scurit afin de mener une
mission de conseil ou participer un projet spcifique, alors ils doivent tre
superviss, grs et rattachs aux responsables de ce dpartement ou de cette
unit.
et la mention dune possible altration de lindpendance et de lobjectivit.

Le management doit rester responsable de lacceptation et de la mise en uvre des
recommandations.
8. Il convient de veiller, en particulier dans le cadre de missions de conseil permanentes

ou continues par nature, ce que les auditeurs internes nassument pas de faon
inopportune ou fortuite des responsabilits de management non prvues dans la dfi-
nition et les objectifs initiaux de la mission.
CONSCIENCE PROFESSIONNELLE DANS LES MISSIONS DE CONSEIL FORMELLES

(NORMES 1210.C1, 1220.C1, 2130.C1, ET 2201.C1) :
9. Lauditeur interne doit conduire les missions de conseil formelles avec la conscience
professionnelle requise. A cet effet, il convient de bien apprhender les lments sui-
vants :
besoins des managers de lentit, notamment en ce qui concerne la nature, la
communication et les dlais dmission des rsultats de la mission ;
motivations ventuelles et raisons ayant pu conduire la demande de mission ;
tendue des travaux ncessaires latteinte des objectifs de la mission ;
comptences et ressources ncessaires pour effectuer la mission ;
incidence sur ltendue du plan daudit prcdemment approuv par le comit
daudit ;
impact ventuel sur les futures missions daudit ;
bnfices potentiels, en termes dorganisation, retirer de la mission.
10. Outre les conditions dindpendance, dobjectivit et de conscience professionnelle

dcrites ci-dessus, lauditeur interne doit remplir les tches suivantes :
organiser les runions appropries et recueillir les informations ncessaires pour
valuer la nature et ltendue des prestations fournir ;
sassurer que les bnficiaires des prestations adhrent aux dispositions de la
Charte daudit interne, aux rgles et procdures daudit interne et aux autres dispo-
sitions rgissant la conduite des missions de conseil. Lauditeur interne doit refuser
les missions de conseil qui sont prohibes par la Charte daudit interne, qui sont
OCTOBRE 2002
10
contraires aux rgles et procdures du service daudit interne, ou qui napportent

pas de valeur ajoute ni ne rpondent aux intrts de lorganisation ;
sassurer de la compatibilit de la mission de conseil avec le plan daudit. Ce plan,
fond sur une analyse des risques, peut intgrer et sappuyer sur des missions de
conseil, dans la mesure o elles contribuent assurer la couverture daudit nces-
saire lorganisation ;
formaliser, dans un accord ou plan crits, les termes gnraux, la comprhension,
les produits attendus et les autres facteurs cls de la mission de conseil. Il est
essentiel que lauditeur interne et les bnficiaires des prestations de conseil dfi-
nissent dun commun accord les exigences en termes de rapport et de communica-
tion.
TENDUE DES TRAVAUX DANS LE CADRE DE MISSIONS DE CONSEIL FORMELLES

(NORMES 2010.C1, 2110.C1 ET C2, 2120.C1 ET C2, 2201.C1,
2210.C1, 2220.C1, 2240.C1, ET 2440.C2) :
11. Comme indiqu ci-dessus, les auditeurs internes doivent dfinir les objectifs et
ltendue de la mission de conseil dun commun accord avec les bnficiaires des
prestations.
Ces derniers doivent tre informs de toute rserve concernant lintrt, les avantages
ou, le cas chant, les rpercussions ngatives de la mission de conseil. Les auditeurs
internes doivent fixer ltendue des travaux de faon assurer ou prserver le pro-
fessionnalisme, lintgrit, la crdibilit et la bonne rputation de laudit interne.
12. Dans le cadre de la planification des missions de conseil formelles, les auditeurs
internes doivent dfinir les objectifs de faon rpondre aux besoins des managers
bnficiaires des prestations. En cas de demandes particulires du management, les
auditeurs internes peuvent envisager les mesures suivantes sils estiment que les
objectifs atteindre dpassent les demandes exprimes par le management :
convaincre le management dintgrer les objectifs complmentaires dans la mission
de conseil ;
ou consigner le fait que ces objectifs nont pas t poursuivis et mentionner cette
observation dans la communication finale des rsultats de la mission de conseil ;
et intgrer ultrieurement ces objectifs dans une mission dassurance distincte.
13. Les programmes de travail tablis dans le cadre de missions de conseil formelles doi-
vent prciser et documenter les objectifs et ltendue de la mission ainsi que la
mthodologie mettre en uvre pour atteindre ces objectifs. La forme et le contenu
du programme sont susceptibles de varier selon la nature de la mission. Les auditeurs
internes peuvent largir ou restreindre ltendue de la mission en fonction des demandes
du management. Toutefois, ils doivent conserver lassurance que ltendue des tra-
OCTOBRE 2002
11
vaux, telle quelle est prvue, permettra datteindre les objectifs de la mission. Les
objectifs, ltendue et les modalits de la mission doivent faire lobjet dun examen
et dune actualisation priodiques durant les travaux.
14. Au cours des missions de conseil formelles, les auditeurs internes doivent veiller
lefficacit des processus de management des risques et de contrle. Les risques ou
les faiblesses significatives des processus de contrle doivent tre ports la connais-
sance du management. Dans certains cas, lauditeur interne devra galement en
informer la direction gnrale, le comit daudit et/ou le Conseil. Les auditeurs doi-
vent sappuyer sur leur jugement professionnel (a) pour dterminer limportance des
risques ou des faiblesses et les mesures prises ou envisages pour les attnuer ou y
remdier, et (b) rpondre aux attentes de la direction gnrale, du comit daudit et
du Conseil en ce qui concerne la communication de leurs observations.
COMMUNICATION DES RSULTATS DES MISSIONS DE CONSEIL FORMELLES

(NORMES 2410.C1 ET 2440.C1) :
15. La communication du degr davancement et des conclusions des missions de conseil

varie, tant sur le plan de la forme que sur celui du contenu, selon la nature de la mis-
sion et les besoins du client donneur d'ordre. Pour ce qui est des informations
communiquer, les besoins sont gnralement dfinis par les bnficiaires des presta-
tions de conseil et doivent correspondre aux objectifs fixs dun commun accord avec
le management. Toutefois, les documents utiliss pour communiquer les conclusions
des missions de conseil doivent comporter une description claire de la nature de la
mission et mentionner toute limitation, restriction ou tout autre facteur devant tre
ports la connaissance des destinataires.
16. Il peut arriver, dans certains cas, que lauditeur interne juge opportun de communi-
quer ses conclusions dautres personnes que les bnficiaires des prestations ou les
commanditaires. Lorsquil procde une diffusion plus large de ses rsultats,
lauditeur doit adopter la dmarche suivante :
premirement, il examine les orientations qui dcoulent des termes de laccord aff-
rent la mission de conseil et les communications qui sy rapportent ;
deuximement, il sefforce dobtenir laccord des commanditaires ou des bnfi-
ciaires des prestations sur une communication plus large des conclusions aux per-
sonnes adquates ;
troisimement, il examine les recommandations figurant dans la Charte daudit
interne ou dans les rgles et procdures de laudit propos de la communication
dans le cadre des missions de conseil ;
quatrimement, il se rfre sur ce point aux dispositions du code de conduite ou du
code dthique de lorganisation, et aux autres rgles, procdures ou directives
administratives ;
OCTOBRE 2002
12
cinquimement, il se rfre aux Normes et au Code de Dontologie de lIIA, aux

autres normes ou codes applicables laudit ou toute disposition lgale ou rgle-
mentaire concernant cette question.
17. Les auditeurs internes doivent diffuser au management, au comit daudit, au Conseil
ou tout autre organe dlibrant de lorganisation, la nature, ltendue et les rsul-
tats des missions de conseil formelles. Ils informent la direction gnrale et le comit
daudit de laffectation des ressources daudit. La diffusion de comptes-rendus
dtaills sur ces missions de conseil et de lensemble des conclusions ou recom-
mandations nest pas requise. Nanmoins, une description approprie des missions
de ce type et des recommandations importantes doit tre communique ; il sagit l
dun aspect essentiel des responsabilits incombant aux auditeurs internes en vertu
de la Norme 2060, relative aux rapports adresss au Conseil et la direction gnrale.
EXIGENCE DE DOCUMENTATION DES MISSIONS DE CONSEIL FORMELLES

(NORME 2330.C1) :
18. Les auditeurs internes doivent documenter les travaux effectus pour rpondre aux
objectifs dune mission de conseil formelle et tayer leurs conclusions. Toutefois, en
matire de documentation, les rgles applicables aux missions dassurance ne sont
pas ncessairement transposables aux missions de conseil.
19. Les auditeurs sont invits adopter des procdures appropries en matire de conser-
vation des documents et rsoudre toute question sy rapportant, telle que la pro-
prit des dossiers relatifs aux missions de conseil, de faon assurer une protection
adquate de lorganisation et viter dventuels malentendus en cas de demandes
concernant ces dossiers. Certains dentre eux peuvent ncessiter un traitement parti-
culier, notamment lorsquune procdure judiciaire, des exigences rglementaires, ou
des questions dordre fiscal ou comptable sont en cause.
SUIVI DES MISSIONS DE CONSEIL FORMELLES (NORME 2500.C1) :
20. Laudit interne doit effectuer un suivi des rsultats des missions de conseil dans les
conditions convenues avec le client donneur dordre. Divers types de suivi peuvent
tre envisags selon le type de mission. Ces modalits de suivi dpendent, notam-
ment, de lintrt prt la mission par le management, ou de lvaluation, par
lauditeur interne, des risques lis au projet, ainsi que de son importance pour
lorganisation.
OCTOBRE 2002
13
MPA 1000.C1-3
Points supplmentaires pour les missions de conseil dans des organismes publics
Interprtation de la norme 1000-C1 (et des autres Normes de mise en uvre relatives aux
missions de conseil) extraite des Normes internationales pour la pratique professionnelle de
laudit interne
Nature de la prsente Modalit Pratique dApplication :
Lobjet de la prsente Modalit Pratique dApplication est similaire celui des

Modalits Pratiques dApplication 1000.C1-1 et 1000.C1-2, qui portent sur les prin-
cipes rgissant lexcution des missions de conseil. Chacune de ces Modalits
Pratiques dApplication est utile aux auditeurs internes pour laccomplissement des
missions de conseil. Selon la dfinition donne par les Normes, Laudit interne est
une activit indpendante et objective qui donne une organisation une assurance
sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer,
et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses
objectifs en valuant, par une approche systmatique et mthodique, ses processus
de management des risques, de contrle, et de gouvernement dentreprise, et en fai-
sant des propositions pour renforcer leur efficacit. Il est rappel aux auditeurs
internes que les Normes de qualification et les Normes de fonctionnement
sappliquent tant aux missions dassurance quaux missions de conseil.
La prsente Modalit Pratique dApplication contient des recommandations
lintention des organismes daudit publics qui oprent conformment aux Normes,
mais dont le rfrentiel local (rgles de gouvernement dentreprise, normes daudit,
politiques et/ou lgislation) limite de faon plus stricte les prestations autres que les
activits dassurance (activits de conseil). Les paramtres adopts par une organisa-
tion pour conduire ses activits de conseil doivent figurer dans la charte de laudit
interne et doivent tre tays par les politiques et les procdures du service daudit
interne. Les recommandations contenues dans la prsente Modalit Pratique
dApplication peuvent aider les organisations laborer des politiques et des dispo-
sitions appropries pour accomplir des activits de conseil.
Il appartient aux auditeurs internes de juger, dun point de vue professionnel, dans
quelle mesure les recommandations contenues dans la prsente Modalit Pratique
dApplication doivent tre appliques au cas par cas. Les auditeurs internes doivent
tenir compte des suggestions suivantes lorsquils effectuent des missions de conseil.
SEPTEMBRE 2006
14
1. Contexte LIIA dfinit les activits de conseil comme suit : conseils et services y
affrents rendus au client donneur dordre, dont la nature et le champ sont convenus
au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et
damliorer les processus de gouvernement dentreprise, de management des risques
et de contrle dune organisation sans que lauditeur interne nassume aucune
responsabilit de management. Quelques exemples : avis, opinion, assistance et for-
mation.
2. Le rle des auditeurs Principes fondamentaux travers leurs missions dassurance

(audit), les auditeurs contribuent garantir que la direction est comptable de la rali-
sation des objectifs de lorganisation et du respect des rgles internes et externes
rgissant la conduite des activits et des oprations. Ces missions peuvent comporter
un volet assistance sous la forme de recommandations visant apporter des am-
liorations. Toutefois, lauditeur nest pas responsable en dernier ressort de la ralisa-
tion ni de lapprobation de ces amliorations. Sil prend la responsabilit de mettre
en uvre ou dapprouver des amliorations oprationnelles, que celles-ci aient t
recommandes dans le cadre dune mission daudit (assurance) ou dans celui dune
mission de conseil distincte, lauditeur compromet trs probablement lindpendance
et lobjectivit indispensables laccomplissement de sa mission.
Mme lorsquils assistent une organisation par des activits de conseil, les auditeurs
doivent maintenir leur intervention dans les limites dont le respect garantit les prin-
cipes fondamentaux de la fonction audit. Ces principes fondamentaux sont notam-
ment les suivants :
les auditeurs doivent tre indpendants et viter les relations et les situations de
nature compromettre leur objectivit ;
les auditeurs ne doivent pas auditer leurs propres travaux (1) ;
les auditeurs ne doivent pas exercer de fonctions de direction ni prendre des dci-
sions relevant du management.
Ces principes sont fondamentaux parce quils sous-tendent la proposition de
valeur fondamentale de laudit, savoir le principe selon lequel un tiers objectif
atteste de la crdibilit des dclarations de la direction ou fournit une assurance sur
celle-ci. Ds lors, pour prserver leur capacit fournir une assurance, il appartient
aux auditeurs de minimiser les risques datteinte leur indpendance lorsque le
mme service daudit effectue galement des prestations de conseil.
(1) Ce principe a t formul par de nombreuses instances de normalisation. Il figure dans les recommanda-
tions publies par lIAASB/IFAC et notamment dans son Code dthique professionnelle, et dans un ouvrage
intitul Generally Accepted Government Auditing Standards publi par le Government Accountability
Office des tats-Unis (Normes gnralement admises pour laudit des organismes publics).
SEPTEMBRE 2006
15
Outre les lments fondamentaux ci-dessus, dautres situations risquent de porter

atteinte lindpendance des auditeurs ; il sagit notamment des prestations de
conseil :
qui crent des intrts rciproques ;
ou qui placent les auditeurs dans la position dun dfenseur de lentreprise (1).
3. Rgles directrices Les rglementations spcifiques qui soumettent des restrictions

les travaux raliss par les auditeurs en marge de leur fonction daudit (assurance)
peuvent sappliquer, selon le cas, soit uniquement aux auditeurs en charge de laudit
externe (audit des tats financiers ou commissariat aux comptes), soit aux auditeurs
ralisant tous types daudit. Par ailleurs, ces rglementations ont pu tre dictes
dans le cadre de la lgislation relative la fonction audit, imposes par des organes
de surveillance ou des instances rglementaires, ou insres dans les codes dthique
ou les normes daudit applicables certaines organisations ou collectivits (2). Il
incombe au responsable de laudit interne de sassurer que la charte du service
daudit, ses politiques et ses procdures sont conformes aux rgles directrices en
vigueur.
Par ailleurs, mme lorsque laudit interne nest pas soumis des rgles restrictives
pour ses activits de conseil, le responsable de laudit interne doit nanmoins
sassurer que le systme dassurance qualit permet de matriser ou de minimiser les
risques datteinte lindpendance ou lobjectivit des auditeurs. Dans le cas
contraire, les missions de conseil pourraient avoir pour effet, long terme, de
compromettre la capacit du service daudit assurer sa fonction daudit (assurance).
En outre, lexercice, par un service daudit, dune mission de conseil qui compromet
son indpendance peut empcher dautres auditeurs de sappuyer sur ces travaux.
4. Activits de nature compromettre lobjectivit ou lindpendance La capacit des

auditeurs participer des prestations de conseil sans compromettre leur indpen-
dance dpend, dans une certaine mesure, de la distinction quils oprent entre
(1) Ce risque est voqu dans le rapport Smith de janvier 2003 intitul Audit Committees Combined Code
Guidance (Comits daudit Recommandations pour lapplication du Combined Code), rdig par un
groupe dexperts dsigns par le Financial Reporting Council. Des solutions sont proposes, entre autres,
dans les recommandations publies par lICAEW (Institute of Chartered Accountants in England and
Wales).
(2) titre dexemples de restrictions spcifiques, on peut citer, au Royaume-Uni, la norme daudit interne du
secteur public n 2.4.2., aux termes de laquelle lobjectivit est prsume altre lorsquun auditeur pris
individuellement examine une activit dans laquelle il a exerc par le pass des fonctions de direction, ou
dans laquelle il a effectu une prestation de conseil. Cette norme est complte par des recommandations
sur les bonnes pratiques en matire de conseil, selon lesquelles il est important, dans le cadre de ce rle,
que lauditeur interne conseille la direction et nentreprenne pas les tches accomplir pour le compte de
la direction, ou en se substituant celle-ci. Lacceptation des conseils de lauditeur interne par la direc-
tion na pas pour effet de transfrer ni de rduire la responsabilit de ses membres dans leurs domaines
de comptences (3.5.3).
SEPTEMBRE 2006
16
lassistance ou le conseil au sens de prconisation, dune part, et lassistance sous la

forme de ralisation de travaux qui sont du ressort de la direction, dautre part. Par
exemple, le fait de donner des avis sur les contrles appropris lors de la conception
dun systme, aura un impact limit sur lobjectivit de lauditeur propos de ce sys-
tme sil est clairement tabli que la direction a la responsabilit daccepter ou de
rejeter ces avis. En revanche, si lauditeur a dirig lquipe charge de concevoir le
systme, dcid des contrles retenir ou supervis la mise en place des contrles
recommands, sa capacit future valuer objectivement ce systme sera altre de
manire significative. Toutefois, cette distinction nest pas ncessairement aussi
nette pour toutes les missions de conseil. Par consquent, les services audit doivent
mettre au point des procdures de revue des missions de conseil potentielles et dter-
miner si elles prsentent un risque pour leur indpendance ou leur objectivit. La
revue effectue pour dterminer cet impact sur lindpendance et lobjectivit futu-
res doit tre documente. Cette documentation doit tre prsente aux valuateurs
externes en cas de revue dassurance qualit.
5. Processus visant minimiser les risques datteinte lobjectivit ou lindpendance.
Le service daudit doit mettre en place des contrles afin de rduire le risque que les
projets de conseil ne compromettent lobjectivit des auditeurs pris individuellement,
ou lindpendance du service daudit pris dans son ensemble. Les techniques uti-
liser cette fin sont notamment les suivantes :
a. Dfinition dans la charte de paramtres concernant les activits de conseil.
b. Politiques et procdures limitant le type et la nature des projets de missions de
conseil et/ou le degr de participation ces projets.
c. Mise en uvre dun processus dexamen des projets de conseil, de prslection
assorti de limites pour lacceptation des missions risquant daltrer lobjectivit.
d. Distinction des cellules conseil de celles ralisant les audits dassurance au
sein du mme service daudit.
e. Rotation des auditeurs dans le cadre des missions.
f. Recours des prestataires extrieurs pour accomplir les missions de conseil, ou
pour raliser les missions dassurance dans des activits pour lesquelles il a t
jug que la participation antrieure du service daudit des prestations de conseil
avait altr son objectivit/indpendance.
g. Mention dans les rapports daudit lorsque lobjectivit tait altre par la partici-
pation une mission de conseil antrieure.
Lannexe A contient des exemples de dispositions appropries pour certaines de ces

techniques de contrle.
SEPTEMBRE 2006
17
Annexe A
Exemples de dispositions concernant les techniques de contrle utiliser

pour minimiser les risques datteinte lindpendance de lauditeur
Dispositions de la charte dfinissant les paramtres pour les activits de conseil.
Les dispositions de la charte prciseront les limites dans lesquelles le service daudit op-
rera. Toutefois, la charte nest pas cense numrer de faon dtaille les services sp-
cifiques qui seront ou non fournis. Par consquent, si des principes de base concernant
lindpendance figurent dj sous dautres rubriques de la charte, ou dans des normes
daudit expressment applicables et rfrences, il suffit dinsrer simplement dans la
charte un renvoi ces rgles en guise de paramtres pour les services fournir. Les trois
exemples ci-dessous concernent deux cas dans lesquels les activits de conseil sont limi-
tes celles pour lesquelles lindpendance ou lobjectivit ne devraient pas tre
compromises, et un cas dans lequel le service daudit peut tre sollicit pour effectuer
des travaux qui relvent normalement de la responsabilit de la direction.
Cas dans lesquels le service daudit limitera ses activits de conseil celles qui ne
compromettent pas son objectivit ou son indpendance :
Lauditeur peut galement assister le maire, le conseil municipal et le personnel
dencadrement dans lexercice de leurs fonctions, en leur communiquant en temps opportun
des informations objectives sur la conduite des oprations de la ville ou en les conseillant sur
les contrles de gestion appropris, conformment aux normes daudit intitules [intitul des
normes applicables].
Le service daudit interne peut exercer dautres fonctions en marge de laudit dassurance,
conformment aux autres dispositions de la prsente Charte, et rdiger puis prsenter
dautres rapports, conformment aux demandes de la Commission.
Cas dans lequel le service daudit fournira un large ventail de services en marge de
laudit, mme si certains de ces services risquent daltrer son objectivit ou son ind-
pendance pour les travaux daudit :
Lauditeur peut tre invit ponctuellement participer des activits de lAgence en marge
de laudit, afin dassister le directeur excutif et les cadres dans lexercice de leurs responsa-
bilits, conformment lautorisation donne par le comit daudit.
SEPTEMBRE 2006
18
Politiques et procdures visant limiter le type et la nature des projets de conseil et/ou le
degr de participation ces projets, ou mettre en place des contrles permettant de mini-
miser les risques datteinte lobjectivit ou lindpendance rsultant de la participation
des missions de conseil.
Si les auditeurs exercent effectivement des fonctions de direction pour lorganisation, le

service daudit doit mettre en place des politiques et procdures appropries. En parti-
culier, ces procdures doivent interdire aux intresss de planifier et de diriger les audits
dassurance venir dans les domaines couverts par les activits de conseil, ou den effec-
tuer la revue. En outre, si le service daudit accomplit une mission de conseil qui portera
atteinte son indpendance ou son objectivit, lorgane qui supervise le service daudit
(le comit daudit, par exemple) doit tre inform, avant le dbut de la mission, que
lindpendance du service daudit sera altre pour tout travail daudit ralis lavenir
dans le domaine concern. Si le service daudit procde nanmoins un audit ultrieur
dans ce domaine, la mention de laltration de son indpendance doit tre mentionne
dans le rapport daudit.
Ces interdictions peuvent tre assouplies en cas dvolution significative dans le domaine
en cause postrieurement la ralisation des prestations dassistance, ou si ces presta-
tions taient soumises une norme minimale, telle quun plafond de 40 heures .
Les exemples de politique et de procdure ci-dessous dcrivent des activits de conseil

et incluent des dispositions (voir le texte soulign) qui limitent ces activits par des para-
mtres visant minimiser les risques datteinte lobjectivit et lindpendance des
auditeurs.
Politique : outre les activits daudit dassurance, le service daudit effectue

trois autres types de prestations pour les cadres de la collectivit ou sur demande de la
Commission : assurance qualit pour les projets en cours, conseil et formation, et organisa-
tion dateliers dauto-valuation des contrles.
Les paramtres affrents chaque type dactivit sont dcrits ci-dessous.
Activits dassurance qualit :

Dans le cadre de lassurance qualit, le service daudit municipal assurera un suivi rappro-
ch des projets en cours et leur portera assistance en apprciant si :
les objectifs des projets seront atteints et sont raisonnables ;
toutes les options ont t identifies et ont fait lobjet dune analyse approfondie ;
les analyses quantitatives et qualitatives sont exhaustives et exactes ;
un plan a t tabli pour le projet et les agents en charge du projet adhrent ce plan ;
les meilleures pratiques mises en uvre dans dautres collectivits pour raliser les objec-
tifs des projets pourraient tre adoptes dans la ville.
SEPTEMBRE 2006
19
Activits de conseil et formation :

Les auditeurs sont disponibles pour aider le personnel de la ville concevoir des systmes de
responsabilisation des cadres et rorganiser les oprations. Les auditeurs ninterviennent
qu titre de conseillers et lencadrement doit accepter la responsabilit de la mise en uvre
des suggestions.
Organisation dAteliers dauto-valuation des contrles :

Dans le cadre de ce processus daudit, une quipe de salaris rencontre des auditeurs en vue
dun dialogue structur sur les moyens mettre en uvre pour raliser ses objectifs de la
manire la plus efficace et la plus efficiente. Des plans dactions sont tablis, plutt quun rap-
port daudit formel, afin de surmonter tout obstacle la ralisation des objectifs. Les memb-
res de lquipe sont responsables de la mise en uvre des mesures prvues dans les plans
dactions.
Les exemples de procdures ci-aprs contiennent des dispositions qui prcisent les
mesures prendre lorsque le service daudit accepte des missions de conseil susceptibles
de compromettre son indpendance et son objectivit lors de futures missions
dassurance :
Lorsque le service daudit est sollicit par le comit daudit pour accomplir des missions de
conseil qui, selon le responsable de laudit interne, altreront lindpendance de son service
ou lobjectivit dun auditeur pris individuellement lors de travaux daudit ultrieurs, les
procdures suivre sont les suivantes :
1. Avant le dbut de la mission de conseil, le responsable de laudit interne informe par crit
le comit daudit que la mission demande portera atteinte lindpendance ou
lobjectivit des auditeurs, en dcrivant la nature de cette atteinte et en indiquant ses cons-
quences pour les futures missions daudit (par exemple, le service daudit devra refuser les
audits venir dans le domaine concern, ou le comit daudit devra en confier la ralisa-
tion un prestataire tiers). Le responsable de laudit interne doit demander au comit
daudit dindiquer par crit au service daudit sil doit effectuer la mission de conseil ou la
refuser.
2. Si le comit daudit invite le service daudit effectuer la mission de conseil, le responsa-

ble de laudit interne mentionne latteinte lindpendance/ lobjectivit dans les docu-
ments suivants :
documents relatifs la mission de conseil, avec copie aux membres de la direction
responsables de cette mission ;
procdures de planification annuelle des projets du service daudit ;
communications du service daudit avec les prestataires externes dassurance qualit
lors de la prochaine revue dassurance qualit.
SEPTEMBRE 2006
20
Si le comit daudit invite le service daudit raliser un audit dassurance couvrant des acti-
vits ou des oprations ayant fait lobjet, par le pass, dune mission de conseil conduite par
ce service, alors que le responsable de laudit interne estimait quelle compromettrait
lindpendance ou lobjectivit des auditeurs pour les travaux daudit venir, les procdures
appliquer sont les suivantes :
1. Avant le dbut de la mission daudit, le responsable de laudit interne communique par
crit avec le comit daudit, linforme de latteinte lindpendance/ lobjectivit, en donne
une description et indique les solutions permettant de raliser les travaux avec un maximum
dobjectivit (par exemple, en ayant recours un prestataire tiers, ou en demandant
lassistance adresse aux auditeurs dentits partenaires ou dinstances rglementaires).
2. Si le comit daudit invite le service daudit effectuer la mission daudit dassurance, le
responsable de laudit interne mentionne latteinte lindpendance/ lobjectivit dans les
documents suivants :
documents concernant la planification de la mission daudit ;
rapport final relatif la mission daudit.
3. En outre, le responsable de laudit interne informe les prestataires externes dassurance
qualit du service daudit de cet vnement et leur fournit toute la documentation y aff-
rente lors de la prochaine revue dassurance qualit.
Processus de prslection des projets de conseil. Lorsquils acceptent et effectuent des

prestations de conseil, les auditeurs doivent documenter les raisons qui les conduisent
fournir ces prestations et dmontrer pourquoi, selon eux, elles ne sont pas contraires aux
principes fondamentaux du rle de laudit. Ces informations doivent tre communiques
aux valuateurs externes dans le cadre de lassurance qualit. Voici un exemple de
procdure de prslection :
1. Ds rception dune demande concernant des activits de conseil, le dpartement daudit

interne examine si ces prestations de services porteront atteinte, dans les faits ou en appa-
rence, soit lobjectivit de lauditeur dsign, soit lindpendance du dpartement, pour
mener des audits dassu rance ultrieurs dans le mme domaine. Sil estime que la mission
constitue une atteinte lindpendance ou lobjectivit, la demande doit tre refuse. En
cas de refus, les causes et la conclusion finale sont documentes dans un mmorandum
adress au service demandeur.
2. Avant deffectuer les prestations de conseil, lauditeur qui en est charg documente avec le
ou les demandeurs un accord stipulant que ces derniers sont responsables de
laboutissement des travaux et quil leur appartient, par consquent, dtre en mesure,
dans les faits et en apparence, de porter un jugement avis sur les rsultats des prestations
de conseil. Le service daudit interne conclut avec le ou les demandeurs un accord concer-
nant lobjectif, le champ et les limitations de la mission de conseil.
SEPTEMBRE 2006
21
MPA SRIE 1100
Indpendance et objectivit
1100 I N D P E N D A N C E ET OBJECTIVIT
L'AUDIT INTERNE DOIT TRE INDPENDANT ET LES AUDITEURS

INTERNES DOIVENT EFFECTUER LEUR TRAVAIL AVEC OBJECTIVIT
MPA 1100-1
Indpendance et Objectivit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils valuent leur indpendance et leur objectivit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner au moment de conduire
une telle valuation. Elle a seulement pour objet de recommander la prise en compte
dun ensemble dlments.
1. Les auditeurs internes sont indpendants lorsquils peuvent exercer leur activit libre-
ment et de faon objective. Lindpendance permet aux auditeurs internes de porter
des jugements sans partialit et sans prjug, ce qui est essentiel la bonne conduite
des audits. Cet objectif est atteint grce leur position dans lorganisation et leur
objectivit.
OCTOBRE 2002 3
1110
Indpendance dans l'organisation
Le responsable de l'audit interne doit relever d'un niveau hirarchique
permettant aux auditeurs internes dexercer leurs responsabilits.
MPA 1110-1
Indpendance dans lorganisation
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour
apprcier leur indpendance au sein de lorganisation. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner lors dune telle valua-
tion. Elle a seulement pour objet de recommander la prise en compte dun ensemble
dlments.
1. Les auditeurs internes doivent bnficier du soutien de la direction gnrale et du

Conseil afin dobtenir la coopration des audits et de pouvoir exercer leur activit
sans entrave.
2. Le responsable de l'audit interne doit dpendre dune personne de lorganisation

ayant une autorit suffisante pour assurer son indpendance, lui garantir un large
champ dintervention, une attention adquate aux communications faites dans le
cadre des missions, et les actions appropries dcoulant des recommandations mises.
3. Idalement, le responsable de l'audit interne doit tre rattach, sur le plan fonction-
nel, au comit d'audit, au Conseil ou tout autre organe dlibrant comptent et,
administrativement, au Directeur Gnral de lorganisation.
4. Le responsable de l'audit interne doit pouvoir communiquer directement avec le

Conseil, le comit d'audit ou tout autre organe dlibrant comptent. Une communi-
cation rgulire auprs du Conseil contribuera assurer son indpendance et sera un
moyen pour le Conseil et le responsable de l'audit interne de se tenir rciproquement
informs sur les problmes dintrt commun.
5. Il y a communication directe lorsque le responsable de l'audit interne assiste et

participe rgulirement aux runions du Conseil, du comit d'audit ou de tout autre
organe dlibrant appropri, qui portent sur leurs responsabilits de supervision en
OCTOBRE 2002
4
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
matire daudit, de communication financire, de gouvernance et de contrle. La pr-

sence et la participation active du responsable de l'audit interne ces runions per-
mettent un change dinformations sur la planification et les activits de laudit interne.
Le responsable de l'audit interne doit rencontrer en priv le Conseil, le comit d'audit
ou tout autre organe dlibrant comptent, au moins une fois par an.
6. Lindpendance est favorise lorsque le Conseil intervient dans la nomination et dans

le remplacement du responsable de l'audit interne.
MPA 1110-2
Rattachement du responsable de laudit interne
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors
de la mise en place ou de lvaluation du rattachement du responsable de laudit
interne et des relations quil entretient avec les personnes/organes dont il relve. La
prsente MPA na pas pour but de procder un expos exhaustif des points exa-
miner lors dune telle valuation. Elle a seulement pour objet de recommander la prise
en compte dun ensemble dlments.
1. Selon les Normes pour la Pratique Professionnelle de lAudit Interne (ci-aprs les
Normes ), le responsable de laudit interne doit relever dun niveau suffisamment
lev dans lorganigramme pour permettre au service daudit interne de remplir sa
mission. Selon lIIA, le respect du critre dindpendance suppose que le responsable
de laudit interne soit rattach fonctionnellement, au comit daudit ou un organe
quivalent. Hirarchiquement, le responsable de laudit interne sera, pour des raisons
dordre administratif, le plus souvent directement rattach au directeur gnral de
lorganisation. Afin dclairer la prsente MPA, lIIA explicite ce quil entend par
rattachement fonctionnel et rattachement administratif .
Le rattachement fonctionnel du service daudit interne conditionne son indpendance
et ses pouvoirs. ce titre, lIIA recommande que le responsable de laudit interne
relve, fonctionnellement, du comit daudit, du conseil dadministration ou de tout
autre organe dlibrant appropri. Sil en est ainsi, le rattachement fonctionnel
implique que lorgane dlibrant :
approuve la charte de laudit interne ;
approuve lvaluation des risques effectue par laudit interne et le plan daudit
correspondant ;
JUIN 2004
5
soit destinataire des rsultats des travaux daudit interne ou de tout autre point
que le responsable de laudit interne estime ncessaire de communiquer, y compris
lors de runions prives sans la prsence des dirigeants ;
approuve toutes les dcisions relatives la nomination ou au remplacement du
responsable de laudit interne ;
approuve la rmunration annuelle et les augmentations de salaire du responsable
de laudit interne ;
senquiert, auprs du management et du responsable de laudit interne,
dventuelles limitations du champ dintervention ou du budget, susceptibles
dempcher laudit interne de mener bien ses missions.
Le rattachement administratif ou hirarchique vise faciliter les activits courantes de

laudit interne. En rgle gnrale, il porte sur :
ltablissement des budgets et la comptabilit de gestion ;
la gestion des ressources humaines, notamment lvaluation des performances et
les rmunrations du personnel ;
les communications internes et les flux dinformation ;
la gestion des rgles et procdures internes.
2. La prsente MPA traite essentiellement des points prendre en compte pour dter-
miner ou valuer la position du responsable de laudit interne dans lorganigramme.
Un rattachement appropri est essentiel pour garantir au service daudit interne
lindpendance, lobjectivit et le statut ncessaires au bon accomplissement de sa
mission. Il est galement primordial pour assurer un flux dinformations appropri et
laccs aux principaux dirigeants et cadres sur lesquels repose lvaluation des
risques et qui sont communiqus les rsultats des travaux daudit. Inversement, le
responsable de laudit interne doit considrer que tout lien de nature compromettre
lindpendance et lefficacit de son activit est une entrave srieuse son champ
dintervention, et doit tre port la connaissance du comit daudit ou de lorgane
quivalent.
3. La prsente MPA prcise en outre que le rattachement du responsable de laudit interne

est fonction :
de la nature de lorganisation (cote ou non cote) ;
de sa taille ;
des pratiques courantes en vigueur dans chaque pays ;
de la complexit croissante des organisations (joint-ventures, socits multinatio-
nales avec filiales), et
JUIN 2004
6
de lvolution des activits daudit interne qui, de plus en plus, fournissent des
services forte valeur ajoute et collaborent avec leurs clients sur les priorits et
ltendue des missions.
Par consquent, lIIA, sil estime que la structure idale consiste en un rattache-
ment fonctionnel au comit daudit et un rattachement hirarchique au directeur
gnral, admet nanmoins que dautres types de structure peuvent tre efficaces
ds lors quil existe une nette distinction entre les liens fonctionnels et les liens
administratifs et que des mesures appropries sont prises tous les niveaux pour
maintenir lindpendance et le champ dintervention. Il appartient aux auditeurs
internes dapprcier, avec leur professionnalisme et au cas par cas, dans quelle
mesure les orientations contenues dans la prsente MPA doivent tre suivies.
4. Les Normes soulignent combien il est important que le responsable de laudit interne
soit rattach une personne disposant de lautorit suffisante pour promouvoir son
indpendance et assurer une large couverture de lorganisation par laudit. Toutefois,
les Normes revtent volontairement un caractre quelque peu gnrique pour ce qui
est des liens administratifs, car elles sont destines tre appliques dans lensemble
des organisations, indpendamment de leur taille ou de tout autre facteur. Parmi les
facteurs qui rendent toute gnralisation impossible figurent la taille et le type de
lorganisation (non cote, publique, ou grand groupe). Le responsable de laudit interne
doit donc tenir compte des points suivants pour apprcier si les liens hirarchiques
en place sont appropris :
Son suprieur administratif possde-t-il une autorit et un niveau hirarchique suf-
fisants pour garantir lefficacit de la fonction ?
Possde-t-il une culture approprie en matire de contrle et de gouvernement
dentreprise pour assister le responsable de laudit interne dans ses fonctions ?
Est-il suffisamment disponible et intress pour assister activement le responsable
de laudit interne sur les questions daudit ?
Comment peroit-il et soutient-il la liaison fonctionnelle en place ?
5. Le responsable de laudit interne doit galement sassurer que son indpendance

nest pas compromise lorsque son suprieur hirarchique exerce dans lorganisation
dautres fonctions entrant dans le champ dintervention de laudit interne. Par exemple,
certains responsables de laudit interne sont administrativement rattachs au direc-
teur financier, qui est galement responsable de la fonction comptable au sein de
lorganisation. Le service daudit interne doit avoir toute latitude pour procder un
audit et diffuser un rapport sur toute autre activit qui relve hirarchiquement de la
mme personne et quil juge opportun dinclure dans son plan daudit. Toute limita-
tion concernant ltendue des travaux affrents ces activits ou la diffusion de leurs
rsultats doit tre porte la connaissance du comit daudit.
JUIN 2004
7
Lenqute sur la pratique de laudit interne en France en novembre 2002 a montr

que dans 85 % des organisations rpondant (au nombre de 163), laudit interne est
rattach la Direction gnrale ou au Prsident du Conseil contre 70 % en 1999,
et que son rattachement la Direction financire nest plus que de 15 % contre
25 %, 3 ans plus tt.
Dans le cadre de cette enqute, il a t recueilli lavis de prsidents de comits
daudit sur le rattachement souhaitable de laudit interne ; voici les commentai-
res de deux dentre eux :
Jacques Friedmann (Prsident du comit daudit de Total)

Quant lindpendance de laudit interne, cest au Conseil dadministration de
sen assurer mais cest essentiellement de la responsabilit de la Direction gn-
rale.
Le Responsable de laudit interne ne peut qutre rattach au plus haut niveau,
cest--dire au Prsident ou au Directeur gnral. Cest absolument indispen-
sable. Cest la condition mme de lindpendance de laudit interne.
Jean Peyrelevade (Prsident du comit daudit de Suez)

Il a une liaison hirarchique qui est ncessairement par rapport sa Direction
gnrale. Il a une liaison fonctionnelle avec le Prsident du Comit daudit.
6. Compte tenu de la tendance rcente au durcissement du cadre lgislatif et rgle-

mentaire rgissant linformation financire dans le monde entier, les rattachements
fonctionnel et hirarchique du responsable de laudit interne doivent permettre au
service daudit interne de rpondre, le cas chant, aux attentes croissantes du comit
daudit ou dautres partenaires importants. Il arrive de plus en plus souvent que le
responsable de laudit interne soit convi jouer un rle plus important en matire
de gouvernement dentreprise et de management des risques. Son double rattache-
ment doit permettre son service de rpondre plus facilement ces attentes.
7. Quels que soient les rattachements mis en place dans lorganisation, plusieurs mesures
essentielles peuvent contribuer faire en sorte quils favorisent lefficacit et
lindpendance de lactivit daudit interne.
Rattachement fonctionnel :
il doit sagir dune liaison directe avec le comit daudit ou lorgane quivalent,
de faon garantir un niveau adquat dindpendance et de communication ;
le responsable de laudit interne et le comit daudit (ou lorgane quivalent)
doivent se runir parfois en priv sans la prsence des dirigeants, de faon
renforcer lindpendance et la nature de leur liaison fonctionnelle ;
JUIN 2004
8
le comit daudit doit tre responsable en dernier ressort de lexamen et de

lapprobation du plan annuel daudit et de toute modification importante le
concernant ;
le responsable de laudit interne doit tre en mesure de contacter librement et
tout moment, sil le juge opportun, le prsident ou les membres du comit
daudit, ainsi que le Conseil ou son prsident ;
le comit daudit doit valuer au moins une fois par an les performances du
responsable de laudit interne, et approuver sa rmunration annuelle et ses
augmentations de salaire ;
la charte de laudit interne doit mentionner clairement le rattachement fonction-
nel et le rattachement administratif de laudit interne, ainsi que les principales
activits gres par lun et lautre.
Rattachement administratif-hirarchique :
le responsable de laudit interne doit tre rattach, hirarchiquement, au direc-
teur gnral ou un autre cadre dirigeant dune autorit suffisante pour lassister
dans lexercice de ses activits courantes. Cette assistance consiste notamment
bien positionner laudit interne et son responsable dans lorganigramme, de
faon donner ce service limportance qui lui revient au sein de lorganisation.
Le rattachement un chelon hirarchique trop faible peut avoir une incidence
ngative sur limportance et lefficacit de laudit interne dans lorganisation ;
le suprieur hirarchique ne doit pas dcider en dernier ressort du champ
dintervention de laudit interne ni de la diffusion de ses rsultats ;
le suprieur hirarchique doit faciliter un contact direct et ouvert avec les
dirigeants et les cadres oprationnels. Le responsable de laudit interne doit tre
en mesure de communiquer directement tous les niveaux de la hirarchie,
y compris avec le Directeur gnral ;
le suprieur hirarchique doit permettre la mise en place dune communication
et de flux dinformations appropris de telle sorte que le service daudit interne
et son responsable soient bien informs, dans des dlais convenables, des acti-
vits, des programmes et des projets de lorganisation ;
les contrles et les contraintes budgtaires imposs par le suprieur hirarchique
ne doivent pas compromettre la capacit de laudit interne accomplir sa mis-
sion.
Lenqute sur la pratique de laudit interne en France en novembre 2002 nous

apprend que laudit interne est trs proche de la direction gnrale. En effet, un
service daudit interne sur deux a au moins une runion formelle par trimestre
avec elle. Les principaux sujets voqus au cours de ces runions sont la revue
du plan daudit, lexamen des conclusions des missions, la revue de lvaluation
des risques et le suivi des actions de progrs.
JUIN 2004
9
8. Les responsables de laudit interne doivent aussi envisager leurs relations avec les
autres services investis dune fonction de contrle et de surveillance (management
des risques, dontologie, scurit, juridique, thique, environnement, audit externe),
et faciliter la communication au comit daudit des risques significatifs et des pro-
blmes lis aux contrles.
1110.A1 1110.A1
Laudit interne ne doit subir aucune ingrence lors de la dfinition

de son champ dintervention, de la ralisation du travail et
de la communication des rsultats.
MPA 1110.A1-1
Justification des demandes dinformations
quils sont invits justifier leurs demandes dinformations. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments.
Un auditeur interne est parfois invit par laudit ou par dautres parties expliquer
lintrt que prsente un document demand pour la conduite de sa mission. La ques-
tion de savoir sil faut ou non justifier durant la mission la ncessit de certains docu-
ments doit tre apprcie au cas par cas. La prsence dirrgularits significatives
peut se traduire par un environnement moins propice que celui permettant une coop-
ration normale entre auditeur et audit. Toutefois, il sagit l dun jugement quil
appartient au responsable de l'audit interne de former en fonction des circonstances.
OCTOBRE 2002
10
1120
Objectivit individuelle
Les auditeurs internes doivent avoir une attitude impartiale
et dpourvue de prjugs, et viter les conflits dintrts.
MPA 1120-1
Objectivit Individuelle
apprcier leur degr dobjectivit. La prsente MPA na pas pour but de procder un
expos exhaustif des points examiner. Elle a seulement pour objet de recommander
la prise en compte dun ensemble dlments.
1. Lobjectivit est une attitude desprit marque par lindpendance que les auditeurs
doivent garder dans la ralisation de leurs missions. Les auditeurs internes ne doivent
pas subordonner leur propre jugement en matire daudit celui dautres personnes.
On compltera cette dfinition de lobjectivit par limprieuse ncessit

dutiliser des approches et des mthodes rigoureuses et donc objectives, ainsi
que le dtaillent les normes de la srie 2100.
2. Lobjectivit ncessite que les auditeurs internes ralisent leurs missions de telle
manire quils aient sincrement confiance dans le rsultat de leur travail et dans le
fait quaucune concession significative nait t faite en matire de qualit. Les audi-
teurs internes ne doivent pas se trouver placs dans des situations o ils se sentiraient
incapables de porter des jugements professionnels objectifs.
3. Les affectations au sein de lquipe doivent tre effectues de manire viter tout
conflit dintrt ou manque dimpartialit potentiels ou rels. Le responsable de
l'audit interne doit priodiquement sassurer auprs des auditeurs quaucun conflit
dintrt ou aucune influence ne sont susceptibles daltrer cette indpendance. Une
rotation rgulire des auditeurs internes au sein de lquipe est souhaitable.
4. Les travaux daudit doivent tre revus avant la diffusion des conclusions de laudit,
afin de fournir une assurance raisonnable que le travail a t ralis avec objectivit.
OCTOBRE 2002
11
5. Le fait pour un auditeur interne daccepter une rmunration ou un cadeau de la part

dun employ, client, fournisseur ou associ est contraire lthique. Ce type de com-
portement peut laisser supposer que lobjectivit de lauditeur a t altre, quil
sagisse de missions en cours ou de missions futures de lauditeur. La nature des mis-
sions ne saurait en aucun cas justifier lacceptation de rmunrations ou de cadeaux.
Lacceptation darticles publicitaires (tels que stylos, calendriers ou chantillons) mis
la disposition du public et dune valeur minime ne devrait pas fausser les jugements
professionnels des auditeurs internes. Ces derniers doivent rendre compte sans dlai
leur suprieur hirarchique de toute offre de rmunrations ou de cadeaux impor-
tants.
OCTOBRE 2002
12
1130
Atteintes lindpendance et lobjectivit

Si lobjectivit ou lindpendance des auditeurs internes
sont compromises dans les faits ou mme en apparence,
les parties concernes doivent en tre informes de manire prcise.
La forme de cette communication dpendra de la nature de
latteinte lindpendance.
MPA 1130-1
Atteintes lindpendance ou lobjectivit
moment dexaminer les atteintes lindpendance et lobjectivit. La prsente MPA
na pas pour but de procder un expos exhaustif des points examiner. Elle a seu-
lement pour objet de recommander la prise en compte dun ensemble dlments.
1. Les auditeurs internes doivent signaler au responsable de l'audit interne toutes les
situations dans lesquelles lexistence dun conflit d'intrt ou dun parti pris sont sus-
ceptibles daltrer leur indpendance et leur objectivit. Le responsable de l'audit
interne doit alors raffecter les auditeurs concerns.
2. Une limitation du champ dintervention est une restriction impose laudit interne
lempchant de raliser ses objectifs et son planning. Des limitations de ce type peu-
vent, entre autres, restreindre :
le domaine dintervention dfini dans la Charte ;
laccs de laudit interne aux dossiers, au personnel, et aux biens physiques nces-
saires la ralisation des missions ;
le plan daudit lorsqu'il a t approuv ;
la mise en uvre des procdures ncessaires la mission ;
le budget et les ressources humaines qui ont t approuvs.
3. Une limitation du champ dintervention et ses rpercussions possibles doivent tre

communiques, de prfrence par crit, au Conseil, au comit d'audit ou tout autre
organe dlibrant appropri.
OCTOBRE 2002
13
4. Le responsable de l'audit interne doit juger sil convient dinformer le Conseil, le

comit d'audit ou tout autre organe dlibrant appropri, des restrictions qui leur ont
dj t communiques et quils ont acceptes. Cette information peut savrer
ncessaire surtout lorsque des changements, au sein de lorganisation, du Conseil ou
de la direction gnrale, ont eu lieu.
1130.A1
Les auditeurs internes doivent s'abstenir d'auditer des

oprations particulires dont ils ont t auparavant responsables.
L'objectivit d'un auditeur est prsume altre lorsqu'il ralise
une mission d'assurance pour une activit dont il a eu la
responsabilit au cours de l'anne prcdente.
MPA 1130.A1-1
Audit des oprations dont les auditeurs internes ont t auparavant responsables

quil leur est demand dauditer une activit dont ils taient prcdemment respon-
sables. La prsente MPA na pas pour but de procder un expos exhaustif des
points examiner. Elle a seulement pour objet de recommander la prise en compte
1. Les auditeurs internes ne doivent pas exercer de responsabilits oprationnelles. Si la

direction gnrale estime ncessaire de confier occasionnellement des auditeurs
internes des tches trangres lAudit, il doit tre clairement prcis que ces mis-
sions nentrent pas dans le cadre des fonctions daudit interne. De plus, lobjectivit
est prsume altre lorsque des auditeurs internes ralisent une mission dassurance
pour une activit dans laquelle ils ont exerc une autorit ou une responsabilit au
cours de lanne prcdente. Il faut tenir compte de cette atteinte lobjectivit lors
de la diffusion des rsultats de laudit.
Si les auditeurs internes sont chargs dexcuter des travaux qui ne relvent pas de
laudit et qui sont susceptibles daltrer leur objectivit, tels que ltablissement de
rapprochements bancaires, le responsable de l'audit interne doit informer la direc-
tion gnrale et le Conseil que ces travaux ne relvent pas dune mission
dassurance et quil faut par consquent se garder den attendre des conclusions
relevant dun audit.
OCTOBRE 2002
14
En outre, lorsque laudit interne exerce des responsabilits oprationnelles, il

convient dtre particulirement vigilant et sassurer de lobjectivit des auditeurs
quand une mission dassurance est entreprise ultrieurement dans le domaine
considr. Lobjectivit des auditeurs internes est prsume altre lorsquils audi-
tent une activit dont ils ont assum la responsabilit au cours de lanne prc-
dente. Ces circonstances doivent tre clairement prcises lors de la diffusion des
rsultats dun audit portant sur un domaine dans lequel un auditeur a exerc des
responsabilits oprationnelles.
2. Si les activits confies supposent lexercice dune autorit oprationnelle,
lobjectivit de laudit est prsume altre pour ces activits.
3. Les membres du personnel muts ou temporairement affects au service daudit
interne ne doivent pas participer, avant un dlai raisonnable, (au moins un an)
laudit de leurs prcdentes activits. De telles participations doivent, en effet, tre
considres comme altrant leur objectivit et il doit en tre tenu compte dans la
supervision des travaux daudit et dans la diffusion de leurs rsultats.
4. Lobjectivit de lauditeur interne nest pas compromise lorsquil est amen recom-
mander la mise en place de normes de contrle pour les systmes dinformation ou
examiner des procdures avant leur mise en application. Par contre, son objectivit
est prsume altre sil conoit, met en place, rdige les procdures y relatives ou
exploite de tels systmes.
5. Lexcution ponctuelle par les auditeurs internes de travaux qui ne sont pas des tra-
vaux daudit, ne compromet pas ncessairement leur indpendance dans la mesure
o ils sont clairement mentionns dans le rapport daudit. Toutefois, le management
et les auditeurs internes doivent veiller attentivement ce que ces travaux naltrent
pas leur objectivit.
MPA 1130.A1-2
Responsabilits exerces par laudit interne au titre dautres fonctions
La Modalit Pratique dApplication qui suit sadresse aux auditeurs internes qui doi-
vent dcider sils acceptent ou non dexercer des fonctions oprationnelles autres que
laudit. Lacceptation de telles responsabilits peut compromettre lindpendance et
lobjectivit de lauditeur et doit tre vite dans la mesure du possible. La prsente
MPA na pas pour but de procder un expos exhaustif des points examiner pour
valuer ces responsabilits ou ces fonctions.
OCTOBRE 2002
15
1. Certains auditeurs internes se voient attribuer ou acceptent des fonctions autres que
laudit pour diverses raisons qui paraissent logiques au management de
lorganisation. Les auditeurs internes sont de plus en plus souvent sollicits pour
assumer des fonctions et des responsabilits susceptibles de compromettre leur ind-
pendance ou leur objectivit. Les organisations, quelles fassent ou non appel public
lpargne, doivent rpondre des exigences croissantes defficience et defficacit
et ceci tout en rduisant leurs ressources ; certains auditeurs internes sont donc ame-
ns, la demande du management de lorganisation, assumer des fonctions qui font
priodiquement lobjet dun audit interne.
2. Lindpendance et lobjectivit de lauditeur interne risquent dtre altres lorsque
laudit interne ou un auditeur interne assument une fonction quils sont susceptibles
dauditer, ou que le management envisage de leur attribuer. Pour apprcier limpact
sur son indpendance et son objectivit, lauditeur interne doit tenir compte des fac-
teurs suivants :
les principes noncs par le Code de Dontologie et les Normes pour la Pratique
Professionnelle de laudit interne ;
les attentes des parties prenantes de lorganisation, notamment de ses actionnaires,
du Conseil, du comit daudit, du management, du lgislateur, des instances
publiques et rglementaires et des associations dintrt gnral ;
les dispositions et/ou restrictions prvues par la charte de laudit interne ;
les informations dont la communication est obligatoire en vertu des Normes ;
la couverture ultrieure, dans le cadre du programme daudit, des fonctions ou
responsabilits acceptes par lauditeur interne.
3. Pour dterminer sils peuvent accepter la responsabilit dune fonction autre que
laudit, les auditeurs internes doivent tenir compte des facteurs suivants :
selon le Code de Dontologie et les Normes de lIIA, laudit interne doit tre ind-
pendant, et les auditeurs internes doivent accomplir leur mission avec objectivit ;
les auditeurs internes doivent, sils le peuvent, sabstenir dexercer des fonctions,
autres que laudit, qui font priodiquement lobjet dun audit interne ;
si ce nest pas possible, il convient dinformer les parties concernes que cette
situation est susceptible de porter atteinte lindpendance et lobjectivit de
lauditeur, la nature des informations communiquer tant fonction de la gravit de
cette atteinte ;
lobjectivit dun auditeur est prsume altre lorsquil ralise une mission dassu-
rance pour une activit dont il a eu la responsabilit au cours de lanne prc-
dente ;
lorsque le management confie ponctuellement aux auditeurs internes des travaux
ne relevant pas de laudit, il convient de bien prciser que les auditeurs internes
ninterviennent pas en leur qualit dauditeurs ;
OCTOBRE 2002
16
les attentes des parties prenantes de lorganisation, y compris les exigences lgales
ou rglementaires, doivent tre values en tenant compte du risque de non-objec-
tivit ;
si la charte de laudit interne contient des restrictions ou des clauses limitatives
concernant lattribution aux auditeurs internes de fonctions autres que laudit, il
convient de mentionner ces restrictions et den discuter avec le management. Si ce
dernier insiste pour confier ces fonctions un auditeur, celui-ci consultera le comit
daudit ou tout autre organe dlibrant appropri. A dfaut de disposition expresse
de la charte, il convient de se rfrer aux lignes directrices figurant ci-dessous, qui
sont subordonnes aux clauses de la charte.
valuation les rsultats de lvaluation doivent tre analyss avec le management,

le comit daudit et/ou les autres partenaires comptents. Il convient dexaminer un
certain nombre de points, parfois interdpendants, et notamment de :
apprcier limportance que revt la fonction oprationnelle pour lorganisation (en
termes de chiffre daffaires, de dpenses, de rputation et dinfluence) ;
valuer la dure de la mission confie et ltendue des responsabilits ;
dterminer si le principe de la sparation des tches est bien respect ;
tenir compte, lors de la communication, des possibles atteintes lobjectivit ou
lindpendance de lauditeur, dans les faits ou en apparence ;
Audit de la fonction et informations communiquer Ds lors que laudit interne

exerce des responsabilits oprationnelles dans un domaine couvert par le plan
daudit, lauditeur doit prendre en compte plusieurs pistes de rflexion :
laudit peut tre ralis par un prestataire extrieur, par des auditeurs externes ou
par le service daudit interne. Dans les deux premiers cas, le risque li au manque
dobjectivit est minimis par le recours des auditeurs externes. Dans le dernier
cas, lobjectivit serait fausse ;
les auditeurs qui exercent des responsabilits oprationnelles ne doivent pas parti-
ciper laudit des oprations dont ils ont la charge. Dans la mesure du possible, les
auditeurs qui procdent lvaluation doivent tre superviss et rendre compte des
rsultats de leurs travaux des personnes dont lindpendance et lobjectivit sont
garanties ;
il convient de mentionner les responsabilits oprationnelles exerces par lauditeur
dans le cadre de la fonction en cause, limportance de ces oprations pour
lorganisation (en termes de chiffre daffaires, de dpenses ou en fonction de tout
autre critre pertinent), ainsi que le lien existant entre les personnes qui ont pro-
cd laudit de la fonction et lauditeur concern ;
il convient dindiquer les responsabilits oprationnelles de lauditeur dans le rap-
port daudit et dans le compte-rendu que lauditeur adresse au comit daudit ou
tout autre organe de direction.
OCTOBRE 2002
17
MPA SRIE 1200
Comptence et conscience professionnelle
1200 COMPTENCE ET CONSCIENCE PROFESSIONNELLE
LES MISSIONS DOIVENT TRE REMPLIES AVEC COMPTENCE

ET CONSCIENCE PROFESSIONNELLE
MPA 1200-1
Comptence et conscience professionnelle
de la ralisation des missions. La prsente MPA na pas pour but de procder un
1. La comptence professionnelle est de la responsabilit du responsable de l'audit

interne et de chaque auditeur interne. Le responsable de l'audit interne doit s'assurer
que pour chaque mission, lquipe dauditeurs dsigns possde collectivement les
connaissances, le savoir-faire et les comptences ncessaires pour mener correcte-
ment la mission.
2. Les auditeurs internes doivent respecter les normes de conduite de la profession. Le

Code de Dontologie de lIIA dpasse la dfinition de laudit interne en incluant deux
composantes essentielles :
des principes applicables la pratique de laudit interne et lexercice de la pro-
fession en particulier les principes dintgrit, dobjectivit, de confidentialit et
de comptence ;
des rgles de conduite dcrivant le type de comportement attendu des auditeurs
internes. Ces rgles, qui facilitent linterprtation des principes et leur application
pratique, sont destines guider les auditeurs internes sur le plan de lthique.
OCTOBRE 2002
3
1210
Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire
et les autres comptences ncessaires l'exercice de leurs responsabilits
individuelles. L'audit interne doit possder ou acqurir collectivement
les connaissances, le savoir-faire et les autres comptences ncessaires
l'exercice de ses responsabilits.
MPA 1210-1
Comptence
moment dexaminer leur comptence. La prsente Modalit Pratique dApplication
lement pour objet de recommander la prise en compte dun ensemble dlments.
1. Tout auditeur interne doit possder certaines connaissances, un savoir-faire et des

comptences prcises dans les domaines suivants :
la comptence en matire dapplication des normes, procdures et techniques
daudit est ncessaire la ralisation des missions. La comptence est la capacit
utiliser ses connaissances dans les diverses situations susceptibles de se prsen-
ter et dy faire face sans recourir de faon excessive des recherches et une assis-
tance techniques ;
la comptence en matire de principes et de techniques comptables est indispensable
aux auditeurs qui travaillent beaucoup sur des documents et rapports financiers ;
la comprhension des principes de management est ncessaire pour dtecter
lexistence de dviations aux bonnes pratiques des affaires et en apprcier la por-
te et la matrialit. Cette comprhension implique une capacit appliquer des
connaissances gnrales aux situations susceptibles dtre rencontres au cours
des audits, de dtecter les dviations significatives et dtre capable de procder
aux recherches ncessaires pour aboutir des solutions raisonnables ;
il est, par ailleurs, ncessaire de possder une connaissance des principes de base
en comptabilit, conomie, droit commercial, fiscalit, finance, mthodes quanti-
tatives et technologies de linformation. Ces connaissances gnrales doivent per-
mettre de reconnatre lexistence ou lventualit de problmes et de dterminer
ainsi les recherches supplmentaires entreprendre ou lassistance obtenir.
JUIN 2004
4
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
2. Les auditeurs internes doivent disposer de bonnes qualits relationnelles et savoir

communiquer efficacement. Les auditeurs internes doivent avoir le sens des relations
humaines et savoir maintenir de bonnes relations avec les clients de la mission.
3. Les auditeurs internes doivent tre capables de communiquer oralement et par crit,
de manire pouvoir exposer clairement et efficacement les objectifs, les apprcia-
tions, les conclusions et les recommandations de la mission.
4. Le responsable de l'audit interne doit dfinir des critres appropris de formation

gnrale et dexprience pour pourvoir les postes dauditeurs internes, en considrant
la nature des travaux et le niveau de responsabilit. Il est ncessaire dobtenir une
assurance raisonnable sur les qualifications et la comptence des candidats.
5. Le personnel daudit interne doit possder collectivement les connaissances et le

savoir-faire indispensables la pratique de la profession dans lorganisation. Il
convient de procder une analyse annuelle des connaissances et des comptences
des membres du service daudit interne, de faon mieux identifier les points am-
liorer grce des programmes de formation continue, des recrutements ou par la
mise en uvre de ressources externes partages.
6. La formation continue est essentielle pour sassurer que le personnel du service

daudit interne demeure parfaitement comptent (voir la Modalit Pratique
dApplication 1230-1 pour les points spcifiques la formation continue).
7. Le responsable de laudit interne doit faire appel des experts extrieurs son service
afin de soutenir ou de complter les travaux des auditeurs lorsque ces derniers ne
possdent pas toutes les comptences requises dans un domaine donn (voir la
Modalit Pratique dApplication 1210.A1-1 pour des informations plus spcifiques
sur le recours des prestataires extrieurs au service audit).
JUIN 2004
5
1210.A1
Le responsable de l'audit interne doit obtenir lavis et lassistance

de personnes qualifies si les auditeurs internes ne possdent
pas les connaissances, le savoir-faire et les autres comptences
ncessaires pour s'acquitter de tout ou partie de leur mission.
MPA 1210.A1-1
Recours des prestataires de services externes
quils envisagent de recourir des prestataires de services chargs dassister lactivit
daudit interne. La prsente Modalit Pratique dApplication na pas pour but de pro-
cder un expos exhaustif des points examiner. Elle a seulement pour objet de
1. Laudit interne doit disposer du personnel ou recourir des prestataires de service

extrieurs qualifis dans des disciplines telles que la comptabilit, laudit,
lconomie, la finance, les statistiques, les technologies de linformation, lingnierie,
la fiscalit, le droit, lenvironnement et tout autre domaine ncessaire pour pouvoir
exercer ses responsabilits daudit interne. Toutefois, il nest pas ncessaire que cha-
cun des membres du service soit lui-mme comptent dans toutes ces disciplines.
2. Un prestataire de service extrieur est une personne ou une organisation indpen-

dante de lorganisation qui possde des connaissances, un savoir-faire et une exp-
rience particuliers dans une discipline donne. Les prestataires de services incluent
notamment les actuaires, les experts-comptables, les conseils en valuation, les sp-
cialistes de lenvironnement, les experts en enqutes sur la fraude, les avocats, les
ingnieurs, les gologues, les experts en scurit, les statisticiens, les spcialistes des
technologies de linformation, les auditeurs externes de lorganisation et les autres
cabinets daudit. Ils peuvent tre mandats par le Conseil, la direction gnrale ou le
responsable de l'audit interne.
3. Laudit interne peut faire appel des prestataires de service notamment dans les cas
suivants :
missions daudit impliquant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de linformation, les statistiques, la fiscalit,
OCTOBRE 2002
6
les langues trangres, ou la ncessit datteindre les objectifs fixs dans le

planning ;
valuation dactifs tels que terrains et immeubles, uvres dart, pierres prcieuses,
investissements et instruments financiers complexes ;
dtermination des quantits ou caractristiques physiques de certains biens tels
que minerais et rserves de ptrole ;
valuation des travaux achevs et restant achever dans le cadre de contrats en
cours ;
enqutes sur la fraude et la scurit ;
valuations ralises selon des mthodes particulires telles que calculs actuariels
concernant les engagements lis aux avantages sociaux ;
interprtation de la lgislation, de la rglementation et des normes techniques ;
valuation du programme dassurance qualit de lactivit d'audit interne confor-
mment larticle 1300 des Normes ;
fusions et acquisitions.
4. Lorsquil prvoit de recourir un prestataire de service extrieur et de sappuyer sur

ses travaux, le responsable de l'audit interne doit valuer sa comptence, son ind-
pendance et son objectivit au vu des particularits de la mission accomplir. Il
convient de procder galement cette valuation si le prestataire de service ext-
rieur est choisi par la direction gnrale ou par le Conseil, et si le responsable de
l'audit interne prvoit de sappuyer sur ses travaux. Lorsque le responsable de l'audit
interne ne choisit pas lui-mme le prestataire de service et si son valuation montre
quil ne devrait pas sappuyer sur ses travaux, les rsultats de cette valuation doivent
tre communiqus la direction gnrale ou au Conseil, selon le cas.
5. Le responsable de l'audit interne doit sassurer que le prestataire de service extrieur
possde les connaissances, le savoir-faire et les comptences ncessaires pour
accomplir sa mission. Pour valuer ces comptences, le responsable de l'audit interne
tiendra compte des lments suivants :
diplme, agrment ou autre titre attestant de la comptence du prestataire de ser-
vice dans la discipline en question ;
adhsion du prestataire de service un organisme professionnel comptent et
adhsion au code de dontologie de cet organisme ;
rputation du prestataire de service. La prise en compte de cet lment peut impli-
quer la consultation de tiers faisant habituellement appel aux travaux du prestataire ;
exprience du prestataire de service dans le type de travaux quon envisage de lui
confier ;
niveau dtudes et formation du prestataire de service dans les disciplines lies
la mission en question ;
connaissances et exprience du prestataire de service dans le secteur dactivit de
lorganisation.
OCTOBRE 2002
7
Ces qualifications sont requises non seulement de lassoci qui signe le contrat
mais aussi du responsable quil dlgue sur place.
6. Le responsable de l'audit interne doit examiner les liens existant entre le prestataire
de service extrieur, lorganisation et son service daudit interne, et sassurer que
lindpendance et lobjectivit du prestataire de service seront garanties tout au long
de la mission. Pour procder cet examen, le responsable de l'audit interne doit
sassurer quaucun lien financier, professionnel ou personnel nempchera le presta-
taire de service de formuler un jugement et une opinion objectifs et impartiaux lors
de la ralisation de sa mission et de lmission de ses rapports.
7. Pour apprcier lindpendance et lobjectivit du prestataire de service extrieur, le

responsable de l'audit interne doit tenir compte des lments suivants :
intrt financier ventuel dtenu par le prestataire de service dans lorganisation ;
lien personnel ou professionnel entre le prestataire de service et le Conseil, la direc-
tion gnrale ou les autres membres de lorganisation ;
liens tablis par le pass entre le prestataire de service et lorganisation ou les acti-
vits examines ;
tendue des autres services rcurrents excuts par le prestataire de service pour
lorganisation ;
rmunration ou autres avantages perus, le cas chant, par le prestataire de service.
8. Si le prestataire de service est galement auditeur externe de lorganisation et si sa

mission consiste en des travaux daudit approfondis, le responsable de l'audit interne
doit sassurer que les travaux ainsi raliss ne remettent pas en cause lindpendance
de lauditeur externe. Lexpression travaux daudit approfondis vise les services qui
dpassent le cadre des normes daudit gnralement admises par la charte dontolo-
gique de la profession dauditeur externe.
En France, le Code de Dontologie Professionnelle de la Compagnie Nationale
des Commissaires aux Comptes (C.N.C.C).
Si la mission qui leur est confie les amenait agir ou donner lapparence dagir
comme des membres de la direction gnrale, du management ou des employs de
lorganisation, alors leur indpendance serait compromise. En outre, il peut arriver
que les auditeurs externes fournissent lorganisation dautres services, en matire
de fiscalit ou de conseil notamment. Lindpendance doit tre apprcie eu gard
la gamme complte des services rendus lorganisation.
9. Le responsable de l'audit interne doit obtenir suffisamment dinformations quant

ltendue de la mission du prestataire de service extrieur, de faon pouvoir vrifier
que ses travaux rpondent aux objectifs de laudit interne. Il peut savrer prudent de
OCTOBRE 2002
8
prciser ltendue de la mission et divers autres points dans une lettre de mission ou
dans un contrat. Le responsable de l'audit interne devra examiner les points suivants
avec le prestataire de service :
objectifs et tendue de la mission ;
points particuliers qui devront tre couverts dans les rapports remis au titre de la
mission ;
accs aux documents, aux personnes et aux biens corporels concerns ;
informations concernant les hypothses et les procdures utiliser ;
proprit et conservation des documents de travail tablis dans le cadre de la mis-
sion, le cas chant ;
confidentialit des informations obtenues au cours de la mission et restrictions les
concernant.
10. Lorsque le prestataire de service accomplit des travaux daudit interne, le responsable
de l'audit interne doit exiger et veiller ce que ces travaux soient raliss conform-
ment aux Normes pour la Pratique Professionnelle de laudit interne. Dans le cadre
de la revue des travaux dun prestataire de service, le responsable de l'audit interne
doit valuer la pertinence des travaux effectus. Cette valuation consiste notam-
ment sassurer que les informations obtenues sont suffisantes pour justifier les
conclusions formules et les solutions proposes et statuer sur les exceptions signi-
ficatives ou les autres points inhabituels.
11. En cas de recours un prestataire de service extrieur, le responsable de l'audit inter-

ne peut, le cas chant, mentionner les services ainsi fournis dans les documents ou
rapports mis au titre de la mission. Le prestataire de service doit en tre inform et,
le cas chant, son accord doit tre obtenu avant toute mention de ses services dans
ces documents.
OCTOBRE 2002
9
1210.A2
Lauditeur interne doit possder des connaissances suffisantes

pour identifier les indices dune fraude, mais il nest pas cens possder
lexpertise dune personne dont la responsabilit premire
est la dtection et linvestigation des fraudes.
MPA 1210.A2-1
Responsabilits de lauditeur interne en matire de prvention,
de dtection et dvaluation des risques de fraude
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en
matire de fraude. La prsente MPA na pas pour but de procder un expos
exhaustif des points examiner. Elle a seulement pour objet de recommander un
niveau minimum de connaissances sur la fraude et certaines mesures mettre en
uvre. Le niveau de formation et dexprience requis pour un service daudit interne
et pour ses membres variera en fonction des profils de poste et des prestations de
conseil et dassurance que la direction gnrale et le conseil dadministration atten-
dent du responsable de laudit interne. Ds lors, le niveau de comptences requis sera
dautant plus lev que les auditeurs seront trs impliqus.
La prsente MPA doit tre lue conjointement avec la MPA 1210.A2-2, Responsabilits
de lauditeur interne en matire denqutes, de prsentation de rapports, de rsolution de
problmes et de communication relatives la fraude .
DFINITION DE LA FRAUDE
On entend par fraude lensemble des irrgularits et actes illgaux commis sciemment,
avec lintention de tromper ou de dformer. Certains actes, qualifis de
fraude dans la prsente MPA et dans la MPA 1210.A.2-2, sont susceptibles de rpon-
dre galement la dfinition juridique et/ou la dfinition courante de la corruption.
Lauteur de la fraude sait que celle-ci peut entraner un avantage irrgulier son profit,
au profit de lorganisation ou dautrui. La fraude peut tre perptre par des collabora-
teurs de lorganisation ou par des personnes extrieures celle-ci.
SEPTEMBRE 2006
10
1. Les fraudes commises au dtriment de lorganisation profitent gnralement un

collaborateur, un tiers, ou une autre organisation, de manire directe ou indirecte. En
voici quelques exemples :
acceptation de pots-de-vin ou de dessous de table ;
dtournement, au profit dun collaborateur ou dun tiers, dune opration qui aurait
d engendrer un bnfice pour lorganisation ;
dtournement de fonds ou de biens, et falsification des registres comptables pour
dissimuler un acte, en rendant ainsi la dtection difficile ;
omission ou interprtation fallacieuse dvnements, de transactions ou de
donnes, avec lintention de tromper ;
facturation de services ou de biens non rendus ou non fournis lorganisation ;
carence intentionnelle dans des circonstances o des mesures sont requises par
lentreprise ou la lgislation ;
exploitation non autorise ou illgale dinformations confidentielles ;
manipulation non autorise ou illgale de rseaux informatiques ou de systmes
dexploitation ;
vol.
2. Les fraudes commises pour le bnfice de lorganisation favorisent gnralement

celle-ci en exploitant un avantage injuste ou malhonnte qui peut galement tromper
une tierce partie. Les auteurs de tels actes en retirent gnralement un avantage
personnel indirect, tel que le versement de primes ou des promotions.
Voici quelques exemples de fraudes commises au profit de lorganisation :

paiements irrguliers, tels que financements illgaux de partis politiques, pots-de-
vin, dessous de table verss des reprsentants des pouvoirs publics et leurs
intermdiaires, des clients ou des fournisseurs ;
dclaration ou valorisation incorrecte de transactions, dlments dactif ou de
passif, ou de revenus, avec lintention de tromper ;
fixation incorrecte de prix de cession interne (par exemple, valuation de biens
changs entre organisations lies) dans lintention damliorer fictivement les
rsultats dexploitation dune organisation au dtriment dune autre ;
transactions irrgulires et dlibres entre parties lies, au cours desquelles une
partie reoit un avantage qui ne pourrait tre obtenu dans les conditions normales
du march ;
omission intentionnelle de comptabiliser ou de communiquer des informations
significatives avec exactitude et exhaustivit, pour donner aux tiers une image trom-
peuse de la situation de lorganisation ;
cession de biens fictifs ou ayant fait lobjet de fausses dclarations ;
SEPTEMBRE 2006
11
carence dlibre alors que des mesures sont requises par lentreprise ou la lgis-
lation ;
erreurs intentionnelles dans les dclarations fiscales afin de rduire le montant des
impts ;
activits commerciales prohibes par les lois, rgles, rglements ou contrats en
cours.
Il existe, outre la dfinition ci-dessus, diffrentes typologies de la fraude. Lauditeur
a toute latitude pour examiner les informations publies par les cabinets et associa-
tions spcialiss dans lexpertise comptable ou les enqutes sur les fraudes, afin de
dterminer la mthode de classification la mieux approprie pour son organisation.
LES CAUSES DE LA FRAUDE
Les facteurs qui influent sur la fraude sont gnralement au nombre de trois : le risque,
le mobile et la rationalisation.
1. Le risque
Il peut arriver quun processus soit bien conu pour une situation habituelle, mais
quune conjoncture apparaisse et gnre un dysfonctionnement, ou engendre des
circonstances rendant les contrles inoprants.
Le risque de fraude peut rsulter dune conception mdiocre des contrles ou de
leur insuffisance. Par exemple, en cas de mise au point dun systme qui semble
assurer la protection des actifs, mais auquel un contrle important fait dfaut.
Quiconque a connaissance de cette lacune peut en profiter sans gros effort.
Les personnes investies dune autorit peuvent provoquer des occasions pour
droger aux contrles existants, parce que leurs subordonns ou la faiblesse des
contrles leur permettent de contourner les rgles.
2. Le mobile
Lauteur dune fraude peut rationaliser ses actes, mais il faut quil ait un mobile
pour se comporter ainsi :
le pouvoir constitue un trs bon mobile. Il peut sagir simplement de gagner
lestime de sa famille ou de ses collgues. Par exemple, de nombreuses fraudes
informatiques sont commises pour montrer que lauteur du piratage a le pouvoir
dagir ainsi, et non pour nuire intentionnellement ;
un autre mobile peut consister en la satisfaction dun dsir, tel que la cupidit
ou une dpendance ;
le troisime mobile correspond aux pressions rsultant de contraintes physiques
ou exerces par des tiers.
SEPTEMBRE 2006
12
3. La rationalisation
La plupart des personnes se considrent honntes, mme si elles commettent occa-
sionnellement un acte rprhensible. Elles sont susceptibles, pour sen convaincre,
de rationaliser ou de nier leurs actes, en considrant par exemple quelles avaient
droit lobjet vol ou que, si les cadres enfreignent les rgles, les autres peuvent
parfaitement en faire autant.
Certains commettront des actes qui sont qualifis dinacceptables par
lorganisation, mais qui sont cependant courants dans leur culture ou qui taient
admis par leurs prcdents employeurs. Ds lors, ces collaborateurs ne respecte-
ront pas des rgles qui nont aucun sens pour eux.
Certains peuvent connatre des priodes de difficult financire dans leur vie, avoir
succomb une dpendance coteuse ou tre confronts dautres pressions. Ils
vont donc rationaliser en invoquant quils ne font quemprunter largent et quils le
rembourseront lorsque leurs conditions de vie se seront amliores. Dautres peu-
vent avoir le sentiment quil nest pas rprhensible de voler une entreprise, et
dpersonnalisent ainsi lacte commis.
Les auditeurs ne sont pas toujours en mesure de connatre la rationalisation ou le
mobile exact conduisant la fraude, mais ils sont censs possder une matrise des
contrles internes suffisante pour identifier les risques de fraude. Ils doivent en outre
comprendre les modes et les scnarios de fraude, connatre les signes de lexistence
dun risque de fraude et les moyens de les prvenir. Les auditeurs doivent examiner
les informations communiques par lIIA et par dautres associations ou organisations
professionnelles afin de sassurer que leurs connaissances sont actualises.
VALUATION DU RISQUE DE FRAUDE ET DABUS
Toutes les organisations sont exposes un certain degr de risque de fraude dans tout
processus ncessitant une intervention humaine. Ce degr dexposition est fonction des
risques de fraude inhrents lactivit de lorganisation, de lexistence de contrles
internes efficaces permettant de prvenir ou de dtecter la fraude, ainsi que de
lhonntet et de lintgrit des personnes impliques dans le processus.
Le risque de fraude est la probabilit que la fraude se produise, ainsi que sa gravit ou
ses consquences potentielles pour lorganisation lorsquelle se produit. La probabilit
dune activit frauduleuse dpend, en rgle gnrale, de la facilit avec laquelle la fraude
peut tre commise, des facteurs pouvant motiver la fraude et de lhistorique de
lentreprise en matire de fraude. La gestion de la fraude consiste notamment en limi-
ter ou en liminer les consquences, ce qui va au-del de la limitation ou de llimination
dune perte financire. Par exemple, latteinte la renomme de certaines organisations
peut avoir un impact considrable sur leur capacit attirer et fidliser un personnel qua-
lifi ou une clientle pour leurs produits, et obtenir les moyens et autorisations nces-
saires pour assurer la croissance et la viabilit long terme de lactivit.
SEPTEMBRE 2006
13
Pour valuer le risque de fraude, les auditeurs internes doivent sappuyer sur le modle
de gestion des risques dentreprise utilis le cas chant dans lorganisation. dfaut,
ils peuvent suivre les directives suivantes :
1. Comprendre les modes spcifiques de fraude auxquels lorganisation pourrait tre

confronte. Dcrire et valuer la vulnrabilit de lorganisation ces types de fraude
laide dun modle de risque couvrant tous les risques inhrents lorganisation. Ce
modle de risque doit en outre reposer sur des catgories de risque cohrentes (autre-
ment dit, il ne doit exister aucun chevauchement entre les zones risque) et tre suf-
fisamment dtaill pour quune valuation des risques permette didentifier et de cou-
vrir les zones prsumes haut risque.
Le Committee of Sponsoring Organizations of the Treadway Commission a publi

Enterprise Risk Management (COSO 2) (1), qui propose un modle utile couvrant
notamment les points suivants :
identification des vnements, notamment sances de brainstorming, entretiens,
groupes de travail enqutes, recherche sectorielle et inventaires des vnements ;
valuations des risques, incluant les probabilits et les consquences ;
traitement des risques, notamment vitement, rduction, partage ou acceptation du
risque ;
activits de contrle, par exemple tablissement de liens entre les risques dune
part et les programmes de lutte contre la fraude et les activits de contrle dautre
part, afin den vrifier lefficacit ;
pilotage, notamment plans et programmes daudit tenant compte de la fraude rsi-
duelle et du risque rsultant dabus.
2. Lvaluation des contrles destins prvenir ou rduire les risques de fraude aux-
quels une organisation est expose doit tenir compte du rapport cots/bnfices. Il
convient galement dexaminer si la fraude peut tre commise par une personne seule
ou si elle implique une complicit. En pratique, il nest pas possible ni rentable de
prvenir la totalit des cas de fraude. Il faut galement tenir compte du fait que
lorganisation sexpose des consquences ngatives en cas de soupons non fonds
vis--vis de certains collaborateurs ou si elle donne limpression de ne pas avoir
confiance en son personnel.
(1) Ouvrage traduit en 2005 par lIFACI et PwC sous le titre Le management des risques de lentreprise
cadre de rfrence copyright en franais IFACI.
SEPTEMBRE 2006
14
LES LMENTS DE LA PRVENTION DE LA FRAUDE
La prvention de la fraude est lensemble des mesures prises pour dissuader les fraudeurs
potentiels et limiter les consquences en cas de fraude. Le contrle interne est le prin-
cipal dispositif de prvention de la fraude. La responsabilit premire de la mise en place
et du maintien dun systme de contrle interne doit tre confie la direction gnrale.
Voici, titre dexemple, quelques lments de contrle dun programme de prvention de

la fraude prsent dans le cadre du COSO Control Framework (COSO 1) (1). Chacun des
lments mrite dtre pris en considration, quel que soit le cadre de contrle utilis par
lauditeur.
1. Environnement de contrle. Il appartient aux entreprises dinstaurer un environ-

nement de contrle appropri comprenant les lments suivants :
un code de conduite, un code de dontologie ou une politique de lutte contre la
fraude, afin que le ton soit donn au plus haut niveau de lorganisation ;
des programmes de dontologie et un systme dalerte permettant de signaler les
craintes ;
des directives et des procdures en matire de recrutement et de promotion ;
un contrle par le comit daudit, le conseil dadministration ou un autre organe de
surveillance ;
des enqutes sur les problmes signals et des solutions en cas dinfractions confir-
mes ;
2. valuation du risque de fraude. Il appartient aux organisations didentifier et dvaluer
les risques associs la fraude, notamment le risque de prsentation dinformations
financires trompeuses, de dtournement dactifs, de dpenses ou dencaissements
irrguliers et dabus financier commis par les membres de la direction gnrale et
ceux de lorganisation. Les entreprises doivent galement sassurer de lexistence
dune sparation des tches adquate ;
3. Activits de contrle. Les entreprises doivent dfinir et mettre en uvre des contrles
efficaces, comprenant des mesures prises par la direction gnrale pour identifier,
prvenir les informations financires trompeuses ou lusage abusif dactifs de
lorganisation, en attnuer les effets, et empcher tout contournement des contrles
par les membres de la direction gnrale. En outre, les entreprises doivent mettre en
place un processus de dclaration ou de certification par lequel leurs collaborateurs
confirment quils ont lu et compris les procdures de la socit et quils sy confor-
ment ;
(1) Ouvrage traduit en 1994 par lIFACI et PwC sous le titre La pratique du contrle interne COSO
Report copyright IFACI.
SEPTEMBRE 2006
15
4. Information et communication. Il appartient aux entreprises de mettre en place un

systme dinformation et de communication efficace en matire de fraude, compre-
nant par exemple la documentation et la diffusion de procdures, de directives et de
rsultats. Ce systme peut galement comporter lorganisation dentretiens relatifs
aux questions de dontologie, la formation du personnel ainsi que des circuits de
communication, spcifiques. Il peut enfin prvoir ltude de limpact et de lutili-
sation des technologies aux fins de la prvention de la fraude, notamment celle de
lutilisation de logiciels de contrle continu ;
5. Pilotage. Les organisations doivent procder des valuations continues et prio-

diques des rsultats et mesurer limpact de lutilisation de linformatique aux fins de
la prvention de la fraude.
Le rle de lauditeur interne
Les auditeurs internes ont pour mission daider les entreprises prvenir la fraude en exa-
minant et en valuant ladquation et lefficacit de leur dispositif de contrle interne,
dispositif qui doit tre adapt limportance des risques potentiels au sein de
lorganisation. Dans le cadre de leurs fonctions, les auditeurs internes doivent tenir comp-
te des lments suivants :
1. Environnement de contrle. valuer les caractristiques de lenvironnement de

contrle, procder des audits et des enqutes sur la fraude dans le cadre dune
dmarche proactive, communiquer les rsultats des audits sur la fraude, et soutenir
les efforts accomplis pour mettre en uvre des mesures correctives. Dans certains
cas, les auditeurs internes peuvent galement assumer la responsabilit du systme
dalerte ( hotline ) ;
2. valuation du risque de fraude. Examiner lvaluation du risque de fraude ralise par

la direction gnrale, et en particulier les processus mis en uvre par celle-ci pour
identifier, valuer et tester les modes et scnarios potentiels de fraude et dabus,
notamment ceux impliquant des fournisseurs, des sous-traitants et dautres tiers ;
3. Activits de contrle. valuer la pertinence et lefficacit oprationnelle des contrles

relatifs la fraude, sassurer que les plans et programmes daudit tiennent compte du
risque rsiduel et prvoient des audits sur la fraude, valuer ladquation des moyens
mis en uvre pour lutter contre la fraude ou le vol, et examiner les propositions
concernant les modifications de la lgislation, de la rglementation ou des systmes,
et leur impact sur les contrles ;
4. Information et communication. valuer lefficacit oprationnelle des systmes et

procdures dinformation et de communication, et soutenir les projets de formation
relatifs la fraude ;
SEPTEMBRE 2006
15-1
16
5. Pilotage. valuer les activits de pilotage et les logiciels informatiques y affrents ;

raliser des enqutes ; assister le comit daudit dans son rle de surveillance des
contrles et des questions lies la fraude ; concourir la mise au point dindicateurs
relatifs la fraude ; sassurer, par le biais du recrutement et de la formation, que les
membres du personnel possdent une exprience approprie en matire daudits ou
denqutes sur la fraude.
DTECTION DE LA FRAUDE
La direction gnrale et le service daudit interne ont un rle diffrent en matire de

dtection de la fraude. Voici une description de leur rle respectif.
Le rle de la direction gnrale en matire de dtection de la fraude
Il appartient la direction gnrale de mettre en place un systme de contrle efficace

et den assurer le maintien moyennant un cot raisonnable. Cette responsabilit implique
la mise au point de certains contrles qui visent dtecter le mauvais fonctionnement
dautres contrles. Le suivi de ces indicateurs peut permettre de constater quune fraude
a pu se produire.
Parmi ces contrles, on peut citer, titre dexemple, la mise en place et la diffusion dune
hotline ou dun systme similaire que les clients ou les membres du personnel peuvent
utiliser pour faire part de leurs plaintes ou de leurs proccupations. Les autres contrles
de pilotage et de dtection incluent notamment les oprations suivantes :
installation de systmes dalarme sur les portes et les fentres des locaux ;
installation de camras de surveillance ;
incorporation de contrles ddition dans les systmes dinformation ;
ralisation dinventaires physiques ;
audits ;
examen et approbation des factures et des frais imputs aux centres de cot ;
rapprochements de comptes.
Le rle de lauditeur interne en matire de dtection de la fraude
Dans la mesure o la fraude peut affecter les activits couvertes dans le cadre normal de
laudit, les auditeurs internes sont tenus, en matire de dtection de la fraude, dexercer
leurs fonctions avec conscience professionnelle , telle que dfinie par la Norme 1220
des Normes internationales pour la pratique professionnelle de laudit interne.
SEPTEMBRE 2006
15-2
Toutefois, la plupart des auditeurs internes ne sont pas censs possder des connais-
sances quivalentes celles dun spcialiste qui a pour principale fonction de dtecter
la fraude et de mener des enqutes dans ce domaine. Par ailleurs, les procdures daudit,
mme si elles sont mises en uvre avec la conscience professionnelle requise, ne garan-
tissent pas, elles seules, que la fraude sera dtecte.
Un systme de contrle interne bien conu permet dattnuer le risque de fraude. Les
tests effectus par les auditeurs amliorent les chances de dtecter tout indice de fraude
et, le cas chant, dapprofondir les recherches.
En matire de dtection de la fraude, les responsabilits qui incombent lauditeur

interne dans le cadre de ses missions sont les suivantes :
tenir compte des risques de fraude pour valuer la pertinence des contrles et dter-
miner les travaux daudit raliser. Les auditeurs internes ne sont pas censs dtecter
la fraude et les irrgularits, mais ils sont censs acqurir lassurance raisonnable que
les objectifs de lentreprise sont atteints pour le processus examin, et que les dfi-
ciences significatives des contrles quelles rsultent dune simple erreur ou dune
volont dlibre , sont dtectes ;
possder une connaissance suffisante de la fraude pour pouvoir dceler les indices
( red flags ) dune fraude ventuelle. Cette connaissance porte notamment sur les
caractristiques de la fraude, les techniques utilises pour commettre la fraude, et les
divers modes et scnarios de fraude associs aux activits examines ;
faire preuve de vigilance dans les situations propices la fraude, notamment en cas de
contrles dficients. Lorsque des faiblesses importantes sont dtectes, les auditeurs
internes doivent procder des vrifications supplmentaires afin didentifier dautres
indices de fraude. Parmi les exemples dindices, on peut citer les transactions non
autorises, les fluctuations soudaines du volume ou du montant des transactions, le
fait de passer outre aux contrles, les exceptions inexpliques aux rgles dtablis-
sement des prix et des pertes dexploitation dun montant exceptionnel. Les auditeurs
internes ne doivent pas perdre de vue que la prsence simultane de plusieurs indices
renforce la probabilit quune fraude ait t commise ;
valuer les indices de fraude et dcider si dautres mesures sont ncessaires ou si une
enqute doit tre recommande ;
informer les autorits comptentes au sein de lorganisation sil savre quune fraude
a t commise, afin quune enqute soit recommande.
SEPTEMBRE 2006
15-3
MPA 1210.A2-2
Responsabilits de lauditeur interne en matire denqutes, de prsentation
de rapports, de rsolution de problmes et de communication relatives la fraude
matire de fraude. La prsente MPA na pas pour but de procder un expos
exhaustif des points examiner. Elle a seulement pour objet de recommander un
niveau minimum de connaissances sur la fraude et certaines mesures mettre en
uvre. Le niveau de formation et dexprience requis pour un service daudit interne
et pour ses membres variera en fonction des profils de poste, tels que dfinis dans la
charte du service audit, et des prestations de conseil et dassurance que la direction
gnrale et le conseil dadministration attendent du responsable de laudit interne. Le
niveau de comptences requis sera dautant plus lev que les auditeurs seront trs
impliqus.
La prsente MPA doit tre lue conjointement avec la MPA 1210.A2-1,

Responsabilits de lauditeur en matire, de prvention, de dtection et
dvaluation des risques de fraude .
ENQUTES SUR LA FRAUDE
La prsente section de la MPA ne concerne pas les audits effectus pour dtecter de
faon proactive des indices de fraude dans les processus ou transactions dont lanalyse
indique quils comportent un risque de fraude important. Elle concerne les enqutes
inities en cas de craintes concernant des dficiences de contrles ou en cas de soup-
ons dinfraction au sein de lorganisation. Les soupons peuvent rsulter dun processus
de plainte formel, dinformations informelles ou dun audit, notamment dun audit
effectu pour vrifier sil y a eu fraude.
Une enqute sur la fraude consiste recueillir des informations suffisantes sur certains
points et mettre en uvre les procdures ncessaires pour dterminer si une fraude a
t commise, la perte ou les risques associs la fraude, les personnes impliques et les
modalits de la fraude (comment elle a eu lieu). Les enqutes ont notamment pour effet
et il sagit l dun point important de laver les innocents de tout soupon.
Les enqutes doivent tre conues pour dcouvrir la vritable nature et ltendue de
lactivit frauduleuse, et non pas seulement lvnement qui a pu dclencher lenqute.
La ralisation dune enqute inclut llaboration de documents de travail ou dun dossier
suffisants en vue dune procdure judiciaire.
SEPTEMBRE 2006
15-4
Les personnes qui procdent ou qui participent aux enqutes sur la fraude sont gnra-
lement des auditeurs internes, des juristes, des enquteurs, des membres du personnel
de scurit et dautres spcialistes faisant ou non partie de lorganisation.
Les enqutes et les oprations entreprises pour les rsoudre doivent tre gres avec dili-
gence en tenant compte de la lgislation locale. Le cas chant, les lois peuvent contenir
des directives sur le mode et le lieu de ralisation des enqutes, les pratiques en matire
de sanctions et de rparation et les communications. Il est dans lintrt dun auditeur,
tant sur le plan professionnel que dun point de vue juridique, de cooprer de faon effi-
cace avec le conseil juridique de lorganisation et de se familiariser avec les lois appli-
cables. Les recommandations contenues dans la prsente MPA sont destines un public
international et sont par consquent dordre gnral.
Le rle de la direction gnrale
Il appartient la direction gnrale de mettre au point des contrles sur le processus

denqute, et notamment de dfinir des politiques et procdures visant assurer
lefficacit des enqutes ainsi que des normes concernant la gestion des rsultats des
enqutes, la prsentation de rapports et les communications. Ces normes sont souvent
documentes dans une procdure relative la fraude, et laudit interne peut tre
impliqu dans llaboration de cette procdure.
Ces procdures mentionnent imprativement les droits des personnes impliques, la qua-
lification des personnes autorises mener les enqutes, ainsi que les lois en vigueur
dans les pays et les collectivits locales o les fraudes ont t commises ou ont fait
lobjet dune enqute. Elles doivent prciser ltendue des sanctions que la direction
gnrale infligera aux collaborateurs, aux fournisseurs ou aux clients, notamment les
mesures juridiques qui seront prises pour recouvrer les pertes ainsi que les poursuites
civiles ou pnales. Il est important que la direction gnrale dfinisse clairement les
pouvoirs et les responsabilits des divers participants une enqute, et en particulier la
relation entre lenquteur et le conseiller juridique. Il est galement important quelle
tablisse et quelle respecte des procdures minimisant les communications internes sur
les enqutes en cours, en particulier dans leurs phases initiales.
La procdure doit prciser quel sera le rle de lenquteur au niveau de la constatation

de la fraude. La direction gnrale doit indiquer sil appartient lenquteur ou la direc-
tion gnrale de conclure la fraude, ou si lentreprise transmet les faits des autorits
extrieures charges de conclure. Dans certains pays, seules les autorits judiciaires ou
les autorits de police sont habilites conclure quune fraude a t commise. Lenqute
peut dboucher simplement sur la conclusion que la procdure de lentreprise na pas t
respecte.
SEPTEMBRE 2006
15-5
Le rle de laudit interne
Le rle de laudit interne en matire denqutes doit tre dfini dans la charte daudit
interne ainsi que dans les procdures relatives la fraude. Par exemple, laudit interne
peut avoir la responsabilit premire des enqutes sur la fraude, constituer une ressource
pour ces enqutes, ou sabstenir de toute participation aux enqutes (parce quil est
charg den apprcier lefficacit). Chacun de ces rles peut tre acceptable, pour autant
que limpact de ces activits sur lindpendance de laudit interne soit reconnu et gr
de faon approprie.
Afin de maintenir leur comptence, il appartient aux quipes charges des enqutes sur
la fraude dacqurir une connaissance suffisante des diffrents modes de fraude, des
techniques denqute et de la lgislation. Il existe des programmes nationaux et interna-
tionaux de formation et de certification destins aux enquteurs et aux experts lgistes.
Si laudit interne est charg de sassurer de la ralisation des enqutes, il peut conduire
une enqute avec le personnel de lorganisation, recourir des sous-traitants ou panacher
ces deux formules. Dans certains cas, laudit interne peut galement faire appel, pour
lassister, des collaborateurs de l'organisation qui ne font pas partie du service daudit.
Il est souvent important de constituer lquipe charge de lenqute sans dlai. Si

lorganisation a besoin dexperts externes, le responsable de laudit interne doit envisa-
ger de faire agrer au pralable le ou les prestataire(s) de services pour pouvoir disposer
rapidement de ces ressources externes.
Dans les entreprises o la responsabilit premire des enqutes nest pas attribue
laudit interne, les auditeurs peuvent nanmoins tre convis contribuer la collecte
dinformations et formuler des recommandations en vue damliorer le contrle interne.
Le rle de lenquteur (que ce rle soit ou non confi laudit interne)
Un plan denqute doit tre labor pour chaque enqute, conformment aux procdures
ou aux protocoles denqute de lorganisation. Le responsable de lenqute doit dter-
miner les connaissances et les comptences ncessaires pour raliser lenqute de faon
efficace, et affecter des personnes comptentes et appropries lquipe. Il convient
dinclure dans ce processus lassurance quil nexiste aucun conflit dintrts potentiel
avec les personnes faisant lobjet dune enqute ou avec dautres collaborateurs de
lorganisation.
Le plan denqute doit mentionner les mthodes mettre en uvre pour :

collecter des lments probants : surveillance, entretiens ou dclarations crites ;
documenter les preuves, en respectant les contraintes lgales quant la nature et
lutilisation des preuves par lentreprise ;
SEPTEMBRE 2006
15-6
dterminer ltendue de la fraude ;

dterminer les modalits de la fraude (techniques utilises pour commettre la fraude) ;
valuer la cause ;
identifier les auteurs de la fraude.
nimporte quel stade de ce processus, lenquteur peut conclure que la plainte ou les
soupons ntaient pas fonds et clore laffaire.
Les oprations doivent tre coordonnes, au cours de lenqute, avec la direction gn-
rale, le conseiller juridique et dautres spcialistes tels que les responsables des res-
sources humaines et des risques dits assurables , si cela savre ncessaire.
Les enquteurs doivent tre informs des droits des personnes concernes par lenqute
et conscients de la renomme de lorganisation.
Il convient dvaluer le degr et ltendue de la complicit laquelle la fraude a donn

lieu travers lorganisation. Cette valuation peut tre primordiale pour sassurer que les
preuves essentielles ne sont pas dtruites ni dtriores, et pour viter dobtenir des
informations trompeuses auprs de personnes susceptibles dtre impliques.
PRSENTATION DE RAPPORTS RELATIFS AUX FRAUDES
Les rapports relatifs aux fraudes comprennent les diverses communications orales ou
crites, provisoires ou dfinitives, adresses aux cadres dirigeants et/ou au conseil
dadministration au sujet de ltat davancement et des rsultats des enqutes sur la frau-
de. Ces rapports peuvent tre prliminaires et tablis tout au long de lenqute. Un rap-
port crit peut tre tabli suite un compte-rendu oral adress aux membres de la direc-
tion gnrale et du conseil dadministration, afin de documenter les observations.
La section 2400 des Normes contient des informations applicables la communication

des rsultats des missions. Voici quelques recommandations supplmentaires concernant
la prsentation de rapports internes sur la fraude :
Un projet de communications finales sur la fraude doit tre soumis au conseiller juri-
dique pour examen. Lorsque lorganisation est en mesure dinvoquer le secret profes-
sionnel du conseiller juridique et a opt pour cette solution, le rapport doit tre adress
au conseiller juridique.
La MPA fait ici rfrence au droit amricain dans lequel le client attorney
privilege permet de rendre confidentielles les informations, y compris pour le
pouvoir judiciaire, en les plaant dans des conditions particulires, sous la
sauvegarde dun avocat.
SEPTEMBRE 2006
15-7
Lorsquune fraude importante ou une perte de confiance ont t dmontres avec une
certitude suffisante, les cadres dirigeants et le conseil dadministration en sont
informs immdiatement.
Il ressort parfois des rsultats de lenqute que la fraude a pu avoir une incidence nga-
tive non dtecte auparavant sur la situation financire et les rsultats oprationnels
de lorganisation pendant un ou plusieurs exercices pour lesquels des tats financiers
ont dj t publis. Les cadres dirigeants et le conseil dadministration doivent tre
informs de cette dcouverte.
Un rapport crit ou une autre communication formelle doivent tre prsents lors de la
conclusion de la phase denqute. Ce rapport indique le contexte dans lequel lenqute
a t entreprise, le calendrier, les observations, les conclusions, la rsolution de
lenqute et les mesures correctives prises (ou les recommandations) en vue
damliorer les contrles. Selon la faon dont lenqute a t rsolue, il peut savrer
ncessaire de rdiger le rapport de faon respecter la confidentialit vis--vis de cer-
taines des personnes impliques. Le contenu de ce rapport est sensible, et doit rpon-
dre aux besoins du conseil dadministration et de la direction gnrale, tout en tant
conforme aux rgles et restrictions lgales ainsi quaux politiques et procdures de
lentreprise.
RSOLUTION DES INCIDENTS LIS LA FRAUDE
La rsolution des incidents lis la fraude incombe la direction gnrale, et non

lauditeur interne ou lenquteur. On entend par rsolution le fait de dterminer les
mesures qui seront prises par lorganisation une fois lenqute sur les modalits de la
fraude et sur son (ses) auteur(s) termine et les preuves examines.
Les auditeurs internes doivent apprcier les faits qui ressortent des enqutes et conseiller
la direction gnrale au sujet des solutions apporter aux faiblesses de contrle interne
qui ont conduit la fraude. Les auditeurs doivent ajouter des tapes supplmentaires aux
programmes daudit standard ou mettre au point des programmes daudit relatifs la
fraude afin de faciliter la diffusion dinformations en cas de fraudes similaires lavenir.
Les politiques et les procdures de la direction gnrale en matire de fraude (mention-

nes ci-dessus dans la prsente MPA) doivent prciser les personnes habilites et respon-
sables pour chaque processus. Les auditeurs internes peuvent tre impliqus en qualit
de conseillers dans les processus suivants, condition que limpact de ces activits sur
lindpendance de laudit interne soit reconnu et gr de faon approprie. La phase de
rsolution peut comporter la totalit ou une partie des tapes suivantes :
clture de lenqute vis--vis des personnes souponnes lorigine et dont linnocence
a t constate ;
conclusion de lenqute vis--vis de ceux qui ont fait part de leurs craintes ;
SEPTEMBRE 2006
15-8
sanctions infliges un collaborateur conformment aux normes de lentreprise, la

lgislation sur lemploi en vigueur ou aux contrats de travail ;
demande de restitution financire volontaire adresse un collaborateur, un client ou
un fournisseur ;
rsiliation des contrats avec les fournisseurs ;
signalement de lincident aux autorits de police, aux instances rglementaires ou aux
organes similaires, et coopration leur enqute ;
introduction dune action pour litige au plan civil ou de procdures judiciaires simi-
laires ;
dpt dune demande de remboursement auprs des compagnies dassurance ;
dpt dune plainte auprs de lassociation professionnelle dont dpend lauteur de la
fraude.
Outre leur rle de conseil, les auditeurs internes peuvent tre impliqus dans les opra-
tions suivantes :
suivi du processus denqute afin de sassurer que lorganisation met en uvre des
politiques et procdures pertinentes et applique la lgislation en vigueur (lorsque
laudit interne nest pas charg de conduire lenqute) ;
localisation et/ou sauvegarde des actifs dtourns ou concerns ;
soutien des actions entreprises par lorganisation sur le plan judiciaire, auprs des
assurances ou dautres fins de rparation ;
valuation et suivi des plans et pratiques de lorganisation en matire dinformation et
de communication interne et externe postrieure lenqute ;
suivi de la mise en uvre des recommandations concernant lamlioration des
contrles afin dassurer leur efficacit, leur efficience et leur ralisation dans des dlais
appropris.
COMMUNICATIONS
Afin de limiter le risque de diffusion non officielle dinformations non appropries et/ou
inexactes, lauditeur interne peut conseiller la direction gnrale dans la dfinition dune
stratgie de communication et dun plan tactique, et ce un stade de lenqute aussi
prcoce que possible.
Outre les rapports sur la fraude susmentionns, une enqute peut donner lieu deux
types de communications : les communications publiques et les communications
internes planifies.
La meilleure faon de coordonner tous les commentaires faits par la direction gnrale
lintention de la presse, des autorits de police ou dautres organes externes est de faire
SEPTEMBRE 2006
15-9
appel un conseiller juridique. Ces commentaires doivent maner exclusivement de

porte-parole autoriss.
Les communications internes constituent un outil stratgique utilis par la direction

gnrale pour renforcer sa position en matire dintgrit, dmontrer quelle prend des
mesures appropries en cas de non-respect des procdures de lentreprise, et montrer
pourquoi les contrles internes sont importants. Ces communications peuvent revtir la
forme dun article dans une lettre dinformation ou dun mmo de la direction gnrale,
ou bien la situation peut tre cite titre dexemple dans le cadre du programme de
formation de lorganisation relatif lintgrit. Ces communications ont lieu en rgle
gnrale une fois laffaire rsolue en interne. Elles ne mentionnent pas les noms des
auteurs de la fraude, ni aucun autre dtail li lenqute ds lors que celui-ci nest pas
ncessaire pour le message ou quil est contraire la lgislation.
Une enqute et ses rsultats peuvent poser dimportants problmes de stress ou de

dmoralisation qui sont susceptibles de perturber le fonctionnement de lorganisation, en
particulier lorsque la fraude est porte la connaissance du public. La direction gnrale
peut prvoir des sessions interactives lattention des membres du personnel et/ou des
stratgies visant renforcer lesprit dquipe afin de rsoudre cette situation de crise.
FORMULATION DUNE OPINION SUR LE SYSTME DE CONTRLE INTERNE

RELATIF LA FRAUDE
Lauditeur interne peut tre invit par la direction gnrale ou par le conseil
dadministration formuler une opinion sur le dispositif de contrle interne de
lorganisation relatif la fraude. Les auditeurs doivent se rfrer diverses MPA de la
srie 2410 et dautres recommandations pratiques publies par lIIA, notamment au
document intitul Practical Considerations Regarding Internal Auditing Expressing an
Opinion on Internal Controls (Aspects pratiques lis la formulation par laudit interne
dune opinion sur les contrles internes), afin de dterminer sils ont suffisamment tenu
compte des informations quils contiennent avant de formuler une opinion.
SEPTEMBRE 2006
15-10
1220
Conscience professionnelle
Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire
que lon peut attendre dun auditeur interne raisonnablement averti et comptent.
La conscience professionnelle nimplique pas l'infaillibilit.
MPA 1220-1
Conscience professionnelle
quils valuent leur conscience professionnelle. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
1. La conscience professionnelle porte sur la diligence et le savoir-faire que lon peut

attendre dun auditeur interne raisonnablement prudent et comptent. La conscience
professionnelle doit tenir compte de la complexit de la mission ralise. En agissant
avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs
aux risques de fautes intentionnelles, derreurs ou domissions, de manque
defficacit, de gaspillage et de conflits dintrts. Ils devront tre spcialement vigi-
lants vis--vis des situations et activits o des irrgularits ont le plus de chance de
se produire. Enfin, ils doivent dtecter lexistence de contrles inefficaces et faire des
recommandations visant promouvoir le respect des procdures et pratiques accepta-
bles.
2. La conscience professionnelle implique la diligence et le savoir-faire raisonnables que

lon apporte lexcution de ses missions et non linfaillibilit ou des performances
exceptionnelles. Cela signifie que lauditeur procde des vrifications et des contrles
raisonnablement approfondis, et non un examen dtaill et systmatique de toutes
les oprations. En consquence, lauditeur interne ne peut donner une assurance
absolue quil nexiste aucune anomalie ou irrgularit. Nanmoins, la possibilit
dirrgularits ou de dviations importantes doit toujours tre envisage lorsque
lauditeur interne entreprend une mission.
OCTOBRE 2002
16
MPA 1220-2
Outils daudit assists par ordinateur (CAATS)
Interprtation de la norme 1220.A2 extraite des Normes internationales pour la pratique

professionnelle de laudit interne
Norme 1220-A2 Conscience professionnelle
Pour remplir sa mission avec la conscience professionnelle requise,

lauditeur interne doit envisager de recourir aux outils daudit assists par ordinateur
et aux autres techniques danalyse des donnes
La prsente Modalit Pratique dApplication sinspire de la directive de lISACA

(Information Systems Audit and Control Association ou Association pour le contrle et
laudit des systmes dinformation) intitule Use of Computer Assisted Audit
Techniques (Utilisation des outils daudit assists par ordinateur) document G3. Cette
directive daudit des systmes dinformation a t publie par lISACA en dcembre
1998. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence
entre la prsente Modalit Pratique dApplication et la directive/procdure publie par
lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude.
quils effectuent des missions au cours desquelles ils ont recours des outils daudit
assists par ordinateur. La prsente MPA na pas pour but de dcrire toutes les
procdures mettre en uvre pour raliser un audit informatique. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments lors de la
planification dtaille des travaux daudit
SEPTEMBRE 2006
16-1
1. Ncessit de publier des directives
Les outils daudit assists par ordinateur constituent des outils importants pour
lauditeur dans le cadre de ses travaux daudit. Ils regroupent diffrents types doutils
et de techniques, tels que les logiciels gnraux daudit, des programmes utilitaires,
des donnes de test, les outils de traage logique et de cartographie de logiciels
dapplication, et les systmes experts daudit. Les outils daudit assists par ordina-
teur peuvent tre mis en uvre dans le cadre de diverses procdures daudit, parmi
lesquelles on peut citer :
les tests sur les informations dtailles concernant les transactions et les soldes ;
les procdures de revue analytique ;
les tests de conformit des contrles informatiques gnraux ;
les tests de conformit des contrles dapplication ;
les tests de pntration.
Les outils daudit assists par ordinateur peuvent gnrer une forte proportion de
preuves daudit recueillies dans le cadre dun audit. Par consquent, lauditeur doit
planifier avec soin le recours ces outils et faire preuve de conscience profession-
nelle lors de leur mise en uvre.
2. Planification
Dcision de mettre en uvre les outils daudit assists par ordinateur

Facteurs prendre en compte
Lorsquil planifie les travaux daudit, lauditeur doit envisager une combinaison appro-
prie de techniques manuelles et de techniques daudit assistes par ordinateur. Les
facteurs prendre en compte pour dcider sil convient ou non de recourir aux outils
daudit assists par ordinateur sont notamment les suivants :
connaissances, comptence et exprience de lauditeur dans le domaine informa-
tique ;
disponibilit des outils daudit assists par ordinateur et de ressources informa-
tiques appropries ;
efficacit et efficience du recours aux outils daudit assists par ordinateur par rap-
port aux techniques manuelles ;
contraintes de temps ;
intgrit du systme dinformation et environnement informatique ;
niveau du risque identifi.
SEPTEMBRE 2006
16-2
Principales tapes de la planification

Pour prparer la mise en uvre des outils daudit assists par ordinateur slection-
ns, lauditeur doit procder comme suit :
dfinir les objectifs daudit des outils daudit assists par ordinateur ;
dterminer si les quipements informatiques, programmes/systmes et donnes de
lorganisation sont accessibles et disponibles ;
dfinir les procdures mettre en uvre (par exemple chantillonnage statistique,
nouveau calcul, confirmation, etc.) ;
dfinir les besoins en matire de donnes de sortie ;
dterminer les ressources ncessaires en termes de personnel, doutils daudit
assists par ordinateur et denvironnement de traitement (quipements informa-
tiques de lorganisation ou spcifiques laudit) ;
obtenir laccs aux quipements informatiques, programmes/systmes et donnes,
y compris les dfinitions de fichiers, de lorganisation ;
documenter les outils daudit assists par ordinateur utiliser, notamment les
objectifs, les organigrammes gnraux et les modes demploi.
Dispositions prendre avec le service audit

Les fichiers de donnes, notamment ceux qui contiennent des informations dtailles
sur les transactions, ne sont souvent conservs que pendant une dure limite ;
lauditeur doit donc prendre des dispositions en vue de la conservation des donnes
couvrant la priode daudit approprie. Les modalits daccs aux quipements infor-
matiques, programmes/systmes et donnes de lorganisation doivent tre prcises
suffisamment lavance afin de minimiser lincidence sur lenvironnement de
production de lorganisation. Lauditeur interne doit valuer lincidence des modifica-
tions apportes aux programmes/systmes de production sur la mise en uvre des
outils daudit assists par ordinateur. cet effet, il tient compte de lincidence de ces
modifications sur lintgrit et lutilit des outils daudit assists par ordinateur, ainsi
que sur lintgrit des programmes/systmes et des donnes utiliss par lauditeur.
Vrification des outils daudit assists par ordinateur

Lauditeur doit obtenir une assurance raisonnable de lintgrit, de la fiabilit, de
lutilit et de la scurit des outils daudit assists par ordinateur, grce des travaux
appropris de planification, de conception, de vrification, de traitement et dexamen
de la documentation. Ces travaux doivent tre entrepris avant de sappuyer sur les
outils daudit assists par ordinateur. La nature, le calendrier et ltendue des vrifi-
cations sont fonction de la disponibilit commerciale et de la stabilit des outils
daudit assists par ordinateur.
SEPTEMBRE 2006
16-3
Scurit des donnes et des outils daudit assists par ordinateur
Lorsque les outils daudit assists par ordinateur sont mis en uvre pour extraire des
informations en vue dune analyse de donnes, lauditeur doit vrifier lintgrit du
systme dinformation et de lenvironnement informatique dont les donnes sont
extraites. Les outils daudit assists par ordinateur sont parfois utiliss pour extraire
des informations sensibles sur les programmes/systmes et des donnes de produc-
tion dont la confidentialit doit tre prserve. Lauditeur doit conserver les informa-
tions relatives aux programmes/systmes et les donnes de production avec un degr
appropri de confidentialit et de scurit. cette fin, il tient compte du degr de
confidentialit et de scurit requis par lorganisation propritaire des donnes et par
la lgislation en vigueur. Lauditeur doit mettre en uvre des procdures appropries
et documenter les rsultats obtenus de faon assurer en permanence lintgrit, la
fiabilit, lutilit et la scurit des outils daudit assists par ordinateur. titre
dexemple, ces procdures doivent comporter un examen des contrles relatifs la
maintenance et la modification des logiciels daudit intgrs, afin de sassurer que
seules des modifications autorises ont t apportes aux outils daudit assists par
ordinateur. Lorsque ces outils sintgrent dans un environnement dont lauditeur na
pas la matrise, un niveau de contrle appropri doit tre mis en place afin diden-
tifier les modifications qui leur sont apportes. Lorsque les outils daudit assists par
ordinateur sont modifis, et avant de les utiliser, lauditeur doit sassurer de leur int-
grit, de leur fiabilit, de leur utilit et de leur scurit grce des mesures appro-
pries de planification, de conception, de vrification, de traitement et dexamen de
la documentation.
3. Ralisation des travaux daudit
Collecte des preuves daudit
Lauditeur doit contrler la mise en uvre des outils daudit assists par ordinateur
afin dobtenir lassurance raisonnable que les objectifs de laudit sont remplis et que
les spcifications dtailles des outils daudit assists par ordinateur ont t res-
pectes. cet effet, lauditeur doit procder comme suit :
effectuer un rapprochement des totaux de contrle, le cas chant ;
sassurer de la vraisemblance des donnes de sortie ;
procder un examen de la logique, des paramtres et des autres caractristiques
des outils daudit assists par ordinateur ;
examiner les contrles informatiques gnraux de lorganisation qui sont suscep-
tibles de contribuer lintgrit des outils daudit assists par ordinateur (par
exemple les contrles relatifs aux modifications des programmes et laccs au
systme, au programme et/ou aux fichiers de donnes).
SEPTEMBRE 2006
16-4
Logiciels gnraux daudit

Lorsquil utilise des logiciels gnraux daudit pour accder aux donnes de produc-
tion, lauditeur doit prendre des mesures appropries pour prserver lintgrit des
donnes de lorganisation. Dans le cas de logiciels daudit intgrs, lauditeur doit
tre impliqu dans la conception du systme ; en outre, le dveloppement et la main-
tenance des outils devront tre assurs dans le cadre des systmes/programmes
dapplication de lorganisation.
Programmes utilitaires
En cas de recours des programmes utilitaires, lauditeur doit sassurer quaucune
intervention non prvue na eu lieu au cours du traitement et que le programme uti-
litaire provient de la bibliothque de systmes approprie. En outre, lauditeur doit
prendre des mesures appropries pour prserver lintgrit des systmes et des
fichiers de lorganisation, car ces utilitaires peuvent facilement les endommager.
Donnes de test
Lorsquil utilise des donnes de test, lauditeur ne doit pas perdre de vue que ces don-
nes ne font que mettre en vidence le risque de traitement erron ; cette technique
ne permet pas dvaluer les donnes de production relles. Par ailleurs, lauditeur doit
tre conscient que lanalyse des donnes de test peut savrer extrmement longue et
complexe, selon le nombre de transactions traites, le nombre de programmes tests
et la complexit des programmes/systmes. Avant dutiliser des donnes de test,
lauditeur doit vrifier que ces donnes naffecteront pas de faon permanente le sys-
tme oprationnel.
Traage logique et cartographie de logiciels dapplication

Lorsquil utilise des outils de traage logique et de cartographie des logiciels
dapplication, lauditeur doit obtenir la confirmation que le code source valu a
gnr le programme objet actuellement utilis aux fins de la production. Il ne doit
pas perdre de vue que ces outils ne font que mettre en vidence le risque de traite-
ment erron et ne permettent pas dvaluer les donnes de production relles.
Systmes experts daudit

En cas de recours des systmes expert daudit, lauditeur doit possder une connais-
sance approfondie des oprations du systme, de faon obtenir la confirmation que
les chemins de dcision suivis sont appropris compte tenu de lenvironnement/des
circonstances de laudit.
SEPTEMBRE 2006
16-5
4. Documentation des outils daudit assists par ordinateur
Documents de travail
Les diffrentes tapes du processus daudit assist par ordinateur doivent tre suffi-
samment documentes pour fournir des preuves daudit adquates. En particulier, les
documents de travail doivent contenir des informations suffisantes pour dcrire la
mise en uvre des outils daudit assists par ordinateur, notamment sur les points
numrs ci-aprs.
Planification
La documentation doit prciser :
les objectifs des outils daudit assists par ordinateur ;
les outils daudit assists par ordinateur mettre en uvre ;
les contrles effectuer ;
les effectifs et le calendrier.
Excution
La documentation doit inclure :
les procdures et les contrles relatifs la prparation et la vrification des outils
daudit assists par ordinateur ;
des informations dtailles sur les tests effectus laide des outils daudit assists
par ordinateur ;
des informations dtailles sur les donnes entres (donnes utilises, description
de fichiers, par exemple), les traitements (organigrammes des outils daudit assis-
ts par ordinateur, logique, etc.) et les documents de sortie (fichiers journaux, rap-
ports, par exemple) ;
la liste des paramtres ou du code source utiliss.
Preuves daudit
La documentation doit inclure :
les donnes de sortie produites ;
une description des travaux danalyse effectus sur ces donnes ;
les observations daudit ;
les conclusions de laudit ;
les recommandations formules dans le cadre de laudit.
SEPTEMBRE 2006
16-6
5. Rapports
Description des outils daudit assists par ordinateur

La section du rapport consacre aux objectifs, ltendue des travaux et la mtho-
dologie doit contenir une description claire des outils daudit assists par ordinateur
utiliss. Cette description doit donner au lecteur un bonne vue densemble, sans tre
trop dtaille. La description des outils utiliss doit galement figurer dans le corps
du rapport, avec les observations relatives leur mise en uvre. Si la description des
outils utiliss est trop dtaille, ou si elle concerne plusieurs observations, une
prsentation succincte doit figurer dans la section du rapport consacre aux objectifs,
ltendue des travaux et la mthodologie, avec un renvoi une annexe contenant
une description plus dtaille.
Annexe Glossaire
Outils de traage logique et de cartographie des logiciels dapplication : outils sp-

cialiss qui peuvent tre utiliss pour analyser le flux de donnes travers la logique
de traitement des logiciels dapplication et pour documenter cette logique, les
chemins, les conditions de contrle et les squences de traitement. Lanalyse peut
porter tant sur le langage de commande ou dordonnancement des travaux que sur le
langage de programmation. Cette technique inclut la cartographie du programme/
systme, le traage logique, les points de contrle instantans, les simulations paral-
lles et la comparaison des codes.
Systmes expert daudit : il sagit de systmes expert ou de systmes daide la dci-

sion qui peuvent tre utiliss pour assister les auditeurs au cours du processus dci-
sionnel en automatisant les connaissances de spcialistes dans le domaine examin.
Cette technique inclut lanalyse automatise des risques, les logiciels systme, et les
progiciels bass sur des objectifs de contrle.
Outils daudit assists par ordinateur : dsigne tous les outils daudit automatiss, tels
que les logiciels gnraux daudit, les programmes utilitaires, les donnes de test, les
outils de traage logique et de cartographie des logiciels dapplication et les systmes
expert daudit.
Logiciels gnraux daudit : dsigne un programme ou une srie de programmes infor-

matiques conus pour excuter certaines fonctions automatises. Ces fonctions
incluent la lecture de fichiers informatiques, la slection, la manipulation, le tri ou la
synthse de donnes, les calculs, la slection dchantillons et limpression de
rapports ou de lettres sous un format spcifi par lauditeur. Cette technique inclut
les logiciels acquis ou dvelopps des fins daudit et les logiciels intgrs dans les
systmes de production.
SEPTEMBRE 2006
16-7
Donnes de test : transactions simules pouvant servir tester la logique du traite-

ment, les calculs et les contrles rellement programms dans les applications
informatiques. Les tests peuvent porter sur des programmes individuels ou sur un
systme entier. Cette technique englobe les mcanismes de test intgrs et les
valuations de systmes sur la base dun scnario de rfrence.
Programmes utilitaires : programmes informatiques fournis par un fabricant de mat-

riel informatique ou un vendeur de logiciels et utiliss dans le cadre du fonction-
nement du systme dexploitation. Cette technique peut tre utilise pour examiner
le droulement du traitement, les programmes de test, les interventions systme et
les procdures oprationnelles, valuer les activits sur les fichiers de donnes et
analyser les donnes affrentes la comptabilisation des travaux.
SEPTEMBRE 2006
16-8
1230
Formation professionnelle continue

Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire
et autres comptences par une formation professionnelle continue.
MPA 1230-1
Formation Professionnelle Continue
matire de formation professionnelle continue. La prsente MPA na pas pour but de
1. Les auditeurs internes ont la responsabilit de maintenir jour leurs connaissances.

Ils doivent se tenir informs des progrs accomplis et des dveloppements en cours
dans le domaine des normes, procdures et techniques daudit. La formation conti-
nue peut sacqurir par ladhsion et la participation des associations profession-
nelles, par lassistance des confrences, sminaires, sessions dtudes, et la parti-
cipation aux actions internes de formation, ainsi que par la participation des pro-
grammes de recherche.
2. Il est conseill aux auditeurs internes dobtenir une certification attestant de leur
comptence, telle que le titre dauditeur interne Certifi (CIA, Certified Internal
Auditor) ou tout autre titre dlivr par lIFACI au nom de l'IIA.
3. Les auditeurs internes certifis doivent suivre une formation professionnelle continue
approprie de faon remplir les conditions requises dans le cadre de la certification
qui leur a t dlivre.
4. Les auditeurs internes qui ne sont pas encore certifis sont invits suivre un pro-
gramme de formation adapt en vue dobtenir la certification.
OCTOBRE 2002
17
MPA SRIE 1300
Programme dassurance et damlioration qualit
1300 PROGRAMME D'ASSURANCE
ET D'AMLIORATION QUALIT
LE RESPONSABLE DE L'AUDIT INTERNE DOIT LABORER ET TENIR JOUR UN

PROGRAMME D'ASSURANCE ET D'AMLIORATION QUALIT PORTANT SUR TOUS LES
ASPECTS DE L'AUDIT INTERNE ET PERMETTANT UN CONTRLE CONTINU DE SON
EFFICACIT. CE PROGRAMME INCLUT LA RALISATION PRIODIQUE DVALUATIONS
INTERNES ET EXTERNES DE LA QUALIT, AINSI QUUN SUIVI INTERNE CONTINU.
IL DOIT TRE CONU DANS UN DOUBLE BUT : AIDER L'AUDIT INTERNE APPORTER
UNE VALEUR AJOUTE AUX OPRATIONS DE
LORGANISATION ET LES AMLIORER, ET GARANTIR QU'IL EST MEN
EN CONFORMIT AVEC LES NORMES ET LE CODE DE DONTOLOGIE
Le contrle continu de lefficacit de laudit interne suppose une dfinition claire de
ses objectifs qui doivent tre prciss dans la charte.
Assurer la qualit implique la satisfaction des attentes des diffrentes parties pre-
nantes de laudit interne telles que la direction gnrale, le Conseil, les auditeurs
externes, ainsi que les autorits de tutelle et de contrle publiques ou prives. Il est
donc impratif de les identifier et de reconnatre leurs attentes. La charte de laudit
interne doit donner les grandes orientations en la matire.
Les attentes des parties prenantes peuvent tre explicites ou implicites. Si elles ne
sont pas formellement exprimes, on peut considrer quun service daudit interne
qui se conforme aux normes et au code de dontologie et qui apporte de la valeur
ajoute lorganisation rpond leurs attentes implicites.
Le programme dassurance et damlioration de la qualit doit certes tre conu
pour satisfaire les attentes des parties prenantes mais aussi pour que ces dernires
peroivent que leurs attentes sont satisfaites. Il est donc important de communiquer
largement sur les rsultats des revues internes et externes afin de renforcer la
confiance que peuvent avoir les parties prenantes dans le travail et les rsultats de
laudit interne, et leur donner l'assurance que lorganisation est bien sous contrle.
Les attentes et les parties prenantes peuvent voluer dans le temps, de mme que les
normes pour la pratique professionnelle de laudit interne. Cest pourquoi le pro-
gramme dassurance et damlioration de la qualit doit tre attentif ces volutions
et sadapter en consquence. cet gard, le responsable de laudit interne aurait
avantage sinspirer du Rfrentiel Professionnel de lAudit Interne, dvelopp par
IFACI Certification (se reporter la MPA 1312-3 Certification des directions
daudit interne ou des rfrentiels gnriques de management de la qualit tels
que la srie ISO 9000 ou le modle EFQM.
JUIN 2004 3
MPA 1300-1
Programme dAssurance et dAmlioration Qualit
quils conoivent ou valuent les programmes qualit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner dans le cadre de
llaboration ou de lvaluation de programmes dassurance qualit dtaills. Elle a
seulement pour objet de recommander la prise en compte dun ensemble dlments.
1. Vue densemble des programmes dassurance et damlioration qualit Il appartient

au responsable de l'audit interne de mettre en place un service daudit interne dont les
travaux couvrent lensemble des activits mentionnes dans les Normes et dans la dfi-
nition de laudit interne donne par lIIA (Introduction aux Normes). cette fin, la
norme 1300 prvoit que le responsable de laudit interne doit laborer et tenir jour un
programme d'assurance et d'amlioration qualit.
2. Mise en uvre des programmes dassurance et damlioration qualit Il appartient

au responsable de l'audit interne de sassurer de la mise en uvre de processus
permettant de donner aux diverses parties prenantes de laudit interne lassurance rai-
sonnable que ce service :
respecte sa Charte, qui doit tre conforme aux Normes Internationales pour la
Pratique Professionnelle de lAudit Interne et au Code de Dontologie ;
fonctionne dune faon efficace et efficiente ;
contribue, aux yeux des parties prenantes, crer de la valeur ajoute et amlio-
rer le fonctionnement de lorganisation.
Ces processus doivent comporter une supervision approprie, des valuations internes
priodiques et un suivi continu de lassurance qualit, ainsi que des valuations
externes priodiques.
3. Nature et porte des programmes dassurance et damlioration qualit Ces pro-

grammes doivent tre suffisamment dtaills pour couvrir tous les aspects du fonc-
tionnement et de la gestion dun service daudit interne, tels quils ressortent des
Normes et des meilleures pratiques de la profession. Les processus dassurance et
damlioration qualit doivent tre mis en uvre ou superviss par le responsable de
laudit interne. Exception faite des services daudit interne de dimension modeste, le
responsable de laudit interne dlgue gnralement ses subordonns la plupart des
JUIN 2004
4
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
tches affrentes au programme dassurance et damlioration qualit. Dans le cadre

de structures importantes ou complexes (grand nombre dunits et/ou de sites, par
exemple), le responsable de laudit interne doit mettre en place une fonction
Assurance et amlioration qualit formelle, indpendante des cellules audit et
conseil du service daudit interne. Cette fonction indpendante doit tre dirige par
un manager du service daudit interne. Celui-ci, assist dun nombre limit de
collaborateurs, naccomplit pas en principe lensemble des fonctions dassurance et
damlioration qualit, mais il en assure la gestion et le suivi.
4. Points cls dun programme dassurance et damlioration qualit Le programme

dassurance et damlioration qualit doit tre conu de faon optimiser les
comptences et, dans toute la mesure du possible, les revues doivent tre gres par
des personnes indpendantes des fonctions et des activits examines. Le programme
dassurance et damlioration qualit doit prendre en considration les tches essen-
tielles du service daudit interne numres ci-dessous et qui sont effectues soit par
le responsable du service, soit par une personne ou une unit fonctionnelle place
sous sa supervision :
superviser llaboration et la mise en uvre des procdures daudit interne ; admi-
nistrer/mettre jour le manuel de procdures de laudit interne ;
assister le responsable et les managers du service daudit interne dans llaboration
du budget et la gestion financire du service ;
effectuer et mettre jour une analyse dtaille des risques daudit, notamment par
la collecte et la prise en compte de nouvelles informations ayant une incidence sur
cette analyse ; superviser le partage des responsabilits entre laudit interne, laudit
externe et les autres fonctions dvaluation et dinvestigation ;
administrer le fonctionnement gnral du systme dvaluation des risques daudit
et de planification long terme ; assister le responsable et les managers du service
daudit interne dans ce domaine ;
fournir une assistance dans le cadre du processus global de planification des mis-
sions daudit et de conseil ainsi que du suivi des temps passs correspondant ;
assister les managers daudit interne dans lacquisition, la maintenance et
lutilisation des outils daudit et le recours dautres technologies ;
grer le recrutement externe ainsi que la participation de laudit interne la rota-
tion interne du personnel de lorganisation et aux programmes de dveloppement
des managers ;
superviser la formation/le perfectionnement du personnel (slection ou conception
de stages de formation, par exemple), et ladministration des processus
dvaluation des performances et dvolution de carrire correspondants, y compris
le systme de suivi de lvolution professionnelle de chacun des collaborateurs ;
JUIN 2004
5
superviser le (les) systme(s) de statistiques/dindicateurs relatif(s) laudit interne

et denqutes post audit ou autres (telles que des enqutes menes auprs des
clients et des autres parties prenantes du service audit interne) ;
administrer/contrler les activits dassurance qualit et damlioration des proces-
sus, notamment les valuations formelles, internes ou externes, de la qualit ;
LIFACI a mis en place une dmarche spcifique en lieu et place de lvaluation

externe, dmarche qui suit les strictes exigences de la Norme Europenne 45011
(qui dfinit les exigences relatives aux organismes procdant aux certifications
de produits ou de services) et la Norme Europenne 45012 (qui spcifie les
exigences relatives aux organismes certifiant selon les normes ISO). Il sagit de
la certification des directions daudit interne dont les modalits sont dcrites
dans la MPA 1312-3.
superviser/administrer la collecte dinformations et llaboration des rapports prio-

diques de synthse prsents la direction et au comit daudit par laudit interne
(y compris les rapports concernant les rsultats des valuations internes et externes
de la qualit) ;
grer/mettre jour la base de donnes dtaille utilise pour le suivi des recom-
mandations et des plans daction dcoulant des missions daudit interne, des
travaux des auditeurs externes et des autres fonctions dvaluation et de contrle
internes ;
aider le responsable, les cadres et le personnel du service daudit interne se tenir
informs de lvolution des Normes, des meilleures pratiques mergentes de la pro-
fession et de la rglementation, ainsi que des autres questions dactualit ou des
opportunits qui concernent la direction de laudit interne.
Les termes assister , administrer , grer , superviser , contrler et

mettre jour ne signifient pas ncessairement que ces tches sont accomplies
en majeure partie par la (les) personne(s) exerant la fonction dassurance et
damlioration qualit. Ces tches sont plutt affectes dautres cadres ou memb-
res du service daudit interne, soit ponctuellement pour certaines dentre elles, soit
plus long terme, mais elles sont supervises, administres, etc., par le biais du pro-
gramme dassurance et damlioration de la qualit.
JUIN 2004
6
1310
valuations du programme qualit
L'audit interne ncessite l'adoption d'un processus permettant de surveiller
et d'valuer l'efficacit globale du programme qualit.
Ce processus doit comporter des valuations tant internes qu'externes.
MPA 1310-1
valuations du Programme Qualit
Ces valuations sont destines la fois :

au responsable de laudit interne comme donne dentre lamlioration de
la qualit de laudit interne,
aux parties prenantes de laudit interne qui peuvent sappuyer sur leur rsultat
pour conforter la confiance quelles accordent laudit interne.
quils conoivent ou quils valuent les programmes qualit. La prsente MPA na pas
Dans la MPA prsente, le concept dvaluation externe est mentionn maintes

reprises. Ce concept ne rpond pas aux exigences dfinies par lIFACI qui
propose en substitution une dmarche de certification (cf MPA 1312-3). La
conformit la MPA 1310-1 sapprcie, selon lIFACI, en remplaant
lexpression valuation externe chaque fois quelle est utilise dans la MPA
prsente par certification .
1. Suivi des programmes qualit Ce suivi consiste en des valuations priodiques ou

continues de lensemble des prestations daudit et de conseil effectues par laudit
interne, et ne se limite pas lvaluation de son programme dassurance et
damlioration qualit (voir la MPA 1300-1). Ces valuations priodiques ou continues
doivent reposer sur des processus rigoureux et dtaills, comprenant la fois une super-
vision continue et la mesure des performances des prestations daudit et de conseil,
ainsi que des contrles priodiques du respect des Normes. Ce suivi doit comporter une
JUIN 2004
7
valuation et une analyse continues dindicateurs de performances (ralisation du plan

daudit, dure des missions, recommandations acceptes et satisfaction des clients, par
exemple). Sil savre, suite ces valuations, que des amliorations doivent tre appor-
tes par laudit interne, ces amliorations doivent tre mises en uvre par le responsa-
ble de laudit interne qui sappuie cette fin sur le programme dassurance et
damlioration qualit.
2. Dfinition et frquence des valuations

Les valuations internes continues (lexpression valuation interne tant syno-
nyme des termes revue interne et auto-valuation employs dans les MPA)
doivent faire partie intgrante de la supervision, de la revue et de lvaluation de
laudit interne, comme indiqu dans la MPA 1311-1, paragraphes 2 et 3.
Les valuations internes priodiques doivent tre ralises comme indiqu dans la
MPA 1311-1, paragraphes 4 et 5.
Les valuations externes priodiques du service daudit interne sont effectues par
une personne ou une quipe comptente et exprimente en matire daudit interne
et doivent tre ralises conformment aux MPA 1312-1 et 1312-2 (nouvelle
MPA).
Ne correspondant pas au contexte franais et lapproche de certification

propose par lIFACI ces deux MPAs ont t transfres en annexe, la suite des
PAs amricaines.
Les services daudit interne sont tenus de procder des valuations internes conti-
nues ou priodiques depuis le 1er janvier 2002. En outre, une valuation externe doit
tre effectue au minimum tous les cinq ans compter de cette date. Il est possi-
ble de droger lobligation deffectuer une valuation interne priodique au cours
de lanne durant laquelle une valuation externe est ralise.
La frquence de la certification de IFACI Certification, qui se substitue aux va-

luations externes, est de trois ans et non de cinq ans. Cette frquence correspond
aux exigences des Normes qualit. lissue de la certification, un programme de
suivi est tabli comprenant des visites de surveillance annuelles et un audit de
renouvellement au terme de trois ans. Ce programme permet de sassurer que
lorganisation et les prestations de la direction daudit interne certifie sont
maintenues au niveau dexigences requis par le rfrentiel de certification
utilis.
3. valuation des programmes qualit Lobjet de cette valuation est dapprcier la

qualit des travaux daudit interne et dmettre des recommandations en vue de leur
amlioration. Lvaluation des programmes qualit porte notamment sur les points
suivants :
JUIN 2004
8
respect des Normes et du Code de Dontologie, et notamment mise en uvre, dans

des dlais appropris, dactions correctrices visant remdier toute non-confor-
mit significative ;
caractre adquat de la Charte, des objectifs, des rgles et des procdures de
laudit interne ;
contribution aux processus de management des risques, de gouvernement
dentreprise et de contrle de lorganisation ;
respect des lois, rglementations, normes administratives ou sectorielles en vigueur ;
efficacit des processus damlioration continue et adoption des meilleures pra-
tiques ;
contribution de laudit interne la cration de valeur ajoute et lamlioration du
fonctionnement de lorganisation.
4. Amlioration continue Tout programme dvaluation et damlioration de la qualit

doit dboucher sur une modification approprie, effectue dans des dlais raisonna-
bles, des ressources, des technologies, des processus et des procdures.
5. Communication des rsultats Par souci de transparence, le responsable de l'audit

interne doit communiquer les rsultats des valuations externes et, si ncessaire, des
valuations internes du programme qualit, aux diverses parties prenantes de laudit
interne, telles que la direction gnrale, le Conseil et les auditeurs externes.
JUIN 2004
9
1311
valuations Internes
Les valuations internes doivent comporter :
des contrles continus du fonctionnement de l'audit interne ;
des revues priodiques, effectues par auto-valuation ou par d'autres personnes de

l'organisation connaissant les pratiques d'audit interne et les Normes.
MPA 1311-1
valuations internes
Par valuation interne, on entend interne lorganisation mais pas au service

daudit, lexception de lauto-valuation.
quils procdent des valuations internes de leur service. La prsente MPA na pas
pour but de dcrire de faon exhaustive toutes les procdures mettre en uvre dans
le cadre de ces valuations. Elle a seulement pour objet de formuler une srie de
recommandations.
1. Vue densemble dun programme dassurance et damlioration qualit Il appartient

au responsable de l'audit interne de mettre en place un service daudit interne dont
les travaux couvrent lensemble des activits mentionnes dans les Normes et dans la
dfinition de laudit interne donne par lIIA (cf. Introduction aux Normes). cette
fin, la norme 1300 prvoit que le responsable de laudit interne doit laborer et tenir
jour un programme d'assurance et d'amlioration qualit. Ce programme doit
comporter des valuations internes continues et priodiques (lexpression valuation
interne tant synonyme des termes revue interne et auto-valuation
employs dans les MPA). Ces valuations continues ou priodiques doivent couvrir
lensemble des prestations daudit et de conseil fournies par laudit interne et ne doi-
vent pas tre limites lvaluation de son programme dassurance et damlioration
qualit (voir la MPA 1300-1).
2. valuations internes continues Ces valuations sont gnralement incorpores dans

les procdures et les pratiques courantes de gestion du service daudit interne. Elles
doivent reposer notamment sur les processus et outils suivants :
JUIN 2004
10
supervision des missions selon les modalits dcrites dans la MPA 2340-1 relative
la Supervision des missions ;
listes de contrle et autres procds permettant de sassurer que les processus
adopts par laudit interne (par exemple dans un manuel daudit et de procdures)
sont suivis ;
informations fournies, en retour, par les clients et les parties prenantes de laudit
interne ;
budgets par projet, systmes de suivi des temps passs, ralisation du plan daudit,
recouvrement des cots ;
analyses dautres indicateurs de performance (par ex. dure des missions et taux de
recommandations acceptes).
3. Il convient de conclure sur la qualit des prestations, et deffectuer un suivi afin de

sassurer que les amliorations appropries sont mises en uvre.
4. valuations internes priodiques Ces valuations correspondent gnralement des

revues et des contrles de conformit ponctuels, finalit spcifique. Elles ont pour
objet (a) de s'assurer du respect de la Charte de laudit interne, des Normes
Internationales pour la Pratique Professionnelle de lAudit Interne (les Normes ) et
du Code de Dontologie, et (b) dapprcier lefficacit du service, notamment sa capa-
cit rpondre aux besoins de ses diverses parties prenantes. Le Manuel de lIIA rela-
tif lvaluation de la qualit (Quality Assessment Manual), ou un ensemble compa-
rable de lignes directrices et doutils, doivent servir de base aux valuations internes
priodiques.
IFACI Certification a labor un Rfrentiel Professionnel de lAudit Interne

sappuyant sur les Normes quil rpartit en :
exigences de prestations ;
exigences de moyens ;
exigences de pilotage et de contrle.
Ce Rfrentiel, conu aux fins de certification dune direction daudit interne par
IFACI Certification, peut aussi tre utilis pour les valuations internes. Il est
disponible auprs de lIFACI.
5. Les valuations priodiques peuvent :

comporter des enqutes et des entretiens plus approfondis avec les parties
prenantes de laudit interne ;
tre ralises par les membres de laudit interne (auto-valuation) ;
JUIN 2004
11
tre ralises par des auditeurs internes certifis CIA, ou par dautres profession-
nels de laudit, intervenant dans dautres dpartements de lorganisation ;
LIFACI est centre dexamen du CIA en France.
combiner auto-valuation et prparation de documents revues ultrieurement par

des auditeurs internes certifis CIA ou par dautres professionnels de laudit ;
inclure une tude comparative des pratiques et des indicateurs de performance de
laudit interne et des meilleures pratiques de la profession.
6. Une valuation interne priodique, ralise peu de temps avant une valuation
externe, peut faciliter cette dernire et en rduire le cot. Si lvaluation externe
prend la forme dune auto-valuation suivie dune validation indpendante (nouvelle
MPA 1312-2), lvaluation interne priodique peut tenir lieu dauto-valuation dans
le cadre de ce processus.
Cette disposition ne sinscrit pas dans la dmarche de certification d'IFACI

Certification qui suit un processus clairement tabli et rpondant strictement
aux exigences de la Norme Europenne 45011 qui fait loi en matire dorga-
nismes procdant des certifications de produits ou de services. Lauto-
valuation suivie dune validation indpendante nest en aucune manire pr-
vue dans le dispositif dIFACI Certification.
7. Il convient de conclure sur la qualit des prestations et prendre toute mesure appro-
prie pour, en tant que de besoin, mettre en uvre les amliorations et assurer la
conformit aux Normes.
8. Le responsable de l'audit interne doit mettre en place un systme de diffusion des

rsultats des revues priodiques permettant de prserver la crdibilit du service et
de garantir son objectivit. En rgle gnrale, les personnes charges des revues
continues et priodiques doivent rendre compte au responsable de l'audit interne au
cours de leurs revues et lui adresser directement leurs rsultats.
9. Communication des rsultats Le responsable de l'audit doit informer les personnes

intresses extrieures laudit interne, telles que le Conseil, la direction gnrale,
et les auditeurs externes, des rsultats des valuations internes, des plans daction
mettre en uvre et de la mise en uvre effective de ces derniers.
Le responsable de laudit interne apprciera lopportunit et adaptera lampleur

de la communication des rsultats pour chaque partie prenante. La communica-
tion des rsultats des revues internes aux auditeurs externes peut permettre de
favoriser un climat de confiance propice la coopration entre audit interne et
audit externe.
JUIN 2004
12
MPA 1311-2
Mise en place dindicateurs (valuations quantitatives et qualitatives)
lappui des contrles de la performance de lactivit daudit interne
La prsente MPA sinscrit dans le prolongement de la MPA 1311-1 et contient des

recommandations concernant la mise en place dindicateurs de mesure de la perfor-
mance de lactivit daudit interne. Ces recommandations nont pas vocation cons-
tituer le support unique pour la mise en place dindicateurs de performance, mais
complter les Normes internationales pour la pratique professionnelle de laudit
interne (ci-aprs les Normes ) et les autres pratiques courantes en matire
dvaluation. La prsente MPA contient des exemples dindicateurs spcifiques, jugs
essentiels par les responsables de laudit interne ; toutefois, il nexiste pas de srie
dindicateurs universelle, pertinente pour toutes les activits daudit. La mise en
place dindicateurs, tant quantitatifs que qualitatifs, est importante car elle permet
de dmontrer les performances du service audit aux principales parties prenantes.
Introduction
Aux termes de la Norme 1310, laudit interne ncessite ladoption dun processus per-
mettant de surveiller et dvaluer lefficacit globale du programme qualit. Ce processus
doit comporter des valuations tant internes quexternes. La MPA 1311-1 suggre de
sappuyer sur lanalyse dindicateurs de performance, entre autres lments, pour proc-
der ces revues internes.
Outre le respect des Normes, les indicateurs de performance de lactivit daudit peuvent
porter sur les points suivants : niveau de contribution lamlioration des processus de
management des risques, de contrle et de gouvernement dentreprise, ralisation des
objectifs majeurs fixs, apprciation du taux de ralisation du plan daudit, amlioration
de la productivit du personnel, amlioration du rapport cot-efficacit du processus
daudit, augmentation du nombre de plans dactions visant amliorer les processus,
planification et supervision satisfaisantes des missions, capacit rpondre efficacement
aux besoins des parties prenantes, caractre suffisant des revues dassurance qualit,
etc.
SEPTEMBRE 2006
12-1
Mise en place du processus dvaluation des performances

Pour dfinir des indicateurs de performance pertinents, le responsable de laudit interne
doit mettre en place un processus permettant :
didentifier les critres de performance essentiels (satisfaction des parties prenantes
internes, par exemple). La prsente MPA suggre de retenir les critres suivants :
satisfaction des parties prenantes,
processus daudit interne,
capacits dinnovation et comptences ;
de dfinir des stratgies et des indicateurs par critre de performance. Les stratgies
doivent tre mises en uvre selon des modalits conformes aux Normes, dautres
normes professionnelles appropries ainsi quaux lois et rglements en vigueur, et
permettre de donner satisfaction aux parties prenantes. Lutilisation dindicateurs de
performance peut tre un lment du processus dvaluation interne mis en uvre par
lactivit daudit interne pour se conformer aux Normes ;
de sassurer que les indicateurs de performance font rgulirement lobjet dun suivi,
danalyses et de reporting.
Le responsable de laudit interne doit sassurer que les indicateurs mis en place sont
appropris compte tenu du volume dactivit, du secteur concern, du pays, des lois et
rglements nationaux et de lenvironnement dans lequel lorganisation opre. Les indica-
teurs de performance doivent tre spcifiques lorganisation et il est dconseill au
responsable de laudit interne de sappuyer sur des indicateurs gnraux qui ne sont pas
significatifs compte tenu de lactivit spcifique du service audit. Le schma A figurant
la fin de la prsente Modalit Pratique dapplication contient des exemples
dindicateurs qui pourraient tre considrs comme importants par les responsables de
laudit interne.
Identification des critres de performance essentiels
Comme indiqu ci-dessus, le responsable de laudit interne doit identifier les critres de
performance essentiels, tels que la satisfaction des parties prenantes, les processus
daudit, les capacits dinnovation et les comptences de laudit interne.
Le comit daudit, les cadres dirigeants, certains organismes publics externes, les instances
rglementaires et les auditeurs externes peuvent, entre autres, figurer parmi les parties
prenantes. Les processus daudit comprennent notamment lvaluation des risques, la
planification et les mthodologies daudit. Pour les capacits dinnovation et les comp-
tences, on peut retenir, par exemple, lutilisation efficace des technologies, la formation
et la connaissance du secteur.
SEPTEMBRE 2006
12-2
Dfinition des stratgies et des indicateurs par critre de performance

Les Normes, dautres normes professionnelles en vigueur, les plans stratgiques de
lorganisation et de lactivit daudit interne, les lois et rglements, ainsi que la charte et
la mission de laudit interne, constituent un support efficace pour dterminer les strat-
gies appropries pour chaque critre de performance. Les stratgies et les indicateurs par
critre de performance reposent sur ce support et sur une analyse de la satisfaction des
parties prenantes.
Le schma 1 ci-dessous contient des exemples de critres de performance :
Parties prenantes internes et externes
En rgle gnrale, les principales parties prenantes (ou principaux clients ) de

lactivit daudit interne sont scindes en deux catgories :
les parties prenantes internes qui comprennent, par exemple, le conseil
dadministration/comit daudit, la direction gnrale et les cadres oprationnels ;
les parties prenantes externes, parmi lesquelles peuvent figurer les instances rgle-
mentaires et laudit externe.
Le responsable de laudit interne doit recenser les parties prenantes pertinentes, ainsi
que tous les produits et services importants, ou qui devraient ltre, aux yeux de chaque
partie prenante. Il lui appartient dvaluer leur degr actuel de satisfaction et leurs
priorits, ainsi que les carts dtects. Ces valuations peuvent tre ralises au moyen
dentretiens, de runions et/ou de questionnaires. En cas dcarts, il est conseill au
responsable de laudit interne dlaborer un plan daction appropri.
SEPTEMBRE 2006
12-3
Il peut savrer ncessaire de procder des rapprochements des degrs de satisfaction

des diverses parties prenantes afin de les corroborer.
Les points examiner pour recenser les parties prenantes et valuer leur satisfaction sont
notamment les suivants :
tendue de la rglementation pour lorganisation et/ou lactivit audit ;
relations avec les principales parties prenantes internes et externes ;
nature de lorganisation (publique ou prive, par exemple).
Processus daudit interne
Il convient de tenir compte des Normes de fonctionnement de lIIA/IFACI pour dfinir les
critres dvaluation des performances applicables aux processus daudit interne. Les
principales prestations requises par la charte daudit interne doivent galement tre
prises en compte. Des critres spcifiquement adapts aux missions de conseil en
gestion [qui ne suivent pas ncessairement les mmes processus que les missions
daudit] et aux enqutes de fraude, mentionnes dans la charte de laudit interne,
peuvent tre dfinis. Voici des exemples de critres applicables aux processus daudit
interne et des points valuer pour chaque critre :
a. valuation des risques/Planification des audits

Un retour dinformations est-il obtenu des principales parties prenantes (comit
daudit, direction gnrale et auditeur externe) pour savoir si laudit interne a trait
efficacement les questions lies aux risques ?
Laudit interne value-t-il dans quelle mesure les principaux domaines risques sont
examins ?
b. Planification et ralisation de la mission daudit

Des plans daudit appropris, intgrant le champ de la mission, les objectifs, le
calendrier et les ressources alloues, sont-ils tablis pour chaque mission ?
Les audits sont-ils raliss conformment aux mthodologies daudit tablies et aux
pratiques en vigueur ?
SEPTEMBRE 2006
12-4
c. Communication et prsentation de rapports

Un retour dinformations est-il obtenu des principales parties prenantes sur la
qualit, le niveau de dtail et la frquence des communications des rsultats de
laudit ?
Laudit interne value-t-il dans quelle mesure les principales recommandations sont
mises en uvre ?
Capacits dinnovation et comptences
Il convient de tenir compte des Normes de qualification et des Normes de fonctionne-

ment pour dfinir les critres dvaluation des performances relatifs aux capacits
dinnovation et aux comptences de laudit interne. Voici des exemples de critres et de
points valuer :
a. Formation
Les valuations en place permettent-elles de sassurer que les auditeurs reoivent
une formation suffisante (heures de formation par collaborateur, participation des
formations sur les thmes essentiels, etc.) ?
La satisfaction des auditeurs en matire de formation est-elle value ?
Le nombre de certificats obtenus par lquipe fait-il lobjet dun suivi ?
b. Utilisation des technologies
Des objectifs ont-ils t fixs en matire de formation du personnel lutilisation

des technologies ? Des indicateurs sont-ils en place pour sassurer que ces objectifs
sont atteints ?
Des objectifs ont-ils t fixs en matire dutilisation des technologies pour soute-
nir efficacement les tests et analyses daudit ? Des indicateurs sont-ils en place pour
sassurer que ces objectifs sont atteints ?
c. Connaissance du secteur
Des indicateurs sont-ils en place pour sassurer que le personnel possde une
connaissance suffisante du secteur, de lactivit, des oprations et des principales
fonctions (par exemple, valuation de la participation des ateliers dorientation,
des projets daudit dans des domaines cls, des travaux oprationnels) ?
SEPTEMBRE 2006
12-5
Mise en place dun processus efficace dvaluation et de reporting des performances
Le responsable de laudit interne doit mettre en place un processus dvaluation qui favo-
rise ladhsion aux objectifs assigns au service audit et qui comporte une valuation
approprie de la ralisation de ces objectifs. Un processus permanent efficace comprend
les lments suivants :
des indicateurs de performance conformes aux Normes, aux objectifs stratgiques cls
ainsi quaux lois et rglements en vigueur. Il peut sagir dindicateurs tant qualitatifs
que quantitatifs. Les points valuer doivent consister en des objectifs et/ou des
normes clairs, mesurables, ralisables et ralistes ;
des processus cohrents de collecte, de synthse et danalyse des donnes, permettant
un retour dinformations dans des dlais appropris ;
des processus permettant de sassurer que les indicateurs sont actualiss au fur et
mesure de lvolution des attentes, de la situation, des priorits et des objectifs ;
des rapports sur les rsultats du processus dvaluation lattention des responsables
de dpartement et des principales parties prenantes ;
un rapport annuel, lattention du comit daudit, sur lefficacit de laudit interne.
Le tableau 2 ci-dessous contient un exemple concernant les modalits dapplication du

processus dvaluation des performances. Cet exemple porte sur les indicateurs de per-
formance relatifs aux capacits dinnovation et aux comptences, et notamment sur le
lien entre la stratgie de lentreprise et la stratgie de laudit.
Stratgie de lorganisation
Exploiter les capacits des systmes cls afin dtablir les principaux rapports financiers
et rapports de gestion et dautomatiser les contrles internes
Stratgie daudit interne

Exploiter les fonctions de reporting des systmes cls afin dauditer
les applications sous-jacentes aux principaux processus audits
Critre de performance : capacits dinnovation et comptences

Stratgie :
recruter du personnel et le former lmission de rapports informatiss et laudit
Indicateurs : heures de formation par auditeur sur les systmes concerns
nombre de collaborateurs ayant lexprience de laudit de systmes
SEPTEMBRE 2006
12-6
Pour des recommandations plus dtailles et des exemples, veuillez consulter la liste ci-
dessous.
Modalits Pratiques dApplication concernes et autres sources
MPA 2100-3 : Le rle de laudit interne dans le processus de management des risques
MPA 2140-4 : Le rle de laudit interne en labsence de processus de management des
risques
MPA 1300-1 : Programme dassurance et damlioration qualit
MPA 1310-1 : valuations du programme qualit
MPA 1311-1 : valuations internes
MPA 1312-1 : valuations externes
MPA 1312-2 : valuations externes et auto-valuation avec validation indpendante des
rsultats
MPA 1320-1 : Rapports relatifs au programme qualit
MPA 1330-1 : Audits effectus conformment aux Normes
Autres sources :
Manuel dvaluation de la qualit publi par The Institute of Internal Auditors.

Le management des risques de lentreprise Cadre de rfrence, Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
20 Questions Directors Should Ask About Internal Audit (20 questions que les
administrateurs devraient poser sur laudit interne), de John Fraser et Hugh Lindsay.
Cet ouvrage est publi sur le site web de lIIA. Il a t parrain par The IIA Research
Foundation, the Canadian Institute of Chartered Accountants, et the Institute of
Corporate Directors.
Global Auditing Information Network de lIIA (GAIN). Ce rseau dinformations permet
aux organisations de comparer la taille de leur dpartement daudit, lexprience et
lexpertise de ses membres et dautres indicateurs, aux moyennes obtenues pour des
organisations de taille similaire de leur secteur.
A Balanced Scorecard Framework for Internal Auditing Departments (Un tableau de
bord prospectif lintention des services daudit interne), de Mark L. Frigo, Ph.D., CPA,
CMA. Ce livre a t parrain par the Institute of Internal Auditors Research Foundation.
SEPTEMBRE 2006
12-7
Le schma A ci-dessous a t extrait et adapt partir de louvrage intitul A Balanced

Scorecard Framework for Internal Auditing Departments . Ce schma recense les va-
luations de performance qui ont t juges importantes par un chantillon de responsa-
bles de laudit interne. Il convient de slectionner des indicateurs de performance spci-
fiques rpondant aux besoins propres de son service.
SEPTEMBRE 2006
12-8
1312
valuations Externes
Des valuations externes doivent tre ralises au moins tous les cinq ans par un va-
luateur ou une quipe qualifis et indpendants extrieurs l'organisation. Le respon-
sable de l'audit interne doit s'entretenir avec le Conseil au sujet du besoin ventuel
d'augmenter la frquence de ces valuations externes, ainsi que des qualifications et de
l'indpendance de l'valuateur ou de l'quipe d'valuation externes ; en particulier, tout
conflit d'intrt potentiel doit tre examin. Ces discussions doivent aussi porter sur
l'adquation de l'exprience de l'valuateur ou de l'quipe d'valuation la taille, la
complexit et au secteur d'activit de l'organisation.
MPA 1312-1
valuations externes
MPA 1312-2
valuations externes et auto-valuation avec validation indpendante des rsultats
Les traductions franaises de la PA originale 1312-1 valuations externes et de la

PA 1312-2 valuation externe et auto-valuation avec validation indpendante des
rsultats figurent en annexe (Partie III : Practice Advisories de The IIA Professional
Practices Framework).
MPA 1312-3
Certification des directions daudit interne
Cette MPA a t labore par lIFACI qui a mis en place une dmarche spcifique et plus
adapte, en lieu et place de lvaluation externe : la certification des directions daudit
interne. Elle se substitue aux PA 1312-1 et 1312-2
Nature de cette Modalit Pratique dApplication
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes
lorsquils souhaitent faire certifier leur service daudit interne afin de rpondre aux
exigences de la norme 1312. La prsente MPA na pas pour but de procder un
expos exhaustif de tous les points examiner dans le cadre dune certification. Elle
a seulement pour objet de formuler une srie de recommandations.

1. Considrations dordre gnral
Les raisons qui ont amen lIFACI proposer une certification
La certification a trouv sa raison dtre dans la norme 1312 qui exige que des va-
luations externes du service daudit interne soient menes au moins tous les cinq ans.
SEPTEMBRE 2006
13
Mais tant donn que nous n'avons aucune certitude que les revues telles
quexposes par la MPA 1312-1 seront ralises par les organismes ayant les com-
ptences adquates ; que par ailleurs, en raison des lectures diffrentes que lon peut
faire des normes professionnelles, ces valuations risquent dtre htrognes et donc
difficilement comparables ; quenfin, mme effectues par des organismes comp-
tents, elles risquent de n'tre reconnues que par un cercle troit dinitis, l'IFACI a
considr qu'il tait ncessaire de proposer une autre offre et surtout daller plus loin
que ces simples valuations externes.
Quelles sont les raisons qui doivent amener les services daudit interne se faire certifier ?
Pour apporter sa pleine contribution la cration de valeur ajoute, laudit interne doit
constamment communiquer sur les services quil propose, sur ses critres et exigences
propres de qualit et sengager se conformer des rfrentiels reconnus au plan interna-
tional. Pour y parvenir, il est indispensable que le service daudit interne se dote de
procdures et de mthodes de travail permettant le respect de ces rfrentiels, quil
value rgulirement la conformit de ses activits et services aux exigences de
qualit fixs et la satisfaction de ses clients, et enfin, quil mette en uvre un plan
damlioration de la qualit. Tout ceci trouve son aboutissement dans une large
communication de ce que fait laudit interne et des engagements quil a pris, ce qui
permet de renforcer le positionnement du service au sein de lorganisation, de dynamiser
lquipe daudit interne et de promouvoir le rle et lapport de laudit interne auprs de ses
clients et parties prenantes.
2. Loffre de certification : Le certificat que propose lIFACI a pour objet de donner une
assurance sur la qualit des prestations et le respect des normes de laudit interne ou
de la norme ISO 9001. Ce certificat, dlivr par lorganisme de rfrence quest
lIFACI, sera de ce fait crdible, ce qui permettra aux directions daudit interne de
sen prvaloir auprs de leur direction gnrale, de leur comit daudit, de leurs
parties prenantes mais galement des pouvoirs publics. Ce certificat vient complter
le dispositif dj existant, savoir les Normes, le Code de Dontologie et le CIA
(Certified Internal Auditor) et consacrer encore davantage le professionnalisme de
laudit interne.
Trois offres de certifications existent :

La certification selon le Rfrentiel Professionnel de lAudit Interne : il sagit de certi-
fier le contenu et le niveau de services rendus par la direction daudit interne par
rapport un rfrentiel trouvant sa source et sa lgitimit dans les normes de lIIA.
La certification ISO 9001 version 2000 qui porte sur les caractristiques et les prin-
cipes de fonctionnement du Systme de Management de la Qualit (SMQ) des
directions daudit interne. Le SMQ est lensemble cohrent des ressources humaines,
des rgles et des moyens permettant dassurer un niveau de qualit du service
rendu et lamlioration continue de lactivit.
JUIN 2004
14
La certification combine.
LIFACI propose dabord et avant tout la premire certification qui sappuie sur un
rfrentiel exigeant et pragmatique fond sur les Normes Professionnelles de
lAudit Interne de lIIA/IFACI, Normes reconnues au niveau international. Ce rf-
rentiel a t prpar par une quipe de professionnels de laudit interne, dment
valid par un comit de validation, compos de reprsentants des directions
daudit interne, dutilisateurs et dexperts en audit interne.
3. Les rfrentiels et leur plan de contrle associ
Le Rfrentiel Professionnel de lAudit Interne et son plan de contrle : ce rfrentiel
est structur selon les rgles de prsentation des rfrentiels qualit avec des
exigences de prestations, de moyens, de pilotage et de contrle. Il sappuie sur les nor-
mes professionnelles de laudit interne, ce qui lui confre sa lgitimit et intgre les
remarques formules par le comit de validation, ce qui en fait un rfrentiel la fois
exigeant et pragmatique. Le comit de validation est compos de 15 personnes
rparties entre 3 collges : les responsables de services daudit interne, les utilisa-
teurs de laudit interne, les experts. Le rfrentiel saccompagne dun plan de
contrle qui explicite les caractristiques certifier en termes de points de contrle
et de preuves possibles. Il assure une homognit des travaux des auditeurs et des
conclusions du comit de certification.
La norme ISO 9001 et son plan de contrle : cest un rfrentiel gnrique qui peut
sappliquer tous les services dune entreprise et donc notamment un
service daudit interne. Il fournit les exigences relatives au systme de management
de la qualit que le service doit mettre en place en vue de la certification. Le plan
de contrle associ dcoule directement de la norme ISO 9001. En raison du carac-
tre gnrique de cette norme, un guide dapplication un service daudit interne
a t labor. Il sert de document de travail aux auditeurs certificateurs.
4. Lorganisation mise en place
Elle a dbut avec la cration de la SARL IFACI Certification. IFACI Certification doit
elle-mme rpondre des exigences de qualit, ce qui a amen la rdaction dun
manuel qualit, de rgles de certification et de procdures de travail. Le rfrentiel
professionnel de laudit interne et son plan de contrle associ ont t labors par
lquipe projet et soumis au comit de validation, voqu prcdemment. Deux des
points cls de cette dmarche sont limpartialit et dindpendance de la certifica-
tion. Pour les assurer, un comit de certification a t cr. Il se compose de repr-
sentants des services daudit interne, des utilisateurs de laudit interne et
dexperts. Son rle majeur est dassurer limpartialit de toute dcision de certification,
les rsultats de chaque audit tant examins et valids par deux membres du comit
de certification, donc deux personnes nayant pas particip laudit lui-mme. Enfin,
IFACI Certification a constitu un rseau dauditeurs, professionnels de laudit interne
et/ou de la qualit, forms au rfrentiel et au processus de certification.
JUIN 2004
15
Toute cette organisation rpond aux exigences strictes des Normes europennes
45011 (qui dfinit les exigences relatives aux organismes procdant aux certifications
de produits ou services) et 45012 (qui spcifie les exigences relatives aux organismes
certifiant selon les normes ISO).
5. Qualifications requises pour tre auditeur certificateur

Les auditeurs certificateurs approuvs par IFACI Certification sont soit des consul-
tants soit des salaris. Les auditeurs approuvs doivent suivre une formation dispense
par IFACI Certification. Cette formation porte la fois sur la politique qualit dIFACI
Certification, sur la dmarche daudit, sur les rfrentiels utiliss et les rgles de
certification. Les auditeurs et le responsable de lquipe sont valus aprs chaque
mission, respectivement par le responsable de lquipe et par le comit de certifica-
tion. Ces valuations sont analyses par IFACI Certification et suivies dactions cor-
rectives si ncessaires.
Lquipe daudit doit collectivement respecter les critres ci-aprs :
Certification audit interne :
tre formateur dans le domaine des normes professionnelles de laudit interne ou
avoir suivi une formation reconnue celles-ci ou au Rfrentiel Professionnel
d'Audit Interne,
avoir une exprience de trois ans au minimum de la pratique de laudit interne,
au cours dune priode rcente,
avoir au moins un membre CIA (Certified Internal Auditor), certificat dlivr par
lIIA/IFACI,
tre indpendant de lorganisation dont le service daudit interne est audit.
Certification audit qualit :

avoir suivi une formation reconnue soit au niveau national soit international pour
auditeurs ou responsables daudit, conformment aux exigences de la norme ISO
19011,
avoir particip au moins quatre audits qualit ou un quivalent de vingt jours
pendant les deux dernires annes,
tre indpendant de lorganisation dont le service daudit interne est audit.
6. Indpendance Les auditeurs dIFACI Certification ainsi que les membres du Comit
de Certification signent une clause de confidentialit et de renoncement lactivit
de conseil affrente lobjet de la certification. De plus, le fait que chaque dossier
de certification soit revu et valid par deux membres de ce mme Comit qui nont
pas particip la mission donnent une assurance supplmentaire quant
limpartialit de la dcision prise.
JUIN 2004
16
7. Le processus de certification
Le schma ci-aprs en reprend les principales tapes :
Le SAI adresse sa demande

IFACI CERTIFICATION
IFACI CERTIFICATION
examine sa recevabilit
Le SAI reoit une proposition d'intervention

incluant une slection d'auditeurs
1re option : Les auditeurs ralisent

un diagnostic ou un audit blanc
Mise niveau des prestations

du service d'audit interne ou du SMQ
2e option : Les auditeurs ralisent

l'audit de certification
Les conclusions de l'audit

sont prsentes au Comit de Certification
Le Comit de Certification
valide les conclusions de l'audit
et propose la dlivrance du certificat
Un programme de suivi de la certification

est tabli (audit annuel de suivi et
audit de renouvellement tous les trois ans)
En mme temps que lenvoi de la proposition dintervention au service candidat,

IFACI Certification lui demande un certain nombre de documents en vue de raliser
une revue documentaire pralable. Celle-ci est dterminante dans la mesure o elle
permettra dorienter le service vers un diagnostic ou un audit blanc si elle rvle un
grand nombre dcarts avec le rfrentiel (diagnostic) ou quelques carts ou incerti-
tudes (audit blanc) ou encore de reporter laudit en cas de lacune majeure. Raliser
lune ou lautre, ou les deux, de ces missions permet au service daudit interne de
bien se prparer la certification et de se mettre niveau par rapport au rfrentiel.
En revanche, ni le diagnostic ni laudit blanc ne garantissent la dtection de toutes
les non-conformits existantes, ntant pas aussi exhaustifs quun audit de certifica-
tion. La mise niveau qui suivra ventuellement ne sera en aucune manire ralise par
IFACI Certification qui sinterdit toute prestation de conseil (comme dj not, les audi-
JUIN 2004
17
teurs certificateurs signent, cet gard, une clause de renoncement toute presta-
tion de conseil pour le service concern, pour les deux annes qui suivent
lintervention). Ceci permet de prserver lobjectivit d'IFACI Certification.
8. Quel est le retour sur investissement escompt dune certification ?

Pour un service daudit interne : la certification lui offre lopportunit de sengager
concrtement dans un plan damlioration continue de la qualit et de lamener
slever au niveau des meilleures pratiques. Par ailleurs, la certification, en rv-
lant certaines insuffisances, peut convaincre la direction gnrale de la ncessit
dallouer laudit des ressources supplmentaires et dlargir son champ
dintervention. Enfin, et cela nest pas le moindre des avantages, elle contribue
vendre laudit interne auprs de la direction gnrale, du comit daudit, des audi-
ts, bref de toutes les personnes que les auditeurs certificateurs sont amens ren-
contrer dans le cadre de leurs diligences.
Pour la direction gnrale : elle atteste la capacit de laudit interne jouer effica-
cement son rle en matire de contrle, de management des risques et de gouver-
nement dentreprise. Ceci est dautant plus important que la Loi de Scurit
Financire et le Sarbanes OIxley Act attribuent un rle minent laudit interne
dans le domaine du contrle interne. Ainsi une direction daudit interne certifie
est un gage de son professionnalisme et une assurance de la qualit de ses
travaux, sur lesquels le prsident pourra sappuyer, en toute confiance, pour rdi-
ger son rapport. Mentionner cette certification dans le rapport du prsident pourra
tre peru, par le march, comme un signe fort de la volont de la direction de se
donner les moyens davoir la matrise de son systme de contrle interne. Le rgu-
lateur comme les investisseurs devraient s'en rjouir.
.
JUIN 2004
18
1320
Rapports relatifs au programme qualit

Le responsable de l'audit interne doit communiquer au Conseil
les rsultats des valuations externes.
MPA 1320-1
Rapports relatifs au programme qualit
quils communiquent les rsultats du programme qualit. La prsente MPA na pas
1. Au terme dune valuation externe, un rapport doit tre prpar dans lequel
lvaluateur exprime son opinion sur le respect des Normes par le service de laudit
interne. Le rapport doit aussi traiter du respect de la Charte daudit et des autres nor-
mes applicables, et inclure toutes recommandations appropries. Le rapport doit tre
adress la personne ou lorgane qui a demand lexamen. Le responsable de
l'audit interne doit prparer un plan dactions crit pour rpondre aux commentaires
importants et aux recommandations contenus dans le rapport. Il appartient galement
au responsable de l'audit interne dassurer un suivi appropri de la mise en place des
actions correctrices.
2. Lvaluation du degr de conformit aux Normes constitue un point cl des valua-

tions externes. Lquipe qui en est charge doit connatre les Normes pour tre en
mesure de vrifier leur application par le service daudit interne et pour pouvoir for-
muler une opinion cet gard. Toutefois, comme indiqu dans la Modalit Pratique
dApplication n 1310-1, ces critres ne sont pas les seuls prendre en compte pour
valuer les performances dudit service.
LIFACI recommande de se reporter aux modalits dcrites dans la MPA 1312-3

Certification des directions daudit interne .
JUIN 2004
19
1330
Utilisation de la mention
Conduit conformment aux Normes
Les auditeurs internes sont encourags indiquer dans leurs rapports
que leurs activits sont conduites conformment aux Normes pour la pratique
professionnelle de l'audit interne . Toutefois, ils ne peuvent utiliser cette mention
que si les valuations du programme d'amlioration qualit dmontrent
que l'audit interne fonctionne conformment aux Normes.
MPA 1330-2
Audits effectus conformment aux Normes
La traduction franaise de la PA originale 1330-1 : Audits effectus conformment aux

Normes figure en annexe : The IIA Professional Practices Framework (Partie III :
Practice Advisories). La MPA 1330-2 a t labore par lIFACI afin de rpondre la
dmarche spcifique mise en uvre en lieu et place de lvaluation externe : la certifi-
cation des directions daudit interne.
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes avant
toute utilisation de lexpression effectus conformment aux Normes Internationales
pour la Pratique Professionnelle de lAudit Interne . La prsente MPA na pas pour
but de procder un expos exhaustif. Elle a seulement pour objet de complter les
Normes.
1. Considrations dordre gnral Les valuations internes du service daudit interne

ont pour objet, notamment, de formuler une opinion sur le respect des Normes
Internationales pour la Pratique Professionnelle de cette activit et du Code de don-
tologie. Elles incluent, si ncessaire, des recommandations. Ces valuations peuvent
prsenter un intrt considrable pour le responsable de l'audit interne et pour les
autres membres de lquipe. Seules les personnes qualifies peuvent procder ces
valuations.
2. La certification recommande et dlivre par lIFACI (cf MPA 1312-3) sappuie sur le
Rfrentiel Professionnel de lAudit Interne qui trouve sa lgitimit dans les Normes
JUIN 2004
20
de laudit interne. De ce fait, la certification permet dapprcier la conformit de la

direction daudit interne aux Normes, en matire de prestations dlivres, de moyens
employs et de mesure de pilotage et de contrle. Cette certification doit tre
suivie daudits de surveillance annuels et renouvele tous les trois ans.
3. Utilisation de la mention de conformit aux Normes On peut utiliser lexpression

conduit conformment aux Normes , conforme aux Normes , ou respect des
Normes si la direction de laudit interne a men une dmarche concluante de cer-
tification selon le Rfrentiel Professionnel de lAudit Interne. La direction daudit
interne est mme encourage communiquer largement dans lorganisation sur
lobtention de sa certification qui lui confre une lgitimit et une crdibilit accrue
(utilisation du logo IFACI Certification sur les rapports, sur la Charte daudit inter-
ne, sur les supports de communication de la direction daudit interne,). Si la direc-
tion daudit interne ne suit pas une dmarche de certification, se reporter la MPA
1330-1 insre dans lannexe du classeur : The IIA Professional Practices Framework
(partie III : Practice Advisories).
4. Avant toute utilisation des formules ci-dessus par laudit interne, tout cas de non-
conformit mis en vidence par une valuation interne de la qualit, et de nature
altrer la capacit de ce service sacquitter de ses responsabilits, doit tre
rsolu de faon adquate. Il en est de mme pour la certification qui ne peut tre
dlivre que si le service daudit interne apporte la preuve de la mise en uvre
dactions correctives dans les trois mois qui suivent la fin de la mission de certi-
fication. Les cas de non-respect des Normes qui ont une incidence sur le champ
dintervention ou le fonctionnement de laudit interne doivent tre communiqus
la direction gnrale et au Conseil.
JUIN 2004
21
MPA SRIE 2000
Gestion de laudit interne
2000 GESTION DE LAUDIT INTERNE
LE RESPONSABLE DE L'AUDIT INTERNE DOIT GRER

CETTE ACTIVIT DE FAON GARANTIR QUELLE APPORTE
UNE VALEUR AJOUTE L'ORGANISATION
MPA 2000-1
Gestion de lAudit Interne

quils grent laudit interne. La prsente MPA na pas pour but de procder un expos
exhaustif des points examiner. Elle a seulement pour objet de recommander la prise
en compte dun ensemble dlments.
1. Le responsable de l'audit interne a le devoir de grer laudit interne de faon appro-

prie, afin que :
1) le travail daudit rponde aux objectifs gnraux et responsabilits dcrits dans la
Charte, approuvs par le Conseil et, le cas chant, par la direction gnrale ;
Cette nouvelle formulation qui laisse entendre que le Conseil peut approuver
seul les objectifs gnraux et les responsabilits de laudit Interne, na pas notre
adhsion. Nous proposons lancienne formulation qui tait rdige ainsi : Le
responsable de laudit interne a le devoir de grer laudit interne de faon appro-
prie, afin que le travail daudit rponde aux objectifs gnraux et de responsa-
bilits dcrits dans la Charte, approuvs par la direction gnrale et accepts
par le Conseil . Cette formulation correspond mieux globalement la culture
de nos organisations.
2) les ressources de laudit interne soient utilises de faon efficace et efficiente ;

3) le travail daudit soit conduit conformment aux Normes Internationales pour la
Pratique Professionnelle de lAudit Interne (les Normes ).
JUIN 2004 3
La gestion efficace et efficiente des ressources de laudit interne implique que le

responsable de laudit interne se sente investi dun rle majeur dans le recrute-
ment et la formation de son quipe. Il lui appartient en consquence de
convaincre la direction gnrale et la direction des ressources humaines de la
ncessit de professionnaliser cette activit et donc de dvelopper cette fin une
vigoureuse action de communication. Pour ce faire, il doit prendre en compte
tous les paramtres entrant dans cette gestion (nombre, qualit,). En cas de
dsaccord avec la direction des ressources humaines, il est important que laudit
interne puisse se tourner vers le comit daudit qui il appartient darbitrer en
dernier recours. Cette facult doit tre inscrite dans la Charte de laudit interne.
JUIN 2004
4
SRIE 2000 - GESTION DE LAUDIT INTERNE
2010
Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les risques
afin de dfinir les priorits cohrentes avec les objectifs de lorganisation.
MPA 2010-1
Planification
quils tablissent la planification. La prsente MPA na pas pour but de procder un
1. La planification de laudit interne doit tre cohrente avec la charte daudit et les buts
de lorganisation.
Le processus de planification comporte la dfinition :
1) dobjectifs ;
2) dun programme de missions ;
3) de prvisions deffectifs et de budgets financiers ;
4) de rapports dactivit.
2. Les objectifs de laudit interne doivent pouvoir tre atteints dans le cadre des plans
oprationnels et des budgets fixs et, dans la mesure du possible, doivent tre mesu-
rables.
Ils doivent tre complts par des critres de mesure et un calendrier de ralisation.
Les objectifs et les critres de mesure de lefficacit de laudit interne sont vo-
qus dans cette MPA traitant du processus de planification. En effet, ds la pla-
nification se profile lobligation de rsultats pour laudit interne, avec la fixa-
tion dobjectifs mesurables et ralisables ( doivent pouvoir tre atteints ) et la
mesure effective de ces objectifs in fine. Les objectifs mesurables sentendent
dsormais en terme damlioration de la matrise des risques.
OCTOBRE 2002
5
3. Le programme de missions doit prciser :

a) les activits auditer,
b) la date des missions,
c) une estimation du temps ncessaire tenant compte de ltendue de la mission
prvue ainsi que de la nature et de ltendue des travaux daudit raliss par
dautres intervenants.
4. Les points prendre en considration pour ltablissement des ordres de priorit sont :
a) la date et les rsultats de la prcdente mission ;
b) une valuation jour des risques et de lefficacit des dispositifs de management
des risques et de contrle ;
c) les demandes manant de la direction gnrale, du comit d'audit et dautres organes
de direction ;
d) les problmatiques actuelles relatives au gouvernement dentreprise ;
e) les changements importants survenus dans lactivit, les tches oprationnelles,
les programmes, les systmes et les contrles ;
f) les opportunits de raliser des bnfices dexploitation ;
g) les modifications intervenues dans lquipe daudit interne et ses aptitudes. Le
planning des travaux doit tre suffisamment flexible pour faire face des demandes
de missions non prvues.
Cette MPA assoit le positionnement de laudit interne dans le processus de

management des risques, lvaluation des risques et lefficacit du processus de
management des risques apparaissant clairement comme lun des objectifs prio-
ritaires pour ltablissement de la planification. Il convient de discuter et de
fixer de manire consensuelle les critres de mesure de cet objectif avec les pro-
pritaires des risques et les risk managers.
Concernant le point (d), nous vous recommandons de vous reporter la MPA
2130-1 intitule Le rle de laudit interne et de lauditeur interne en terme de
culture thique qui traite de la contribution de laudit interne au processus de
gouvernement dentreprise.
OCTOBRE 2002
6
MPA 2010-2
La prise en compte des risques pour llaboration du plan daudit

La planification de laudit interne doit reflter la stratgie adopte par lorganisation
en matire de risques. Il convient dadopter une approche coordonne afin dexploiter
les synergies qui existent entre le processus de management des risques de lorgani-
sation et son dispositif daudit interne. Il peut savrer ncessaire de prendre en
compte dautres lments que ceux contenus dans la prsente MPA.
1. Toute organisation est confronte un certain nombre dincertitudes et de risques qui

peuvent laffecter de faon ngative ou positive. Les risques peuvent tre grs de
diffrentes manires : ils peuvent tre accepts, vits, transfrs ou matriss. Les
contrles internes constituent une mthode couramment utilise pour rduire lim-
pact ngatif potentiel des risques et incertitudes.
2. La planification de laudit interne doit tre tablie sur la base dune valuation des
risques pouvant affecter lorganisation. En fin de compte, le principal but de laudit
est de fournir au management des informations pour attnuer les consquences nga-
tives que ces risques font courir la ralisation des objectifs de lorganisation, ainsi
quune valuation de lefficacit du systme de gestion des risques mis en place par
le management. Le degr ou la matrialit des risques peuvent tre attnus par la
mise en place de contrles.
Pour mener bien cette mission, il est important que laudit interne ait une
bonne comprhension du processus de management des risques. Pour cela, il doit
bien apprhender les rles respectifs de laudit interne, des risk managers, du
comit daudit et du comit des risques sils existent. Sil apparat que ceux-ci
sont insuffisamment prcis ou non coordonns, laudit interne doit en informer
la direction gnrale et lui faire part de ses recommandations en vue damliorer
la gestion des risques de lorganisation. Nous renvoyons aux MPA 2100-3 et
2100-4 qui traitent prcisment du rle de lauditeur interne dans le processus de
management de risque et en labsence dun tel processus.
3. La dmarche daudit peut intgrer certaines composantes du plan stratgique de lor-

ganisation, de faon tenir compte de ses objectifs globaux. Par ailleurs, selon toute
vraisemblance, les plans stratgiques refltent lattitude de lorganisation face aux
risques et le degr de difficult que comporte la ralisation des objectifs fixs. Laudit
est gnralement affect par les rsultats du dispositif de management des risques.
En principe, le plan stratgique de lorganisation doit tenir compte de lenvironne-
ment dans lequel elle opre. Les facteurs lis cet environnement influeront vrai-
semblablement sur la dmarche daudit et lvaluation des risques.
JUIN 2004
7
4. La dmarche et la planification daudit doivent tre actualises afin dintgrer les

changements dorientation, dobjectifs et de priorit dcids par la direction gnrale.
Il est conseill dexaminer lapproche daudit, au minimum une fois par an, afin de
ladapter aux stratgies et aux orientations les plus rcentes de lorganisation. Il peut
savrer ncessaire, dans certains cas, de procder une mise jour rgulire (tri-
mestrielle, par exemple) des plans daudit en fonction de lvolution des orientations
dfinies par la direction.
5. Le plan des missions daudit doit tre tabli, entre autres, sur la base dune valua-
tion des principaux risques. Il convient de dfinir des priorits de faon affecter les
ressources en fonction du caractre significatif des risques. Le responsable de l'audit
interne a, sa disposition, divers modles de risques pour laider dfinir les zones
daudit prioritaires. La plupart de ces modles dterminent lordre de priorit des mis-
sions en fonction de facteurs de risque tels que limpact financier, la liquidit des
actifs, la comptence du management, la qualit des contrles internes, le niveau de
changement ou de stabilit, la date de la dernire mission daudit, la complexit, les
relations avec le personnel et ladministration, etc. Les mthodes et les techniques
utilises dans le cadre des missions daudit, pour effectuer des tests et valider lex-
position aux risques, doivent tenir compte de la matrialit des risques et de leur pro-
babilit doccurrence.
Parmi les divers modles de risques existants, citons par exemple :

le COSO report (tats-Unis, traduit en franais par lIFACI et
PricewaterhouseCoopers et disponible auprs de lIFACI sous le nom La
pratique du contrle interne : le COSO report ), qui sera suivi prochainement
dune tude, actuellement en cours " Enterprise Risk Management Framework ;
le CoCo Report (Canada, disponible auprs de lInstitut Canadien des
Comptables Agrs www.cica.ca) ;
le Turnbull Report (Angleterre, disponible auprs de The Institute of
Chartered Accountants in England and Wales www.icaew.co.uk/internal
control sous le nom de Internal control Guidance for Directors on the
Combined Code ) ;
les modles prsents dans le cahier de la recherche Management des
risques , publi par lIFACI ;
les modles proposs dans les sminaires de lIFACI sur lvaluation et la
matrise des risques et sur la cartographie des risques.
Bien entendu, il appartient chaque service daudit interne de les analyser et de
se les approprier.
6. Les notes et les rapports adresss au management doivent comporter des conclusions
sur le management des risques et des recommandations visant rduire les risques.
Pour permettre au management de bien apprhender le degr de risque, il est essen-
tiel que les rapports daudit mentionnent limportance critique de lexposition aux
risques et son incidence sur la ralisation des objectifs.
JUIN 2004
8
2020
Communication et approbation
Le responsable de l'audit interne doit communiquer la direction gnrale
et au Conseil son programme et ses besoins, pour examen et approbation,
ainsi que tout changement important susceptible dintervenir en cours dexercice.
Le responsable de l'audit interne doit galement signaler l'impact
de toute limitation de ses ressources.
MPA 2020-1
Communication et approbation
quils communiquent et recherchent lapprobation du programme et des besoins de
laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif
des points examiner. Elle a seulement pour objet de recommander la prise en compte
1. Le responsable de l'audit interne doit soumettre, annuellement, la direction gn-

rale pour approbation et au Conseil pour information, les programmes de travail de
laudit interne, les prvisions deffectifs et le budget financier. Il doit galement
signaler et faire approuver tout changement ultrieur significatif. Lobjectif des pro-
grammes de travail, des prvisions deffectifs et du budget est dinformer la direction
gnrale et le Conseil de ltendue des missions daudit et, le cas chant, des limites
qui y sont apportes.
2. Les programmes de travail, les prvisions deffectifs et le budget financier approuvs,

ainsi que tous les changements importants survenus en cours dexercice, doivent
contenir suffisamment de renseignements pour permettre au Conseil de dterminer si
les objectifs et les programmes de laudit interne correspondent ceux de lorganisa-
tion et du Conseil communiqus par crit.
OCTOBRE 2002
9
2030
Gestion des ressources

Le responsable de l'audit interne doit veiller ce que les ressources affectes
cette activit soient adquates, suffisantes et mises en uvre
de manire efficace pour raliser le programme approuv.
MPA 2030-1
Gestion des Ressources
quils valuent les ressources de laudit interne. La prsente MPA na pas pour but de
1. Les prvisions deffectifs et le budget incluant le nombre dauditeurs, les connais-

sances, le savoir-faire et les autres comptences ncessaires pour effectuer le travail,
doivent tre dtermins en fonction des programmes de travail, des activits admi-
nistratives, de la formation gnrale et professionnelle et des efforts de recherche et
de dveloppement engags.
Il convient de rappeler que le budget dun service daudit interne, ralis en

collaboration avec la direction des ressources humaines et la direction du
contrle de gestion, se compose de trois lments :
un budget deffectifs, avec un plan de recrutement (pluriannuel) et une prvi-
sion de mobilits externes ;
un budget financier, avec des crdits dtudes, dhonoraires, de sous-traitance,
de moyens coordonns avec les auditeurs externes, des frais de dplacement ;
un budget logistique (locaux, vhicules,).
Ce budget doit permettre doptimiser la structure et lorganisation du service
daudit interne en fonction de la couverture daudit et des contraintes financires.
2. Le responsable de l'audit interne doit tablir un programme de recrutement et de dve-

loppement des ressources humaines de laudit interne. Ce programme doit prvoir :
des descriptions de fonction, chaque niveau de responsabilit ;
JUIN 2004
10
la slection de collaborateurs qualifis et comptents tant dans les domaines audi-

ts quen matire dapplication des mthodes daudit interne ;
une formation initiale et un plan de formation permanent pour chacun des audi-
teurs internes ;
la dfinition dobjectifs annuels de performance lintention des auditeurs internes ;
lvaluation des performances de chaque auditeur interne, au moins une fois par an ;
des conseils aux auditeurs internes sur leurs performances personnelles et leur
dveloppement professionnel ;
le renouvellement de lquipe daudit interne.
La gestion du processus de recrutement est fonction du degr dindpendance du

plan ressources humaines de laudit interne par rapport celui de lorganisation
dans son ensemble. Un degr dindpendance fort permet de slectionner les
collaborateurs les mieux adapts et de tenir compte dexigences de lorganisa-
tion telles que les redploiements de comptences, les priorits en interne, le plan
social, la grille de rmunrations,
3. Le responsable de laudit interne doit envisager de recourir des ressources partages,

dautres consultants ou aux collaborateurs dautres services, qui apporteront des
comptences supplmentaires ou spcialises en cas de besoin.
MPA 2030-3
Les exigences franaises en matire dindpendance des commissaires aux comptes
Nature de cette Modalit Pratique d'Application :

Cette MPA ne vise pas seulement lindpendance des commissaires aux comptes
lorsquils ralisent des prestations daudit interne mais de manire gnrale toutes les
exigences et rgles concernant leur indpendance.
Le respect des Modalits Pratiques d'Application est facultatif.
La LSF (Loi de Scurit Financire vote le 1er aot 2003) instaure de nouvelles
exigences en matire dindpendance des auditeurs externes. Cette Loi sapplique
toutes les socits anonymes quil sagisse de socits cotes ou non cotes. La LSF
ne sapplique pas, par contre, aux socits par actions simplifies (SAS).
1. Cration du Haut Conseil du Commissariat aux Comptes
Selon larticle 100 de la LSF (art. L. 821-1 du Code de Commerce), il est institu
JUIN 2004
11
auprs du Garde des Sceaux un Haut Conseil du Commissariat aux Comptes (H3C)
ayant pour missions :
dassurer la surveillance de la profession avec le concours de la Compagnie
Nationale des Commissaires aux Comptes (CNCC) ;
de veiller au respect de la dontologie et de lindpendance des commissaires aux
comptes.
Pour ce faire, le H3C est en particulier charg :

didentifier et de promouvoir les bonnes pratiques professionnelles ;
dmettre un avis sur les normes dexercice professionnel labores par la CNCC
avant leur homologation par arrt du garde des sceaux, ministre de la justice ;
dorganiser des programmes de contrle priodique ;
dapprcier la sparation entre les missions de contrle lgal des comptes et les
missions de conseil.
Le H3C comprend, nomms par dcret pour six ans renouvelables :

trois magistrats ;
le prsident de lAMF ou son reprsentant ;
un reprsentant du Ministre charg de lconomie ;
un professeur des universits spcialis en matire juridique, conomique ou finan-
cire ;
trois personnes qualifies dans les matires conomiques et financires ;
trois commissaires aux comptes ;
un commissaire du gouvernement dsign par le Garde des Sceaux (il sige avec
voix consultative).
2. Lindpendance des commissaires aux comptes et la prvention des conflits dintrts

Le Code de Dontologie des commissaires aux comptes pose lindpendance comme
un principe fondamental de la profession et la dfinit comme se manifestant non
seulement par une attitude desprit qui sexprime dans lintgrit, lobjectivit, la
comptence, mais aussi par le fait dviter toute situation qui par son apparence pour-
rait conduire les tiers la remettre en cause . La LSF (art. 104 compltant la
section 2 du chapitre II du titre II du livre VIII du Code de Commerce par lart. L 822-
16) prvoit quun dcret en Conseil dtat approuve un Code de Dontologie de la pro-
fession. Celui-ci va donc voluer et devrait tre dfinitif en juin 2004. La prsente
MPA fera alors lobjet dune actualisation.
Larticle L. 822-10 du Code de commerce fait tat de lindpendance des commis-

saires aux comptes Les fonctions de commissaire aux comptes sont incompatibles :
JUIN 2004
12
avec toute activit ou tout acte de nature porter atteinte son indpendance ;
avec tout emploi salari ; toutefois, un commissaire aux comptes peut dispenser un
enseignement se rattachant lexercice de sa profession ou occuper un emploi
rmunr chez un commissaire aux comptes ou chez un expert-comptable ;
avec toute activit commerciale, quelle soit exerce directement ou par personne
interpose .
Larticle 104 de la LSF complte la section 2 du chapitre II du titre II du livre VIII du

Code de Commerce par lArt. L 822-11. - 1. Le commissaire aux comptes ne peut
prendre, recevoir ou conserver, directement ou indirectement, un intrt auprs de la
personne dont il est charg de certifier les comptes, ou auprs dune personne qui la
contrle ou qui est contrle par elle ( ) . Le second alina prvoit que le Code de
Dontologie dfinit les liens personnels, financiers et professionnels, concomitants ou
antrieurs la mission du commissaire aux comptes, incompatibles avec lexercice de
celle-ci. Le Code de Dontologie prcise galement les restrictions apporter la
dtention dintrts financiers par les salaris et collaborateurs du commissaire aux
comptes dans les socits dont les comptes sont certifis par lui.
Art. L 822-11. II. Il est interdit au commissaire aux comptes de fournir la per-
sonne qui la charg de certifier ses comptes, ou aux personnes qui la contrlent ou
qui sont contrles par celle-ci au sens des I et II de larticle L. 223-3, tout conseil
ou toute autre prestation de services nentrant pas dans les diligences directement
lies la mission de commissaire aux comptes, telles quelles sont dfinies par les
normes dexercice professionnel (). Le Code de Dontologie des commissaires aux
comptes prcise que nentrent pas notamment dans la mission du commissaire aux
comptes, ds lors quils sont sans lien avec la vrification des comptes :
les conseils dans des domaines tels que le marketing, la communication ou linfor-
mation,
les conseils lis lactivit de production de la socit (exemple : mise au point de
logiciels),
le conseil en organisation,
le conseil en gestion,
le conseil juridique et fiscal.
Larticle L. 822-11 poursuit Lorsqu'un commissaire aux comptes est affili un

rseau national ou international, dont les membres ont un intrt conomique
commun et qui n'a pas pour activit exclusive le contrle lgal des comptes, il ne peut
certifier les comptes d'une personne qui, en vertu d'un contrat conclu avec ce rseau
ou un membre de ce rseau, bnficie d'une prestation de services, qui n'est pas
directement lie la mission du commissaire aux comptes selon l'apprciation faite
JUIN 2004
13
par le Haut Conseil du commissariat aux comptes en application du troisime alina

de l'article L. 821-1.
La LSF introduit dautres exigences en matire dindpendance des commissaires aux

comptes au vu des lments suivants :
les investissements raliss par les commissaires aux comptes ou par les membres
de leur famille dans les organisations audites ;
les contrats de travail conclus entre les auditeurs ou les membres de leur famille et
les organisations audites ;
ltendue des services rendus par les cabinets daudit aux organisations audites.
3. Les conditions de nomination des commissaires aux comptes :
Larticle 105 de la LSF qui vient modifier lart. L. 225-228 du Code de Commerce
stipule que Les commissaires aux comptes sont proposs la dsignation de
l'assemble gnrale par un projet de rsolution manant du conseil d'administration
ou du conseil de surveillance ou, dans les conditions dfinies par la section 3 du
prsent chapitre, des actionnaires. Lorsque la socit fait appel public l'pargne, le
conseil d'administration choisit, sans que prennent part au vote le directeur gnral
et le directeur gnral dlgu, s'ils sont administrateurs, les commissaires aux
comptes qu'il envisage de proposer .
Larticle 113 de la LSF qui modifie lart. L. 621-22 du Code montaire et financier :
I. L'Autorit des Marchs Financiers est informe des propositions de nomination
ou de renouvellement des commissaires aux comptes de personnes faisant appel
public l'pargne et peut faire toute observation qu'elle juge ncessaire sur ces pro-
positions. Ces observations sont portes la connaissance de l'assemble gnrale ou
de l'organe charg de la dsignation ainsi que du professionnel intress.
II. Elle peut demander aux commissaires aux comptes de personnes faisant appel
public l'pargne tous renseignements sur les personnes qu'ils contrlent.
4. Le rle de laudit interne :
Le responsable de laudit interne doit faciliter la communication entre le service

daudit interne, la direction et le comit daudit au sujet des rgles relatives
lindpendance des commissaires aux comptes. Il est essentiel que lensemble des
parties concernes ait une vision commune de la rglementation susmentionne
et veillent dun commun accord son application.
JUIN 2004
14
2040
Rgles et procdures
Le responsable de l'audit interne doit tablir des rgles et procdures
fournissant un cadre lactivit.
MPA 2040-1
Rgles et Procdures
quils tablissent des rgles et des procdures. La prsente MPA na pas pour but de
La forme et le contenu des rgles et procdures crites doivent tre adapts la taille et
la structure de laudit interne, ainsi qu la complexit de son travail. Des manuels
administratifs et techniques ne doivent pas ncessairement tre tablis pour toutes les
entits daudit interne. Un petit service daudit interne peut tre dirig dune manire
informelle. Son personnel peut tre dirig et contrl au jour le jour par une supervision
troite et des notes de service. Par contre, dans un service daudit interne important, il
est essentiel de disposer de rgles et procdures formalises et compltes pour guider les
auditeurs vers un respect systmatique des normes de fonctionnement de laudit interne.
Il est important davoir des protocoles ou procdures internes laudit interne

qui sinscrivent dans le cadre de conventions rgissant les rapports entre les
socits dun mme groupe : par exemple, existence dun audit groupe et de
services daudit dcentraliss dans les filiales cotes ou participation minori-
taire dans une socit filiale. Certaines procdures, telles que la validation des
programmes et le reporting, relvent parfois dune approbation par le Conseil.
Quelles que soient la taille et la structure de laudit interne, il est recommand,
au minimum, dtablir une charte graphique pour les rapports ou toute autre
forme de communication, afin quils conservent pour tout auditeur la mme
forme et quils soient identifiables immdiatement comme des produits de
laudit interne par tout collaborateur de lorganisation.
OCTOBRE 2002
15
2050
Coordination
Le responsable de l'audit interne doit partager les informations et coordonner
les activits avec les autres prestataires internes et externes de services
dassurance et de conseil, de manire assurer une couverture adquate
des travaux et viter dans toute la mesure du possible les double emplois.
MPA 2050-1
Coordination
Cette norme et la MPA qui sy rapporte sont fondamentales. Elles encouragent

ce quil y ait un dialogue et une relation de confiance entre laudit interne et le
commissaire aux comptes ; tous deux gagneront dans cette coopration davan-
tage quils ny perdront. Il convient de bien distinguer dans la locution
les prestataires internes et externes de services dassurance et de conseil les
commissaires aux comptes des autres prestataires avec lesquels laudit interne
nentretient pas la mme relation de confiance et de coopration. Lorsque les
indications de la prsente MPA ne concernent que les commissaires aux
comptes, cela est clairement prcis.
Toutefois, cette relation de coopration et dchange de travaux ne doit pas faire

oublier que des informations dlicates, destines a priori la Direction Gnrale
et/ou au Comit dAudit, figurant dans les rapports daudit sont susceptibles
dtre connues lextrieur de lorganisation. En effet, les rapports daudit interne
doivent tre communiqus aux commissaires aux comptes et la justice sils en
font la demande. Pour le secteur bancaire, le rglement du CRBF 97-02 modifi,
prcise que les rapports sur le contrle interne et la surveillance des risques sont
adresss chaque anne aux commissaires aux comptes et au secrtariat gnral
de la Commission Bancaire. Il convient donc de prsenter les faits dont ont eu
connaissance les auditeurs internes avec discernement, prudence et circonspection.

coordonner les travaux avec les autres intervenants chargs de missions dassurance
et de conseil. La prsente MPA na pas pour but de procder un expos exhaustif
des points examiner. Elle a seulement pour objet de recommander la prise en compte
JUIN 2004
16
1. Les travaux daudit interne et daudit externe doivent tre coordonns afin que toutes
les activits ou fonctions soient audites sans redondance ou double emploi. Le
champ dintervention de laudit interne implique une approche systmatique et
mthodique pour valuer et amliorer lefficacit des processus de management des
risques, de contrle et de gouvernement dentreprise. Le champ dintervention de
laudit interne est prsent dans la Norme 2100. Paralllement, lexamen ordinaire
de lauditeur externe consiste obtenir suffisamment dinformations probantes pour
donner une opinion sur la rgularit et la sincrit globales des tats financiers.
Ltendue du travail des commissaires aux comptes est dtermine par leurs normes
professionnelles, et ceux-ci sont responsables pour juger de la suffisance des proc-
dures appliques et des preuves obtenues aux fins dexprimer leur propre opinion sur
les tats financiers.
La Compagnie Nationale des Commissaires aux Comptes prconise galement

cette coordination avec laudit interne. Selon la Norme 2-502, le commissaire
aux comptes prend en considration des activits de laudit interne, ainsi que
leur incidence ventuelle sur ses propres procdures daudit .
Mme si le commissaire aux comptes conserve lentire responsabilit de
lopinion exprime sur les comptes ainsi que de la dfinition de la nature, du
calendrier et de ltendue de ses procdures daudit, certains aspects des travaux
de laudit interne peuvent lui tre utiles .
Mais, le commissaire aux comptes () prend lentire responsabilit de lopi-
nion exprime sur les comptes. Cette responsabilit ne peut en aucune faon tre
rduite par un partage des travaux et donc par lutilisation faite des travaux de
laudit interne. Ds lors, tous les jugements relatifs laudit des comptes
relvent de la responsabilit du commissaire aux comptes .
2. La surveillance des travaux de commissariat aux comptes, y compris la coordination

avec laudit interne, est gnralement du ressort du Conseil.
En France, le comit daudit peut assumer plus prcisment ce rle puisque, selon
le Rapport Bouton paru en septembre 2002 Pour un meilleur gouvernement des
entreprises cotes (rapport du groupe de travail prsid par Daniel Bouton,
constitu la demande de lAFEP et du MEDEF en vue dexaminer plusieurs
questions relatives au gouvernement dentreprise et la qualit de linformation
et de la communication financire), le comit des comptes (/daudit) devrait
entendre rgulirement le commissaire aux comptes mais galement le respon-
sable de laudit interne dont il sinforme rgulirement du programme de travail.
La coordination doit relever du responsable de l'audit interne. Celui-ci doit avoir

lappui en fait du Conseil pour coordonner efficacement les travaux daudit.
JUIN 2004
17
En France, la coordination audit interne/audit externe dans un certain nombre

de socits cotes reste encore du ressort du Directeur Financier. Il est souhai-
table que le responsable de laudit interne, dans le cadre de ses responsabilits
et si son rattachement lui en donne la possibilit, prenne en charge ce processus.
3. En coordonnant le travail des auditeurs internes avec celui des auditeurs externes, le
responsable de l'audit interne doit veiller ce quil ny ait pas duplication du travail
des auditeurs externes par le travail fourni par les auditeurs internes au regard de la
norme 2100. Dans la mesure permise par les obligations professionnelles et organi-
sationnelles en matire de certification des comptes, les auditeurs internes doivent
mener les missions de faon favoriser au maximum la coordination et lefficacit du
travail daudit.
Il est donc souhaitable que le responsable de laudit interne assiste aux runions
darbitrage du planning des commissaires aux comptes et aux runions de resti-
tution des rsultats.
4. Le responsable de l'audit interne peut accepter deffectuer des travaux pour les audi-
teurs externes lors de la certification annuelle des comptes. Les travaux effectus par
les auditeurs internes pour aider les auditeurs externes sacquitter de leur respon-
sabilit sont soumis toutes les dispositions des Normes pour la Pratique
Professionnelle de laudit interne .
5. Le responsable de l'audit interne doit rgulirement valuer la coordination entre les
auditeurs internes et externes. Ces valuations peuvent aussi inclure des apprcia-
tions sur lefficacit et lefficience des fonctions daudit interne et externe et sur leur
cot global.
6. En exerant son rle de surveillance, le Conseil peut demander au responsable de
l'audit interne dvaluer la performance des auditeurs externes. En rgle gnrale, ce
type dvaluation sinscrit dans le cadre de la coordination des travaux daudit interne
et daudit externe, qui incombe au responsable de l'audit interne, et ne doit tre tendu
dautres domaines qu la demande expresse de la direction gnrale ou du Conseil.
Lvaluation des performances des auditeurs externes doit tre suffisamment taye
pour justifier les conclusions formules. Lorsquelle a trait la coordination des tra-
vaux daudit interne et daudit externe, cette valuation doit reposer sur les critres
dcrits par la prsente MPA.
7. Lorsquelle va au-del de la simple coordination avec les auditeurs internes, lvalua-
tion des performances des auditeurs externes peut couvrir notamment les points sui-
vants :
connaissance et exprience professionnelles ;
connaissance du secteur dactivit de lorganisation ;
JUIN 2004
18
indpendance ;
expertises directement lies la mission ;
anticipation des besoins de lorganisation et ractivit ;
relative stabilit des principaux collaborateurs ;
qualit des relations de travail ;
respect des engagements contractuels ;
valeur ajoute des services rendus lorganisation.
8. Le responsable de l'audit interne doit communiquer la direction gnrale et au

Conseil les conclusions concernant la coordination entre auditeurs internes et audi-
teurs externes, accompagnes, le cas chant, de commentaires sur les performances
des auditeurs externes.
Laudit interne peut galement jouer un rle fondamental en alertant la direc-
tion gnrale et/ou le comit daudit lorsque la pression exerce sur les commis-
saires aux comptes et les rductions dhonoraires ne permettent plus dassurer
lefficacit et la qualit de leurs travaux de contrle.
9. Les auditeurs externes sont parfois tenus, en vertu de leurs normes professionnelles,
de sassurer que certaines informations sont communiques au Conseil. Le respon-
sable de l'audit interne doit consulter les auditeurs externes et prendre connaissance
de leurs observations, qui peuvent porter sur les points suivants :
facteurs susceptibles dinfluer sur lindpendance des auditeurs externes ;
faiblesses de contrle interne significatives ;
erreurs et irrgularits ;
actes illgaux ;
avis du management et estimations comptables ;
ajustements daudit significatifs ;
dsaccords avec le management ;
difficults rencontres lors de laudit.
Cependant, en France, les commissaires aux comptes sont soumis au secret pro-
fessionnel en vertu :
de larticle 104 de la LSF qui institue un nouvel article du Code de Commerce
(Art. L. 822-15) : () les commissaires aux comptes, ainsi que leurs colla-
borateurs et experts, sont astreints au secret professionnel pour les faits, actes
et renseignements dont ils ont pu avoir connaissance raison de leurs
fonctions ,
des normes professionnelles mises par la Compagnie Nationale des Commis-
saires aux Comptes (CNCC).
JUIN 2004
19
10. La coordination des travaux daudit implique des rencontres priodiques pour discuter
des sujets dintrt mutuel ;
Couvertures des zones daudit. Les plans daudit des auditeurs internes et externes
doivent tre changs afin de sassurer que la couverture des zones daudit est coor-
donne et que la duplication des travaux est minimise.
Un nombre suffisant de rencontres doit tre prvu pendant les missions daudit. Ceci
permet dassurer la coordination du travail et en particulier de dcider, compte tenu des
observations et recommandations de chacun, de modifier le programme dintervention.
Selon la Norme 2-502 de la CNCC :
Le commissaire aux comptes acquiert une connaissance suffisante des acti-
vits de laudit interne dans le cadre de la planification de ses travaux et de
la dfinition dune approche daudit efficace .
La coordination avec laudit interne est plus efficace lorsque des runions
ont lieu des intervalles rguliers.
Accs rciproque aux programmes et aux dossiers de travail. Il peut tre important
pour lauditeur interne davoir accs aux programmes et dossiers de travail des
auditeurs externes afin quil puisse sappuyer sur le travail de ces derniers, dans
lexercice de sa propre mission. Il est de la responsabilit de lauditeur interne de
respecter le caractre confidentiel des informations auxquelles il accde. De mme,
laccs aux programmes et dossiers de travail de lauditeur interne doit tre donn
aux auditeurs externes afin que ceux-ci puissent sappuyer, dans lexercice de leurs
fonctions, sur le travail des auditeurs internes.
Le secret professionnel auquel sont astreints les commissaires aux comptes,
voqu supra, et la confidentialit de certaines informations auxquelles ont
accs les auditeurs internes et quil nest pas souhaitable de communiquer aux
commissaires aux comptes constituent des limites cet accs rciproque.
change des rapports daudit et des notes de synthse adresss au management.

Les rapports finaux daudit interne, les commentaires du management et les suivis
de mission effectus par les auditeurs internes doivent tre accessibles aux audi-
teurs externes. Ces rapports aident les auditeurs externes dterminer et ajuster
ltendue de leurs travaux.
Nous renvoyons au commentaire formul en tte de la MPA sur la ncessit de
prsenter les faits avec discernement, prudence et circonspection.
La CNCC est galement favorable cet change de rapport ainsi quen atteste la
norme 2-502 : Le commissaire aux comptes doit tre inform des rapports
daudit interne et y avoir accs. () De mme, il informe laudit interne, dans les
limites et le respect des principes et rgles applicables en matire de secret pro-
fessionnel, de toute question significative pouvant avoir une incidence sur les
travaux de laudit interne.
JUIN 2004
20
Il est important pour les auditeurs internes davoir accs aux courriers adresss par
les auditeurs externes au management. Les points abords dans ces courriers aident
les auditeurs internes planifier les domaines auditer en priorit, dans le cadre de
la planification venir. Une fois la lettre de recommandation tudie par le manage-
ment et le Conseil et aprs la dcision par ceux-ci dengager des mesures correctives,
le responsable de l'audit interne doit sassurer que toute mesure approprie a t
prise et que tout suivi a t effectu.
Comprhension mutuelle des techniques, des mthodes et de la terminologie

daudit.
En premier lieu, le responsable de l'audit interne doit connatre ltendue du travail

que prvoient les auditeurs externes et doit sassurer que le travail des auditeurs
internes et externes rpond aux exigences de la Norme 2100. Cette assurance nces-
site la comprhension du principe de matrialit utilis par les auditeurs externes
dans leurs programmes de travail et la nature, ltendue des procdures quils
mettent en uvre.
Ensuite, le responsable de l'audit interne doit sassurer que les techniques, les mthodes
et la terminologie employes par les auditeurs externes sont suffisamment bien
comprises par les auditeurs internes afin de pouvoir :
(1) coordonner le travail des auditeurs internes et externes,
(2) valuer le travail des auditeurs externes pour sy appuyer,
(3) sassurer que les auditeurs internes qui travailleront avec les auditeurs externes
peuvent communiquer efficacement avec eux.
Enfin, le responsable de l'audit interne doit fournir suffisamment dinformation afin

de permettre aux auditeurs externes de comprendre les techniques, les mthodes et
la terminologie utilises par les auditeurs internes. Il facilite ainsi lutilisation par les
auditeurs externes du travail des auditeurs internes. Il peut tre plus efficace pour les
auditeurs internes et externes dutiliser des techniques, des mthodes et une termi-
nologie similaires afin de coordonner efficacement leur travail et que chacun puisse
sappuyer sur le travail de lautre.
Rciproquement, lauditeur interne doit galement pouvoir sappuyer sur les

travaux des auditeurs externes.
Voici les recommandations du Comit de Ble dans son document publi en aot
2001 sur Laudit interne dans les banques et les relations des autorits de tutelle
avec les auditeurs :
Relations entre les auditeurs internes et les auditeurs externes
Principe n 16
JUIN 2004
21
Les autorits de tutelle doivent encourager les contacts entre les auditeurs
internes et externes de faon rendre leur collaboration aussi relle et efficace
que possible.
64. Les auditeurs externes ont une influence notable sur la qualit des contrles
internes, en raison de leurs activits d'audit et notamment, de leurs entre-
tiens avec la direction gnrale et le Conseil d'Administration ou le Comit
d'Audit, sil existe, ainsi que par leurs recommandations pour l'amliora-
tion du contrle interne.
65. Il est en gnral admis que l'audit interne est utile pour dterminer la nature,
le calendrier et l'tendue des procdures d'audit externe. Cependant, laudi-
teur externe (le Commissaire aux comptes en France) est seul responsable de
son opinion sur les tats financiers. Lauditeur externe doit tre avis des
travaux daudit interne, avoir accs aux rapports pertinents et tre tenu
inform de tout problme significatif qui a retenu l'attention de l'auditeur
interne et qui pourrait avoir une incidence sur son travail. De mme, laudi-
teur externe doit informer l'auditeur interne de tout problme important qui
pourrait le concerner.
66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs
internes ne fait pas double emploi avec celui des auditeurs externes. La coor-
dination entre les services d'audit ncessite des rencontres priodiques pour
s'entretenir de questions d'intrt commun, procder l'change des
rapports d'audit et des notes de la direction et convenir de techniques,
mthodes et terminologies communes.
Coopration entre les autorits de tutelle, les auditeurs externes et les auditeurs
internes.
Principe n 18
La coopration entre autorit de tutelle, auditeur externe et auditeur interne a
pour objectif de rendre les travaux de toutes les parties concernes plus ration-
nels et efficaces afin d'optimiser le contrle. La coopration peut se matrialiser
par des runions priodiques.
76. L'objectif de la coopration est de rendre la contribution de tous les interve-
nants concerns plus efficiente et efficace afin d'optimiser le contrle de
l'autorit de tutelle, mme si chaque intervenant assume en priorit ses pro-
pres responsabilits.
77. Dans certains pays, cette coopration se matrialise par des rencontres
priodiques. Il se peut que l'autorit de tutelle juge la prsence de la
Direction Gnrale opportune lors de ces rencontres. Au cours de ces runions,
chacun apporte des informations sur des domaines d'intrt commun et une
attention particulire est porte aux domaines qui seront contrls et sur le
calendrier de travail. Les trois parties en prsence voquent aussi la mise en
uvre par l'organisation des recommandations des auditeurs internes et
externes.
JUIN 2004
22
78. La coopration prsuppose une relation de confiance entre la banque,

lauditeur externe et l'autorit de tutelle. Sans confiance, la coopration
n'est pas possible. En consquence, l'autorit de tutelle attend de la
Direction Gnrale de la banque une information sur les dcisions, les faits
ou les dveloppements qui pourraient avoir une influence significative sur la
situation de la banque.
MPA 2050-2
Acquisition de services daudit externe
La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory 2050-2

en anglais.
Une MPA spcifique au contexte franais est en cours d'laboration en collaboration avec
la Commission des Oprations de Bourse (COB) et la Compagnie Nationale des
Commissaires aux Comptes (CNCC).
Elle vous sera adresse ds que sa rdaction sera acheve.
MPA 2050-3
Acquisition de services proposs par les cabinets daudit externe
Interprtation de la norme n 2050 extraite des Normes pour la Pratique Professionnelle de

laudit interne
Cette MPA a t crite par lIFACI. Elle correspond au contexte franais et est le pendant de
la Practice Advisory 2050-2, labore par lIIA et plus particulirement applicable aux tats-
Unis. La MPA 2050-3 en reprend toutefois les orientations qui sont valables galement en
France.
Il est conseill aux responsables de laudit interne de tenir compte des suggestions
suivantes en cas dacquisition de services des cabinets daudit externe (ces
services concernent la fois les missions de certification des comptes missions
lgales que les missions de type contractuel. Lorsque les indications infra ne
sappliquent quaux missions de certification de comptes par les commissaires aux
comptes, il lest clairement prcis. La prsente recommandation na pas pour but de
procder un expos exhaustif des points examiner dans les divers cas susceptibles
de se prsenter. Elle rappelle un certain nombre de repres lgislatifs ou non quil
convient de suivre, notamment en matire de slection des commissaires aux
comptes et lorsque lorganisation fait appel des cabinets daudit externe pour rali-
ser dautres travaux que ceux lis la mission lgale de certification des comptes.
JUIN 2004
23
Voir la MPA 2030-3 intitule Les exigences franaises en matire dindpendance

des commissaires aux comptes et la MPA 2050-1 intitule Coordination (des
prestations daudit interne et externe).
1. La participation de lauditeur interne au processus de slection et dvaluation des

commissaires aux comptes de lorganisation ou la dcision concernant le renouvel-
lement de leur mandat, peut revtir des formes diverses : participation nulle, rle de
conseil auprs du management ou du comit daudit, assistance ou participation au
processus, gestion ou audit du processus. Selon les Normes de lIIA, les auditeurs
internes doivent partager les informations et coordonner les activits avec les
autres prestataires internes et externes de services dassurance et de conseil . Leur
participation au processus de slection ou de renouvellement des commissaires aux
comptes et la dfinition de ltendue de leurs travaux, est donc recommande.
En France, le responsable de laudit interne peut mettre un avis sur la nomina-
tion des commissaires aux comptes, propose par le Conseil, dans le cadre des
runions du comit daudit.
2. Lapprobation dune procdure par le Conseil ou le comit daudit peut faciliter la

mise en uvre dun processus de consultation priodique des prestataires daudit
externe dans le cadre des oprations courantes, de telle sorte que les prestataires en
place ne peroivent pas ces consultations comme un signe de mcontentement de
lorganisation. Il appartient aux auditeurs internes, en labsence de procdure spci-
fique, de dterminer si ces services relvent dautres procdures dachat de services
en vigueur dans lorganisation. Le cas chant, lauditeur interne doit faciliter la mise
en place de procdures appropries.
3. Les procdures de slection ou de renouvellement des commissaires aux comptes doi-
vent respecter pour les socits qui y sont soumises la Loi de Scurit Financire
(LSF) du 1er aot 2003 (parution au Journal Officiel du 2 aot 2003) :
Art. 105 de la LSF qui vient modifier lart. L. 225-228 du Code de Commerce Les
commissaires aux comptes sont proposs la dsignation de l'assemble gn-
rale par un projet de rsolution manant du conseil d'administration ou du
conseil de surveillance ou, dans les conditions dfinies par la section 3 du pr-
sent chapitre, des actionnaires. Lorsque la socit fait appel public l'pargne,
le conseil d'administration choisit, sans que prennent part au vote le directeur
gnral et le directeur gnral dlgu, s'ils sont administrateurs, les commis-
saires aux comptes qu'il envisage de proposer. .
Art.113 de la LSF qui modifie lart. L. 621-22 du Code montaire et financier :
I. L'Autorit des marchs financiers est informe des propositions de nomi-
nation ou de renouvellement des commissaires aux comptes de personnes fai-
sant appel public l'pargne et peut faire toute observation qu'elle juge nces-
JUIN 2004
24
saire sur ces propositions. Ces observations sont portes la connaissance de

l'assemble gnrale ou de l'organe charg de la dsignation ainsi que du profes-
sionnel intress.
Quant au Rapport Bouton de septembre 2002 Pour un meilleur gouvernement

des entreprises cotes , il faisait les recommandations suivantes Lors de
lchance de leur mandat, la slection ou le renouvellement des commissaires
aux comptes devraient tre prcds, sur dcision du Conseil, dun appel
doffres supervis par la comit des comptes (comit daudit) qui veille la
slection du mieux-disant et non du moins-disant . Le comit devrait for-
muler un avis sur le choix des commissaires et le montant des honoraires solli-
cits, et faire part de sa recommandation au Conseil dadministration.
Par ailleurs, le Rapport Bouton met des recommandations sur les relations
entretenir avec les commissaires aux comptes :
En-dehors de laudition rgulire des commissaires aux comptes y compris
hors la prsence des dirigeants, le Comit (des comptes/daudit) devrait piloter
la procdure de slection des commissaires aux comptes, formuler un avis sur le
montant des honoraires sollicits pour lexcution des missions de contrle
lgal et soumettre au Conseil dadministration le rsultat de cette slection.
Le Comit devrait se faire communiquer les honoraires verss par la socit et
son groupe au cabinet et au rseau des commissaires et sassurer que leur mon-
tant ou la part quils reprsentent dans le chiffre daffaires du cabinet et du
rseau ne sont pas de nature porter atteinte lindpendance des commissaires
aux comptes.
Dune manire gnrale, il veille au respect des rgles garantissant lindpen-
dance des commissaires aux comptes prconises dans le prsent rapport .
4. Indpendance des commissaires aux comptes et incompatibilit de fonctions

Larticle 104 de la LSF vient complter le Code de Commerce par un Art. L. 822-
11. II. Il est interdit au commissaire aux comptes de fournir la personne qui
la charg de certifier ses comptes, ou aux personnes qui la contrlent ou qui sont
contrles par celle-ci au sens des I et II de larticle L. 223-3, tout conseil ou
toute autre prestation de services nentrant pas dans les diligences directement
lies la mission de commissaire aux comptes, telles quelles sont dfinies par
les normes dexercice professionnel () . Le Code de Dontologie profession-
nelle de la Compagnie nationale des commissaires aux comptes (texte dappli-
cation de larticle 9) stipule que
Peuvent entrer dans la mission du commissaire aux comptes les avis, recom-
mandations et conseils portant sur des positions prises, proposes ou envisages
par la socit vrifie dans les domaines ci-aprs :
traduction comptable doprations de toute nature au regard de la rgularit
et la sincrit des comptes,
informations financires.
JUIN 2004
25
Font galement partie de la mission du commissaire aux comptes, car ils contri-
buent la rendre plus efficace, les conseils, avis et recommandations portant sur
llaboration des :
manuels des principes et mthodes comptables,
systmes et organisation comptables,
procdures et, de manire gnrale, toutes mesures tendant amliorer le
contrle interne.
Le commissaire aux comptes peut dans ce cadre, si on le lui demande, prciser
les rformes souhaitables ou donner son avis sur celles suggres par les conseils
de la socit ; mais il excderait sa mission sil procdait lui-mme la mise en
place des rformes ou en assumait la direction effective et par consquent la
responsabilit.
Par contre, nentrent pas notamment dans la mission du commissaire aux comptes,
ds lors quils sont sans lien avec la vrification des comptes :
les conseils dans des domaines tels que le marketing, la communication ou
linformation,
les conseils lis lactivit de production de la socit (exemple : mise au
point de logiciels),
le conseil en organisation,
le conseil en gestion,
le conseil juridique et fiscal.
Pour le rapport Bouton, et en ce qui concerne les socits cotes, la mission de
contrle lgal devrait tre exclusive de toute autre. Le cabinet slectionn
devrait renoncer pour lui-mme et le rseau auquel il appartient toute activit
de conseil (juridique, fiscal, informatique,) ralise directement ou indirecte-
ment au profit de la socit qui la choisi ou de son groupe.
Toutefois, aprs approbation du Comit des comptes, des travaux accessoires ou
directement complmentaires au contrle des comptes pourraient tre raliss,
tels que des audits dacquisition, mais lexclusion des travaux dvaluation.
Le Rapport Bouton donne des indications supplmentaires en nonant que :
- La dure du mandat, fixe 6 ans, et son caractre renouvelable, sont aussi
une garantie de lindpendance. Mais la rotation des signataires des comptes au
nom des cabinets dans les grands rseaux, comme le dcalage dans le temps de
lchance des mandats des commissaires aux comptes sont particulirement
souhaitables.
Cette exigence de mobilit est consacre par larticle 104 LSF qui vient compl-
ter le code de commerce dun article 822-14 : Il est interdit au commissaire aux
comptes, personne physique, ainsi qu'au membre signataire d'une socit de
commissaires aux comptes, de certifier durant plus de six exercices conscutifs
les comptes des personnes morales faisant appel public l'pargne . noter que
ces dispositions ne sont applicables que trois ans aprs la promulgation de la
LSF. Elles ne remettent pas en cause les mandats des commissaires aux
comptes qui seront alors en cours dans la limite de six ans compter de la pro-
mulgation de cette loi.
JUIN 2004
26
5. Le renouvellement priodique du mandat des prestataires en place, (autres que les

commissaires aux comptes), sans consultation dautres fournisseurs potentiels doit
faire lobjet dune documentation approprie.
6. Le processus de slection doit tre dcrit dans un programme mentionnant les

membres du comit de slection, les principales tches accomplir, les dates prvi-
sionnelles de chaque phase du processus, les candidats potentiels consulter, la
nature et ltendue des services requis, ainsi que les modalits de communication des
informations aux candidats potentiels. Au dbut du processus de slection, lorgani-
sation concerne peut inviter tous les candidats potentiels une runion au cours de
laquelle le management leur donne des informations sur la demande de services et
leur remet un dossier ou un rapport dcrivant les prestations requises. Cette runion
gnrale peut tre suivie de runions individuelles sur site organises pour chaque
candidat en prsence des reprsentants des dirigeants concerns. Dautres formes de
runions et/ou de transmission dinformations peuvent savrer plus pratiques ou
mieux adaptes certains cas particuliers.
7. Il peut savrer ncessaire de procder aux consultations en deux tapes, afin de faci-
liter le processus de slection et de ramener le nombre de prestataires potentiels un
nombre raisonnable de candidats. Les consultations initiales auront pour principal
objectif de recueillir des informations appropries sur les qualifications et lexp-
rience des candidats potentiels et dautres informations caractre gnral. Il
convient notamment dobtenir des informations sur lhistorique et la taille du cabinet,
ses ressources disponibles, sa culture dentreprise et son approche daudit, ses
comptences particulires, le bureau qui sera charg de la mission, lexprience
acquise dans le secteur concern, ainsi quune prsentation des principaux interve-
nants.
8. lissue du processus de slection initial, les candidats retenus pour la phase sui-
vante recevront une deuxime demande dinformations plus dtaille concernant les
services requis. Il convient dtablir une demande de services dtaille dcrivant une
une les prestations attendues et les dates cls, et dexiger des candidats quils four-
nissent des informations prcises, notamment en matire dhonoraires. Un calendrier
peut tre tabli pour la suite du processus, afin de prciser les dates de transmission
des informations supplmentaires demandes, les dates des runions au cours des-
quelles les candidats prsenteront leur offre au comit de slection et la date de la
slection dfinitive. La demande dtaille devra dissocier chacune des prestations
demandes et indiquer si les services peuvent tre attribus globalement ou tre
scinds entre plusieurs candidats.
9. Il peut savrer opportun de comparer et de rcapituler les rponses des candidats en

fonction des principaux critres, et deffectuer cette synthse sous une forme facili-
tant lvaluation des prestataires selon des modalits homognes. Les questions
JUIN 2004
27
poses doivent tre choisies de faon rationaliser le processus et centrer lva-

luation sur les critres essentiels. Lutilisation dune fiche dvaluation peut faciliter
ltablissement par les participants dune synthse pour chacun des candidats. Les
informations relatives lhistorique (relations antrieures de lorganisation avec les
divers candidats, type de services fournis prcdemment, historique des honoraires,
etc.) permettront gnralement de bien placer lopration dans son contexte ds le
dbut de lvaluation.
10. Il appartient aux auditeurs internes de dterminer les modalits de suivi des presta-
tions des commissaires aux comptes et des autres auditeurs externes. Il convient de
sassurer priodiquement du respect des contrats de services et des autres accords
conclus. Laudit interne peut participer au contrle de lindpendance des commis-
saires aux comptes. Ses rsultats doivent tre communiqus au comit daudit.
JUIN 2004
28
2060
2060
Rapports au Conseil et la direction gnrale

Le responsable de l'audit interne doit rendre compte priodiquement
la direction gnrale et au Conseil des missions, des pouvoirs et des responsabilits
de l'audit interne, ainsi que des rsultats obtenus par rapport au programme prvu.
Ces rapports doivent galement porter sur les risques importants, le contrle et sur
le gouvernement d'entreprise, ainsi que sur dautres sujets dont
le Conseil et la direction gnrale ont besoin ou ont demand l'examen.
MPA 2060-1
Rapports au Conseil et la direction gnrale
quils rapportent au Conseil et la direction gnrale. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner. Elle a seulement pour
objet de recommander la prise en compte dun ensemble dlments.
1. Le responsable de l'audit interne doit soumettre un rapport dactivit la direction

gnrale et au Conseil, annuellement et, plus frquemment, si ncessaire. Les rap-
ports dactivit doivent mentionner les constatations les plus importantes obtenues
lors des audits et les recommandations correspondantes. Ces rapports doivent gale-
ment permettre dinformer la direction gnrale et le Conseil de toute variation impor-
tante par rapport au programme de travail, aux prvisions deffectifs, et aux budgets.
Les raisons de ces variations doivent tre expliques.
2. Les constats daudits importants correspondent des dysfonctionnements qui, selon

le responsable de l'audit interne, pourraient tre nfastes lorganisation. Les cons-
tats daudit importants peuvent tre des constats dirrgularits, dactes illgaux,
derreurs, de non efficience, de gaspillage, dinefficacit, de conflits dintrt et de
faiblesses dans les contrles. Aprs avoir examin ces constats et les recommanda-
tions avec la direction gnrale, le responsable de l'audit interne doit les communi-
quer au Conseil, quils aient t ou non rsolus de faon satisfaisante.
OCTOBRE 2002
29
3. Cest au management quil revient de dcider des mesures prendre face aux cons-
tats importants signals et aux recommandations. La direction gnrale peut dcider
de prendre le risque de ne pas mettre en uvre les actions correctrices en raison de
leurs cots ou dautres considrations. Le Conseil doit tre inform des dispositions
prises par la direction gnrale concernant ces constats daudit et les recommanda-
tions.
4. Le responsable de l'audit interne doit juger sil convient dinformer le Conseil des
constats daudit significatifs et des recommandations qui lui ont dj t signals et
pour lesquels la direction gnrale et le Conseil ont dcid de ne pas prendre les
mesures correctrices proposes et, en consquence, de courir les risques en rsultant.
Cette communication peut tre juge particulirement ncessaire lorsque des chan-
gements ont eu lieu dans lorganisation, au sein du Conseil ou de la direction gn-
rale.
A ce titre, laudit interne doit avoir les moyens de se tourner vers un organe ind-
pendant : Conseil et /ou comit daudit, sil estime que la direction gnrale ne
prend pas les mesures adquates. Nous renvoyons la MPA 2600-1 qui traite de
ce point particulier.
5. En plus des sujets courants ci-dessus, les rapports daudit doivent aussi comparer :
a) les ralisations avec les objectifs et les programmes de travail de laudit interne ;
b) les dpenses avec le budget financier.
Ils doivent expliquer les raisons des carts importants et indiquer toutes les mesures
prises ou prendre.
MPA 2060-2 :
Relations avec le comit daudit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en ce
qui concerne les relations entre laudit interne et le comit daudit du Conseil (ou de
tout autre organe dlibrant). La prsente MPA na pas pour but de procder un expos
exhaustif de tous les points examiner. Elle a seulement pour objet de rsumer les prin-
cipales informations concernant des relations appropries entre le comit daudit et
laudit interne.
JUIN 2004
30
Lenqute sur la pratique de laudit interne en France en novembre 2002 a mis en

exergue une progression forte du nombre de comits daudit en France puisque la
proportion dorganisations dotes dun tel comit est passe de 20 % en 1995
40 % en 1999 et 62 % en 2002.
1. Lexpression comit daudit est utilise dans le prsent document pour dsigner
lorgane charg de superviser les fonctions daudit et de contrle de lorganisation.
Bien que ces fonctions soient souvent dlgues au comit daudit manant du
Conseil, les informations contenues dans la prsente Modalit Pratique dApplication
sappliquent galement aux autres organes de contrle investis de responsabilits et
de pouvoirs quivalents.
2. LIIA estime que les comits daudit et les auditeurs internes ont des objectifs
communs. Des relations de travail troites avec le comit daudit sont indispensables
pour que chacun puisse exercer ses responsabilits vis--vis de la direction gnrale,
du Conseil, des actionnaires et des autres tiers. La prsente Modalit Pratique
dApplication contient un rsum des positions de lInstitut concernant les diffrents
aspects et caractristiques dune relation approprie entre un comit daudit et laudit
interne. LInstitut reconnat que les responsabilits du comit daudit englobent des
activits qui sortent du champ dapplication de la prsente MPA, cette dernire
nayant nullement pour objet de procder une description exhaustive des responsa-
bilits du comit daudit.
3. Trois points sont essentiels pour permettre le bon fonctionnement des relations entre
le comit daudit et le service daudit interne, principalement par lintermdiaire du
responsable de laudit interne :
assister le comit daudit de faon sassurer que sa charte, ses activits et ses
processus sont appropris et lui permettent dassumer ses responsabilits ;
sassurer que la charte, le rle et les activits de laudit interne sont bien compris
et quils rpondent aux besoins du comit daudit et du Conseil ;
maintenir un systme de communication ouvert et efficace avec le comit daudit
et son Prsident.
Responsabilits du comit daudit

4. Le responsable de laudit interne doit assister le comit de faon sassurer que la
charte, le rle et les activits du comit sont appropris et lui permettent dexercer
ses responsabilits. Le responsable de laudit interne peut jouer un rle important
cet gard en aidant le comit revoir priodiquement ses activits et en suggrant
des amliorations. Il exerce donc auprs du comit le rle dun conseiller prcieux en
ce qui concerne les pratiques lies aux comits daudit et la rglementation. Le
responsable de laudit interne peut notamment :
JUIN 2004
31
examiner au moins une fois par an la charte du comit daudit et indiquer au comit
si la charte traite de lensemble des responsabilits qui lui incombent en vertu de
descriptions de mission ou de mandats manant du conseil dadministration ;
revoir ou tenir un ordre du jour prvisionnel des runions du comit daudit conte-
nant une liste de contrle dtaille de toutes les tches que le comit doit effec-
tuer ; cette liste permettra au comit de confirmer annuellement au Conseil quil a
bien rempli lensemble des fonctions qui lui ont t confies ;
rdiger lordre du jour des runions du comit daudit, le soumettre au prsident
pour examen, faciliter la diffusion des documents aux membres du comit daudit
et rdiger le compte-rendu de ces runions ;
encourager le comit daudit procder des revues priodiques de ses activits
et de ses pratiques en les comparant aux meilleures pratiques en vigueur ;
rencontrer priodiquement le prsident du comit afin de vrifier si les informations
et les documents fournis aux membres du comit rpondent leurs attentes ;
consulter le comit daudit afin de dterminer si des sances de formation ou des
runions dinformation seraient utiles, par exemple en vue de former les nouveaux
membres du comit aux risques et aux contrles ;
consulter le comit daudit afin de dterminer si la frquence des runions quil
tient avec lui et le temps quil consacre au comit sont suffisants.
En se basant sur les bonnes pratiques mises en uvre, le responsable de laudit

interne peut galement faire des recommandations au comit daudit sur :
La frquence de ses runions ;
Leur dure (celle-ci doit tre au minimum de deux heures afin davoir le temps
de traiter les sujets importants) ;
Le calendrier : idalement, les runions du comit daudit doivent se tenir au
moins une semaine avant celles du Conseil afin que le comit daudit dispose
du temps ncessaire pour prparer et documenter, lintention du Conseil, la
communication des sujets significatifs dont il a connaissance.
Rle du service daudit interne

5. Dans le cadre de ses relations avec le comit daudit, le responsable de laudit interne
a un rle essentiel qui est de sassurer que le comit comprend, soutient et reoit
toute lassistance requise de laudit interne. LIIA estime pour sa part quune gouver-
nance solide repose sur la synergie cre entre les quatre principales composantes
dun processus efficace de gouvernement dentreprise : Conseil, direction gnrale,
JUIN 2004
32
auditeurs internes et auditeurs externes. Cette structure se caractrise par un soutien

rciproque entre les auditeurs internes et les comits daudit. Pour apprhender
parfaitement les activits de lorganisation, le comit daudit doit imprativement
tenir compte des travaux des auditeurs internes. Un rle fondamental du responsable
de laudit interne vis--vis du comit consiste essentiellement sassurer que cet
objectif est rempli et que le comit le considre comme un conseiller fiable. cette
fin, il peut prendre les mesures suivantes :
demander au comit dexaminer et dapprouver annuellement la charte de laudit

interne ;
(un modle de charte du service daudit interne peut tre consult sur le site Web
de lIIA : http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383) et sur le site de
lIFACI : www.ifaci.com
examiner avec le comit daudit les rattachements fonctionnel et hirarchique de

laudit interne afin de sassurer que lorganigramme en place garantit aux auditeurs
internes une indpendance suffisante (Modalit Pratique dApplication 1110-2 :
Rattachement du responsable de laudit interne) ;
inclure dans la charte du comit daudit lexamen des dcisions concernant le
recrutement, la dsignation, la rmunration, lvaluation, le maintien ou le licen-
ciement du responsable de laudit interne ;
Il nous semble important de reporter, sur ce sujet, les commentaires faits

par quatre prsidents de comits daudit dans le cadre de lenqute mene en
novembre 2002 sur la pratique de laudit interne en France. Ils tracent clairement
les limites de limplication du comit daudit dans le fonctionnement de laudit
interne : la nomination des responsables daudit interne appartient la direc-
tion gnrale, le comit daudit pouvant au mieux tre consult sur les nomina-
tions ou simplement inform pour les licenciements.
Jacques Friedmann (Prsident du comit daudit de Total)

Il y a un responsable, qui est le Prsident de lentreprise, et par consquent
cest lui de choisir ses collaborateurs. Il faut certes quil y ait une indpen-
dance du responsable de laudit interne, mais il demeure un salari de lorgani-
sation. Alors, que le Comit daudit soit inform, oui, mais je ne pense pas quil
faille prvoir une approbation du comit daudit.
Je ne pense pas que ce soit le rle du comit daudit dintervenir dans le fonc-
tionnement mme de lentreprise et, par consquent, dans le choix des principaux
collaborateurs du Prsident .
JUIN 2004
33

Je trouve malsain que des problmes de nomination, de droulement de carrire
soient influencs par des opinions qui ne sont pas celles de la direction gnrale.
Je pense que cest la direction gnrale de prendre ses responsabilits.
Grard de La Martinire (Prsident du comit daudit de Schneider)

Je crois que cette dsignation doit rester le fait de la direction gnrale de len-
treprise. Mais il est certainement utile que le comit daudit ou son Prsident
soit associ lidentification de la personne qui sera la plus mme dexercer
cette fonction, de faon pouvoir tablir cette relation de confiance qui est
ncessaire pour que le comit daudit puisse sappuyer compltement sur les
prestations de services de laudit interne.
Raymond Levy (Prsident du comit daudit de Lagardre)

Le Comit daudit doit-il tre consult sur la nomination du responsable de
laudit interne ? Je nen suis pas certain, parce quil ne dispose pas du tout des
mmes lments sur la qualit des hommes que ceux dont dispose la direction
des ressources humaines de lentreprise. Il ne faut pas non plus quil se donne des
pouvoirs quil na pas rellement les moyens dexercer intelligemment. Il peut les
exercer si on les lui donne, encore faut-il quil ait un fondement pour les exercer.
Par contre, sur un licenciement je me poserais la question. Et je pense quil serait
utile de veiller ce que le comit daudit sache pourquoi un patron daudit interne
est licenci, quon lui en explique les raisons, et quil puisse vrifier lui-mme
que les raisons ne sont pas mauvaises.
Jacques Calvet (Prsident du comit daudit dAxa, de la Socit

Gnrale et des Galeries Lafayette)
Il y avait un excellent patron du Contrle Interne chez Axa, mais qui est arriv
la retraite. Eh bien, on m'a consult pour savoir si le choix qu'on a fait de son
successeur me convenait ou pas. On m'a donn un dossier, j'ai eu une conversa-
tion avec l'intress, et j'ai constat qu'il tait vraiment admirablement fait
pour ce poste. Mais j'ai t consult. Et je pense que si j'avais dit : "coutez !
Vous avez peut-tre quelqu'un de plus qualifi parmi vos collaborateurs", on en
aurait tenu compte.
inclure dans la charte du comit daudit lexamen et lapprobation des projets de

sous-traitance de toute activit daudit interne ;
aider le comit daudit vrifier que laudit interne dispose des ressources humaines
et financires suffisantes, valuer le champ et les rsultats des activits daudit
interne, et sassurer quaucune restriction de son budget ou de son champ din-
tervention ne compromet sa capacit remplir sa mission ;
JUIN 2004
34
fournir des informations sur la coordination avec les autres fonctions de contrle et
sur la supervision de ces dernires (management des risques, dontologie, scurit,
continuit de lexploitation, juridique, thique, environnement, audit externe) ;
rendre compte des problmes significatifs concernant les processus de contrle des
activits de lorganisation et des socits apparentes, notamment en signalant les
amliorations susceptibles dtre apportes ces processus, et fournir des infor-
mations sur ces diffrents points jusqu leur rsolution ;
informer la direction gnrale et le comit daudit sur ltat davancement et les

rsultats du plan annuel daudit, et sur le caractre suffisant des ressources de lau-
dit interne ;
laborer un plan annuel daudit souple selon une mthodologie approprie fonde
sur les risques, incluant tous les risques ou les problmatiques de contrle identi-
fis par le management, et le soumettre au comit daudit pour examen, approba-
tion et mise jour priodique ;
rendre compte de la mise en uvre du plan annuel daudit, tel quil a t approuv,
en mentionnant, le cas chant, toute mission ou projet spcial demand par la
direction gnrale et le comit daudit ;
prciser dans la charte de laudit interne quil doit informer le comit daudit, dans
des dlais appropris, de tout soupon de fraude concernant des membres du
management ou des employs impliqus de faon significative dans le dispositif de
contrle interne de la socit ; participer aux enqutes ralises au sein de lorga-
nisation en cas de soupons de fraude significative ; informer la direction gnrale
et le comit daudit du rsultat de ces enqutes ;
Nous renvoyons la MPA 2440-3 : La communication dinformations sen-

sibles par la voie hirarchique ou en marge de celle-ci . Nous insistons sur la
ncessit dinclure dans la charte daudit interne ce droit dalerte lgard du
comit daudit.
le comit daudit doit tre inform que des valuations externes doivent tre rali-
ses au moins tous les cinq ans afin de permettre laudit interne de dclarer que
ses activits sont conduites conformment aux Normes pour la Pratique
Professionnelle de lAudit Interne. De telles valuations apporteront au comit
daudit et la direction gnrale lassurance que laudit interne respecte les
Normes.
JUIN 2004
35
Les rsultats de lenqute sur la pratique de laudit interne en France en 2002

viennent conforter les bonnes pratiques dcrites dans la prsente MPA et
attestent de lexistence dune relation forte et continue entre laudit interne et le
comit daudit. Ainsi,
88 % des responsables daudit interne participent toutes les runions des
comits daudit, qui se tiennent en moyenne 3 4 fois par an ;
1/3 dentre eux rencontrent les prsidents des comits daudit en tte tte ;
1/4 assurent le secrtariat des runions des comits daudit.
Les principaux sujets voqus au cours de ces runions sont :
la revue du plan daudit,
lexamen des conclusions des missions,
la revue de lvaluation des risques,
le suivi des actions de progrs.
Le point de vue des prsidents de comits daudit sur ce quils attendent de
laudit interne est galement particulirement riche denseignements :
Grard de La Martinire (Prsident du comit daudit de Schneider)

Quel rle pour laudit interne dans lorganisation du gouvernement dentre-
prise ? Cest un rle important, je pense, mais probablement un peu cach. Cest
un rle un peu cach, parce qu la diffrence des autres piliers du gouvernement
dentreprise, quil sagisse du conseil dadministration, de la direction gnrale
ou des commissaires aux comptes, il napparat pas dans la lgislation comme
faisant partie des organes sociaux ou des organes de contrle de lentreprise.

Laudit interne, cest linstrument qui doit permettre tous les participants
lactivit du corporate governance davoir un regard de lintrieur sur le respect
des procdures et lvaluation des risques. Bien entendu, le conseil dadminis-
tration, les auditeurs externes, le comit daudit ont leur propre regard, mais
rien ne remplace laccs direct au terrain, aux donnes et la vrification sur
place de ce qui existe ou de ce qui nexiste pas. Donc, il me parat absolument
clair quil est tout fait impratif que le comit daudit ait un dialogue direct,
intervalles rguliers, aussi souvent quil le souhaite si ncessaire, avec le
patron de laudit interne.
Raymond Levy (Prsident du comit daudit de Lagardre)

Le comit daudit sassure que lentreprise fonctionne bien, quil ne sy produira
pas de dysfonctionnements, que le bilan, compte dexploitation, etc. sont sains
et ne manifestent pas de risques majeurs. Cest le problme des risques strat-
giques. Mais dans le dtail galement, il se soucie du bon fonctionnement de
lentreprise au niveau de ses grands services, et cest l o cette liaison avec
laudit interne est essentielle.
JUIN 2004
36
Jacques Friedmann
Le comit daudit, doit tre inform des programmes daudit, des rsultats, des
principales observations faites, des dysfonctionnements relevs et je crois quil
faut que ce soit de faon aussi rgulire que possible. Dans les entreprises o jai
participer au comit daudit, je souhaite qu chaque runion, cest--dire
4 fois par an nous ayons ce compte-rendu.
Jacques Calvet (Prsident du comit daudit de Axa, de la Socit

Gnrale et des Galeries Lafayette)
Nous avons dautre part, depuis trs longtemps, prvu que tous les rapports
daudit seraient adresss aux membres du comit daudit avec les recommanda-
tions qui taient faites et les rponses aux recommandations. Et jai demand et
obtenu tout fait volontiers de la part du management que, pour les questions
qui dpassaient les responsabilits de lorganisme contrl, qui taient des
problmes stratgiques disons et qui ne pouvaient donc tre rgls que par le
directoire, nous soyons saisis deux fois par an des suites donnes par le direc-
toire aux recommandations de laudit interne.
Jean Peyrelevade
Il me parat lgitime que le comit daudit se prononce le cas chant sur les
moyens de laudit interne, cest--dire puisse dire au Conseil dadministration :
"Faites attention, votre instrument est sous dimensionn", soit quantitative-
ment, soit qualitativement. Donc, il est tout fait clair que le patron de laudit
interne est un des interlocuteurs rguliers, permanents, mes yeux, du prsident
du comit daudit.
Communications avec le comit daudit

6. Sans remettre en cause limportance des points examins ci-dessus, lefficacit de la
relation entre le responsable de laudit interne et le comit daudit repose, pour une
large part, sur les communications tablies entre les parties. De nos jours, les comits
daudit attendent une communication de haut niveau, ouverte et sincre. Le respon-
sable de laudit interne doit tre peru comme un conseiller fiable par le comit, et
les communications jouent cet gard un rle cl. Laudit interne peut, par dfini-
tion, aider le comit daudit raliser ses objectifs par la mise en uvre dune approche
systmatique et mthodique, mais ce rsultat ne peut tre obtenu sans une
communication approprie. Le responsable de laudit interne doit envisager de
communiquer des informations au comit daudit selon les modalits suivantes :
runions rgulires prives entre le comit daudit et le responsable de laudit
interne afin dexaminer les points sensibles ;
prsentation annuelle dun rapport rsum sur les rsultats des activits de laudit
interne dans le cadre de la mission pralablement dfinie de laudit interne et de
son champ dintervention ;
JUIN 2004
37
diffusion de rapports priodiques au comit daudit et la direction gnrale, rca-

pitulant les rsultats des activits daudit ;
communication permanente au comit daudit dinformations sur les tendances
mergentes et les meilleures pratiques dans le domaine de laudit interne ;
en liaison avec les auditeurs externes, mesure de la satisfaction des besoins din-
formation du comit daudit ;
contrle de lexactitude et du caractre exhaustif des informations transmises au
comit daudit ;
contrle de la bonne coordination des travaux entre les auditeurs internes et les
auditeurs externes ; le cas chant, identification et justification des travaux faisant
double emploi.
Il incombe au comit daudit de sassurer quil existe une coordination efficace

des travaux des auditeurs internes et externes. Il doit encourager, si ncessaire,
lentretien de relations privilgies et dchanges frquents entre ces deux
acteurs. ce titre, la MPA 2050-1 : Coordination donne plusieurs recom-
mandations trs concrtes. Le responsable de laudit interne doit informer le
comit daudit des rsultats de lvaluation quil a faite de cette coordination en
mettant en vidence les convergences et divergences dapprciation de leffica-
cit du contrle interne. Cette valuation et sa communication prennent tout
leur relief dans le contexte de la Loi de Scurit Financire du 1er aot 2003. Cette
loi requiert du prsident du conseil dadministration ou du conseil de sur-
veillance (des socits anonymes, cotes ou non cotes) quil rende compte, dans
un rapport prsent lassemble gnrale, des conditions de prparation et
dorganisation des travaux du Conseil ainsi que des procdures de contrle
interne mises en place par la socit (art. 117). Le rle de laudit interne est bien
entendu majeur puisque le Prsident, afin de rpondre cette exigence, appuiera
son rapport sur les documents prpars par ses collaborateurs : directeur
comptable, directeur juridique, directeur financier et surtout le directeur daudit
interne et sur les travaux dvaluation des procdures de contrle interne mens
par laudit interne. Le rle majeur du directeur daudit interne peut mme aller
jusqu la rdaction dun projet de rapport. Ces documents prparatoires nont
pas tre mentionns dans le rapport mais ils doivent tre conservs pour tre
prsents, si ncessaire, lAMF.
En outre, la Loi exige du commissaire aux comptes quil prsente ses observa-
tions sur le rapport du prsident pour ce qui est des procdures de contrle interne
relatives llaboration et au traitement de linformation comptable et finan-
cire.
Une collaboration troite entre auditeur interne et commissaire aux comptes est
donc fondamentale pour permettre chacun de remplir ses responsabilits au
regard de la Loi de Scurit Financire.
JUIN 2004
38
MPA SRIE 2100
Nature du travail
2100 N A T U R E DU T R AVA I L
L'AUDIT INTERNE DOIT VALUER LES PROCESSUS DE MANAGEMENT

DES RISQUES, DE CONTRLE ET DE GOUVERNEMENT DENTREPRISE
ET CONTRIBUER LEUR AMLIORATION
SUR LA BASE DUNE APPROCHE SYSTMATIQUE ET MTHODIQUE
MPA 2100-1
Nature du travail
quils dterminent la nature du travail daudit interne mener. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement pour
1. La nature des travaux de laudit interne se dfinit par une approche systmatique et
mthodique dvaluation et damlioration de la pertinence et de lefficacit des pro-
cessus de management des risques, de contrle et de gouvernement dentreprise ainsi
que par le niveau de la qualit atteint dans laccomplissement des responsabilits
confies. Lvaluation de la pertinence des processus de management des risques, de
contrle et de gouvernement dentreprise a pour objectif de fournir une assurance
raisonnable que ces processus fonctionnent comme prvu et quils permettront
lorganisation datteindre ses objectifs et ses buts. Elle a galement pour objectif de
proposer des recommandations pour amliorer le fonctionnement de lorganisation, en
termes la fois defficience et defficacit. Il se peut galement que la direction gn-
rale et le Conseil donnent de grandes orientations quant au champ dintervention et
aux activits auditer.
2. Il y a pertinence des processus de management des risques, de contrle et de gou-

vernement dentreprise si le management les a conus et organiss de telle manire
quils apportent une assurance raisonnable que les objectifs et les buts fixs seront
efficacement et conomiquement atteints. Un fonctionnement efficace permet
JUIN 2004 3
datteindre avec prcision les objectifs et les buts fixs, bonne date et au moindre
cot. Un fonctionnement conomique permet datteindre les objectifs et buts avec
une utilisation minimale de ressources (cest--dire des cots moindres) en propor-
tion du risque encouru. Une assurance raisonnable est apporte ds lors que les
mesures les plus efficaces et conomiques possible sont prises ds la conception et
la mise en place des processus pour rduire les risques et limiter les carts attendus
un niveau tolrable. Ainsi, la conception commence par la dtermination des objec-
tifs et des buts. Puis il convient dassembler ou de relier les concepts, les diverses
composantes, les activits et les personnes de telle sorte quils concourent conjoin-
tement la ralisation des objectifs et des buts fixs.
3. Il y a efficacit des processus de management des risques, de contrle et de gouver-

nement dentreprise si le management dirige ces processus de telle sorte quils appor-
tent une assurance raisonnable que les objectifs et les buts de lorganisation seront
atteints. Diriger implique, en plus de la ralisation des objectifs et des activits prvue,
lautorisation des transactions et des activits, la surveillance des rsultats obtenus et
la vrification que les processus de lorganisation fonctionnent comme prvu.
4. Dune faon gnrale, le management est responsable de la prennit de lorganisa-

tion vis--vis des actionnaires, des autres parties prenantes, des instances rglemen-
taires et du public qui il doit rendre compte de ses actions, de sa gestion et des rsul-
tats de lorganisation.
Plus prcisment, lobjectif premier du processus de management est daboutir :

une information financire et oprationnelle pertinente et fiable ;
une utilisation efficace et efficiente des ressources de lorganisation ;
la protection des actifs de lorganisation ;
la conformit avec les lois, rglementations, normes dthique et de conduite des
affaires, ainsi que les contrats ;
lidentification des risques encourus et lutilisation de stratgies efficaces pour les
contrler ;
des objectifs et des buts fixs aux oprations ou projets.
5. Le management planifie, organise et dirige laccomplissement dactions suffisantes

pour fournir une assurance raisonnable que les objectifs et les buts tablis seront atteints.
Le management examine priodiquement ceux-ci et modifie ses processus pour tenir
compte des changements des conditions internes et externes. Le management tablit et
maintient une culture dentreprise et un climat thique qui favorisent le contrle.
6. Est un contrle toute mesure prise par le management pour augmenter la probabilit
que les objectifs et les buts fixs seront atteints. Les contrles peuvent tre prven-
OCTOBRE 2002
4
SRIE 2100 - NATURE DU TRAVAIL
tifs (pour prvenir la survenance de tout vnement non souhaitable), dtectifs (afin
didentifier les vnements non souhaitables qui se sont produits et de corriger leurs
effets), ou directifs (afin de provoquer et dencourager la survenance dun vnement sou-
hait). Le concept dun systme de contrle renvoie un ensemble intgr de compo-
sants et dactivits utilis par une organisation pour atteindre ses objectifs et ses buts.
7. Les auditeurs internes examinent et valuent lensemble du processus de planification,

dorganisation et de gestion pour dterminer sil existe une assurance raisonnable que
les objectifs et les buts seront atteints. En se plaant dans une perspective davenir,
les auditeurs internes doivent veiller aux changements des conditions internes ou
externes, rels ou potentiels, qui pourraient affecter la capacit du systme de contrle
fournir une telle assurance. Dans ce contexte, les auditeurs internes doivent prter
attention aux risques dune dtrioration possible de la performance.
8. Ces valuations conduites par laudit interne permettent globalement dobtenir les
informations ncessaires l'apprciation du processus de management dans son
ensemble. Tous les systmes dactivit, processus, oprations, fonctions et activits
au sein dune organisation sont soumis aux valuations de laudit interne. Un champ
exhaustif des travaux daudit interne doit permettre dobtenir une assurance raison-
nable que :
le systme de management des risques est efficace ;
le systme de contrle interne est efficace et efficient ;
le gouvernement dentreprise est efficace et rpond aux objectifs suivants : dfinir
et prserver les valeurs, fixer les objectifs, suivre les activits et les performances,
et dfinir les manires dont on rend compte.
2410
MPA 2100-2
Scurit de linformation
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de
lvaluation des activits du gouvernement dentreprise en matire de scurit de linfor-
mation. La prsente MPA na pas pour but de prsenter toutes les procdures mettre
en uvre dans le cadre dune mission daudit ou de conseil concernant la scurit de lin-
formation. Elle a seulement pour objet de dcrire les responsabilits quil est recom-
mand de confier aux auditeurs en complment de celles qui incombent au Conseil et au
management.
OCTOBRE 2002
5
1. Les auditeurs internes doivent sassurer que le management, le Conseil, ainsi que le
comit daudit ou tout autre organe de direction, sont conscients de la responsabilit du
management en matire de scurit de linformation. Cette responsabilit porte sur
toutes les informations essentielles pour lorganisation, quel que soit leur support de
conservation.
2. Le responsable de l'audit interne doit sassurer que laudit interne dispose ou a accs
des ressources appropries pour valuer la scurit de linformation et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes
et, notamment, ceux affrents aux relations tablies par lorganisation avec dautres
entits externes.
3. Les auditeurs internes doivent sassurer que le Conseil, le comit daudit ou tout autre
organe de direction ont obtenu du management lassurance que laudit interne serait
rapidement inform de toute atteinte la scurit de linformation et de toute situa-
tion susceptible de constituer une menace pour lorganisation.
4. Les auditeurs internes doivent valuer, au niveau estim ncessaire, lefficacit des
mesures prises, en vue de prvenir, dtecter et attnuer les attaques survenues par le
pass, ainsi que tout incident ou tentative d'attaque susceptible de se produire
l'avenir. Les auditeurs internes doivent confirmer que le Conseil, le comit daudit ou
tout autre organe de direction ont bien t informs des menaces ou incidents sur-
venus, des faiblesses exploites et des mesures correctives.
5. Les auditeurs internes doivent valuer priodiquement le dispositif de scurit de

linformation de lorganisation et recommander, le cas chant, des amliorations ou
la mise en place de nouveaux contrles et de nouvelles mesures de sauvegarde.
lissue de cette valuation, un rapport dassurance doit tre prsent aux membres du
Conseil, du comit daudit ou de tout autre organe de direction comptent. Ces va-
luations peuvent faire lobjet de missions distinctes et isoles ou tre intgres dans
dautres missions ralises dans le cadre du plan daudit approuv.
2420
MPA 2100-3
Le rle de laudit interne dans le processus de management des risques
La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objec-
tifs en valuant, par une approche systmatique et mthodique, ses processus de
management des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit . Le respect des Normes suppose que
OCTOBRE 2002
6
les auditeurs internes jouent un rle cl dans le processus de management des

risques dune organisation. Lobjet de la prsente MPA est daider les auditeurs inter-
nes dfinir leur rle dans le processus de management des risques dune organisa-
tion et respecter les Normes. Il peut savrer ncessaire de tenir compte dautres
lments que ceux contenus dans la prsente Modalit Pratique dApplication.
1. La gestion des risques est une responsabilit majeure du management qui doit
sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement
des processus de management des risques. Il incombe au Conseil et au comit daudit
de veiller ce que des processus de management des risques appropris, suffisants
et efficaces soient en place. Le rle des auditeurs internes consiste assister et le
management et le comit daudit, en examinant et en valuant les processus de
management des risques mis en uvre par le management, en vrifiant quils sont
suffisants et efficaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration. Le management et le Conseil sont responsables des processus
de contrle et de management des risques de leur organisation. Toutefois, les audi-
teurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation
identifier, valuer et mettre en place un dispositif de management des risques et des
contrles permettant de matriser ces risques.
2. valuer les processus de management des risques de lorganisation et rendre compte

de ces valuations font normalement partie des objectifs prioritaires de laudit.
Lvaluation du processus de management des risques est distinguer de lanalyse
des risques laquelle les auditeurs doivent procder pour tablir leur planification.
Cependant, les informations tires dun processus complet de management des
risques, et notamment lidentification des sujets de proccupation du management et
du Conseil, peuvent aider lauditeur interne planifier ses travaux daudit.
3. Le responsable de l'audit interne doit sinformer auprs du management et du Conseil

du rle attendu de laudit interne dans le processus de management des risques de
lorganisation. Ce rle sera prcis dans les chartes de laudit interne et du comit
daudit.
4. Les responsabilits et les activits de toutes les personnes qui interviennent en grou-
pe ou titre individuel dans le processus de management des risques de lorganisa-
tion doivent tre coordonnes. Ces responsabilits et ces activits doivent tre cor-
rectement formalises dans les plans stratgiques de lorganisation, les directives du
Conseil et du management, les procdures oprationnelles et autres instruments rele-
vant du gouvernement dentreprise. A titre dexemple, les activits et les responsabi-
lits documenter comprennent :
OCTOBRE 2002
7
la dfinition des orientations stratgiques, qui peut tre du ressort du Conseil ou

dun comit ;
les responsabilits lies aux risques qui peuvent tre dfinies par la direction gnrale ;
lacceptation des risques rsiduels, qui peut tre confie aux cadres dirigeants ;
les oprations continues didentification, dvaluation, dattnuation et de suivi, qui
peuvent tre dlgues aux oprationnels ;
les valuations priodiques et lapport dune assurance qui doivent tre du ressort
de laudit interne.
5. On attend des auditeurs internes quils identifient et valuent les risques significatifs
dans le cadre de leurs activits courantes.
6. Le rle de laudit interne dans le processus de management des risques dune orga-
nisation peut voluer dans le temps et revtir les formes suivantes :
aucune intervention ;
audit du processus de management des risques dans le cadre du programme daudit
interne ;
soutien actif et continu, et participation au processus de management des risques,
notamment dans le cadre de comits de surveillance, dactivits de suivi et de
lmission de rapports concernant le processus ;
gestion et coordination du processus de management des risques.
7. En dfinitive, il incombe aux cadres dirigeants et au comit daudit de dterminer le

rle de laudit interne dans le processus de management des risques. La vision du
management dans ce domaine sera vraisemblablement fonction de facteurs tels que
la culture de lorganisation, la comptence des auditeurs internes, la situation et les
usages du pays.
8. Dautres lignes directrices figurent dans les Modalits Pratiques dApplication suivantes :
Modalit Pratique dApplication n 2100-4, Le rle de laudit interne en labsence
de processus de management des risques.
Modalit Pratique dApplication n 1130.A1-2, Responsabilits exerces par lau-
dit interne au titre dautres fonctions.
Modalit Pratique dApplication n 2110-1, valuer le processus de management
des risques.
Modalit Pratique dApplication n 2010-2, La prise en compte des risques pour
llaboration du programme daudit.
OCTOBRE 2002
8
MPA 2100-4
Le rle de laudit interne en labsence de processus de management des risques
La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objec-
tifs en valuant, par une approche systmatique et mthodique, ses processus de
management des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit .
Le respect des Normes pour la Pratique Professionnelle de laudit interne suppose

que les auditeurs internes jouent un rle cl dans le processus de management des
risques dune organisation. Cependant, certaines organisations ne disposent daucun
processus prouv de gestion des risques. Le but de la prsente MPA est daider les
auditeurs internes dfinir leur rle dans une organisation dpourvue dun tel pro-
cessus. Il peut savrer ncessaire de tenir compte dautres lments que ceux contenus
dans la prsente Modalit Pratique dApplication.
1. Le management des risques est une responsabilit majeure du management qui doit
sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement
des processus de management des risques. Il incombe au Conseil et au comit daudit
de veiller ce que des processus de management des risques appropris, suffisants
et efficaces soient en place. Le rle des auditeurs internes consiste assister et le
management et le comit daudit, en examinant et en valuant les processus de
management des risques mis en uvre par le management, en vrifiant quils sont
suffisants et efficaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration. Le management et le Conseil sont responsables des processus
de contrle et de management des risques de leur organisation. Toutefois, les audi-
teurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation
identifier, valuer et mettre en place un dispositif de management des risques et
de contrle permettant de matriser ces risques.

Lvaluation des processus de management des risques mis en place par le manage-
ment est distinguer de lanalyse des risques laquelle les auditeurs doivent proc-
der pour tablir leur programme. Cependant, les informations tires dun processus
complet de management des risques, et notamment lidentification des sujets de pr-
occupation du management et du Conseil, peuvent aider lauditeur interne planifier
ses travaux daudit.
OCTOBRE 2002
9
3. Le responsable de l'audit interne doit sinformer auprs du management et du Conseil

du rle attendu de laudit interne dans le processus de management des risques de lor-
ganisation. Ce rle sera prcis dans les chartes de laudit interne et du comit daudit.
4. Lorsquune organisation na pas mis en place de processus de management des
risques, lauditeur interne doit attirer lattention du management sur ce point et for-
muler des suggestions en vue de la mise en place dun tel processus. Lauditeur interne
doit consulter le management et le Conseil propos du rle de laudit interne dans le
processus de management des risques. Les chartes de laudit interne et du comit dau-
dit doivent indiquer leur rle respectif dans ce processus.
5. Les auditeurs internes peuvent, sils y sont invits, jouer un rle proactif en partici-
pant la mise en place initiale dun processus de management des risques au sein
de lorganisation. Outre leur mission classique dassurance, ils assument alors un rle
de conseil en vue de lamlioration des processus fondamentaux. Si cette assistance
dpasse le cadre des missions dassurance et de conseil gnralement confies aux
auditeurs internes, lindpendance des auditeurs peut tre altre. Dans ce cas, ils
doivent respecter lobligation dinformation prvue par les Normes. On trouvera ga-
lement des directives complmentaires dans la Modalit Pratique dApplication
n 1130.A1-2, relative aux responsabilits exerces par laudit interne au titre
dautres fonctions.
6. Il convient de diffrencier le rle proactif de lauditeur dans la mise en place et la ges-
tion dun dispositif de management des risques, du rle de responsable des risques .
Pour viter de se voir attribuer la responsabilit des risques, les auditeurs internes doi-
vent obtenir du management la confirmation que ce dernier veille lidentification,
lattnuation et au suivi des risques et quil en assume la responsabilit.
7. En rsum, les auditeurs internes peuvent faciliter ou permettre la mise en uvre des
processus de management des risques, mais ils ne doivent pas pour autant assumer
la responsabilit du management des risques identifis.
MPA 2100-5
valuation des programmes de compliance (conformit aux rglementations)
aspects juridiques

de lvaluation des programmes de conformit aux rglementations dune organisa-
tion. La prsente MPA na pas pour but de prsenter toutes les procdures mettre
en uvre dans le cadre dune mission dassurance ou de conseil concernant le respect
de la rglementation.
OCTOBRE 2002
10
Remarque pralable Les auditeurs internes sont invits consulter un juriste sur toute ques-
tion dordre juridique, la rglementation tant susceptible de varier de faon significative
selon les pays. Les directives contenues dans la prsente Modalit Pratique dApplication
reposent principalement sur le systme juridique des Etats-Unis.
1. Lobjet des programmes de conformit est de faciliter la prvention des infractions

commises par inadvertance par le personnel, la dtection dactes illgaux et la dis-
suasion de toute infraction commise sciemment par le personnel. Ils peuvent gale-
ment permettre de justifier les rclamations adresses aux compagnies dassurance,
de dlimiter les responsabilits des administrateurs et autres personnes, dinstaurer
ou de renforcer une vritable culture dentreprise et dapprcier le caractre appro-
pri de dommages et intrts. Pour valuer les programmes de " compliance " dune
organisation, les auditeurs internes doivent examiner les points suivants, dont lobjet
est de garantir lefficacit de ces programmes.
2. Lorganisation doit tablir, lattention du personnel et autres agents, des normes et

des procdures de conformit qui permettront de rduire, de manire raisonnable, le
risque de conduite frauduleuse.
Lorganisation doit laborer un code de conduite crit, indiquant clairement quelles
activits sont interdites. Ce code doit tre rdig dans un langage comprhensible
par tous et exempt de tout jargon juridique.
Un bon code de conduite permet au personnel de se rfrer des directives en cas
dhsitation. Linsertion de check-list et dune section questions-rponses, ainsi
que la rfrence dautres sources contenant de plus amples informations, contri-
bueront rendre le code plus convivial.
Lorganisation doit tablir un organigramme permettant didentifier les administra-
teurs, la direction gnrale, le responsable de la conformit et les membres du per-
sonnel chargs de la mise en place des programmes de conformit.
Un code de conduite peut accrotre le risque de voir les collaborateurs commettre
des actes illgaux ou contraires lthique si ces derniers le jugent formaliste et
inquitable, ou au contraire rduire ce risque sils le jugent loyal et quitable.
Les socits dont le rgime dintressement et de primes favorise des comporte-
ments illgaux ou apparemment contraires lthique crent un environnement peu
propice au respect de la rglementation.
Les socits internationales doivent instaurer un programme de conformit
lchelle mondiale, et non pas seulement pour quelques pays. Ces programmes doi-
vent tenir compte des situations, des lgislations et des rglementations nationales.
3. Il convient de dsigner au sein de lorganisation un ou plusieurs collaborateurs de

haut niveau chargs de veiller au respect des normes et des procdures.
OCTOBRE 2002
11
Lexpression collaborateurs de haut niveau vise les personnes qui jouent un rle
important dans lorganisation ou dans son processus de dcision.
Les collaborateurs de haut niveau incluent les administrateurs, les cadres, les diri-
geants responsables dune branche ou dune fonction de lorganisation importante
telle que les ventes, ladministration ou les finances, ainsi que les personnes dte-
nant une importante participation dans lorganisation.
Le Directeur Gnral et les autres membres du comit excutif doivent simpliquer
de faon significative dans le programme pour assurer son efficacit.
Dans certaines organisations, le rattachement de la fonction compliance au
responsable juridique de la socit peut faire penser au personnel que le manage-
ment ne sintresse gure au programme, et que ce dernier na dimportance que
pour le service juridique et non pour lensemble de lorganisation. Dans dautres
organisations, le mme rattachement peut avoir leffet inverse.
Dans les grandes socits comportant plusieurs centres de profit, il convient de
dsigner dans chacun dentre eux un collaborateur de haut niveau responsable de
la fonction compliance .
Il ne suffit pas de crer le poste de compliance officer (responsable de la confor-
mit) et de slectionner les autres membres de lquipe. La socit doit galement
sassurer que ces collaborateurs possdent lautorit et les ressources ncessaires
lexercice de leur mission. Il faut en outre quils puissent avoir accs la direc-
tion gnrale. Le compliance officer doit tre directement rattach au P.-D.G.
4. Lorganisation doit veiller ne pas dlguer de pouvoirs discrtionnaires importants
des personnes dont elle sait, ou devrait savoir, quelles sont susceptibles de
commettre des actes illicites.
Les socits doivent vrifier les antcdents de tout candidat un poste quel que
soit son niveau et sassurer quil na commis aucun mfait, en particulier dans le
secteur dactivit de la socit.
Les formulaires de candidature devraient comporter une rubrique sur le casier judi-
ciaire. Les membres des professions rglementes devront tre questionns sur tout
antcdent disciplinaire.
Il convient de veiller ce que la socit ne commette aucune atteinte la vie prive
des employs et des candidats selon les lois applicables dans ce domaine. De nom-
breux pays ont une lgislation qui limite ltendue des informations quune socit
peut obtenir dans le cadre denqutes concernant le personnel.
5. Lorganisation doit veiller bien communiquer ses normes et ses procdures tous
ses personnel et agents (non salaris). A cet effet, elle peut, par exemple, exiger leur
participation des programmes de formation ou diffuser des documents afin dexpli-
quer ce quelle attend deux en pratique.
OCTOBRE 2002
12
Lefficacit dun programme de conformit dpendra du mode de prsentation

adopt. En rgle gnrale, la communication de type interactif est plus efficace
quun expos formel. De mme, les programmes prsents par un animateur fonc-
tionnent gnralement mieux que les programmes entirement prsents sous
forme de vido ou de jeu. Lorganisation de sessions priodiques est plus efficace
quune prsentation unique.
Les meilleurs programmes incluent une formation qui permet aux salaris dexpri-
menter de nouvelles techniques et dexploiter de nouvelles informations. Ce type de
formation, particulirement adapt pour le management, est galement efficace
pour les collaborateurs tous les niveaux.
Le code de conduite et le manuel du personnel doivent tre rdigs de faon en
faciliter la lecture et la comprhension. Dautres modes de prsentation du code et
du manuel doivent tre adopts et mis en uvre pour les collaborateurs qui nont
pas un niveau dtudes suffisant.
La conformit aux rglementations doit faire lobjet de conseils, de dclarations et
davertissements diffuss aux employs sur divers supports : bulletins, affiches,
courrier lectronique, questionnaires et prsentations.
Il convient de prsenter le programme plusieurs reprises diffrentes catgories
de personnel, en ciblant les informations prsentes sur les points qui sont impor-
tants chaque groupe. Les informations diffuses doivent tre adaptes aux exi-
gences des postes occups par les membres du groupe considr. Il faut, par exemple,
diffuser des informations sur la protection de lenvironnement aux employs de ser-
vices tels que la fabrication ou la gestion immobilire, qui ont plus de chances de
commettre ou de dtecter une infraction la lgislation ou la rglementation
applicable en la matire. En revanche, face un groupe qui nexerce pas ce type
de responsabilits, cette formation peut savrer prjudiciable et ninspirer que de
lindiffrence, ou laisser croire aux salaris que le programme est mal conu.
Il convient de dispenser aux nouveaux collaborateurs, dans le cadre du programme
dorientation qui leur est destin, une formation de base en matire de conformit
aux rglementations. Ils pourront par la suite participer aux actions entreprises dans
leur service.
Les agents de lorganisation doivent tre convis une prsentation spcialement
conue leur attention. Il est important pour une socit de communiquer ses
agents les valeurs fondamentales de lorganisation, et de les informer que leurs
actes feront lobjet dun suivi dans le cadre du programme de conformit ds lors
quils engagent la socit. Lorganisation doit tre prte rompre toute relation avec
les agents qui nadhrent pas ses principes en matire de compliance .
Les organisations doivent exiger priodiquement de leurs salaris une dclaration
crite attestant quils ont pris connaissance du code de conduite de la socit,
OCTOBRE 2002
13
quils lont compris et quils sy sont conforms. Ces informations doivent tre
communiques annuellement la direction gnrale et au Conseil.
Tous les documents relatifs lthique codes de conduite, procdures/manuels de

la DRH, etc. doivent tre mis la disposition de chaque salari. Ladoption dun
mode daccs permanent tel que la diffusion sur lintranet est vivement conseille.
6. Lorganisation doit prendre des mesures appropries afin dassurer le respect de ses
normes. A titre dexemple, ces mesures incluent lutilisation de systmes de suivi et
daudit permettant de dtecter les infractions commises par les salaris et agents,
ainsi que la mise en place et la prsentation aux salaris et agents de lorganisation,
dun systme grce auquel ils peuvent indiquer, sans crainte de reprsailles, les
infractions commises par autrui au sein de lorganisation.
Lorganisation doit consacrer au plan daudit interne des ressources appropries
tenant compte de la taille de la socit et de la difficult des missions daudit. Le
plan daudit doit tre ax sur les oprations spcifiques de chaque branche dacti-
vit de lorganisation.
Le plan daudit doit galement comporter un examen du programme de conformit
de lorganisation et de ses procdures, qui aura notamment pour objet de vrifier
que les documents crits sont efficaces, que les informations ont bien t commu-
niques aux salaris, que les manquements dtects ont t correctement traits,
que les questions de discipline ont t rsolues de manire quitable, quil ny a
eu aucune reprsailles lencontre des personnes ayant donn lalerte et que le ser-
vice compliance a bien rempli ses responsabilits. Les auditeurs doivent exa-
miner le programme de conformit, rechercher les amliorations possibles et solli-
citer lavis des salaris sur ce point.
Chaque programme doit comporter un numro durgence ou un autre systme de
communication grce auquel les salaris peuvent rvler les actes quils estiment
illicites ou contraires lthique ou au code de conduite de lorganisation. Il faut que
le personnel ait toute latitude pour rvler ces agissements sans crainte de repr-
sailles.
Lorsque la responsabilit du numro durgence est confie un avocat, le secret
professionnel de ses clients ou celui figurant dans les dossiers de travail, est mieux
prserv. Cependant, les rsultats dune tude montrent que les salaris ne font
gure confiance aux numros durgence grs par le service juridique ou par un
prestataire extrieur. Cette tude a rvl quils ont encore moins confiance dans
lmission de rapports ou le recours un mdiateur externe. Les numros durgence
grs par un reprsentant interne lorganisation et assortis dun dispositif per-
mettant dempcher les mesures de rtorsion sont celles qui leur inspirent la plus
grande confiance.
OCTOBRE 2002
14
Le recours un mdiateur interne est plus efficace si ce dernier est directement

rattach au compliance officer ou au Conseil, sil peut prserver lanonymat des
personnes qui ont donn lalerte, sil leur prodigue des conseils et sil effectue un
suivi afin de sassurer quaucune mesure de rtorsion na t prise. Par ailleurs,
dans certains pays, le mdiateur bnficie dsormais dune protection et nest pas
tenu de dvoiler les informations confidentielles qui lui ont t transmises dans le
cadre dune rvlation.
Le questionnaire sur lthique est un mode efficace de dtection des actes illicites
ou contraires lthique. Un questionnaire doit tre adress chaque salari de
lorganisation, qui doit indiquer sil a connaissance de pots-de-vin, dessous-de-table
ou autres mfaits. Pour offrir toutes les garanties de protection, le questionnaire
doit tre adress par lavocat de lorganisation, mentionner une clause stipulant la
confidentialit des informations par le secret professionnel, prciser que le salari
doit remplir, signer et retourner le questionnaire sans conserver de copie, et indi-
quer que lorganisation se rserve le droit de divulguer les informations fournies soit
aux administrations publiques, soit la justice. Il convient de noter que la confi-
dentialit des informations par le secret professionnel nest plus garantie en cas de
divulgation du questionnaire des tiers.
7. Le respect des rgles doit tre assur de faon constante par un systme appropri
de sanctions, notamment lencontre des personnes qui empchent la dtection
dune infraction. Ladoption de mesures disciplinaires lencontre des personnes
responsables dune infraction est ncessaire pour assurer le respect des rgles ; tou-
tefois, la nature des mesures appropries ne peut tre dtermine quau cas par cas.
Le programme de conformit doit tre assorti dun systme disciplinaire prvoyant
lapplication, en cas de non-respect du code de conduite de lorganisation, de sanc-
tions adaptes la faute commise telles quavertissement, perte de salaire, suspen-
sion, transfert ou licenciement. Lorsquun collaborateur a commis un acte illgal,
il peut arriver que lorganisation soit dans lobligation de le licencier conformment
au principe selon lequel lorganisation doit veiller ne pas dlguer de pouvoirs
discrtionnaires importants des personnes dont elle sait, de par sa surveillance,
ou devrait savoir, quelles sont susceptibles de commettre des actes illicites .
Les mesures disciplinaires prvues par le programme doivent tre quitables. Le
programme a peu de chances daboutir si les actes illgaux ou contraires lthique
demeurent impunis, en particulier sils sont lis aux activits de la direction gn-
rale ou dacteurs importants. A dfaut de sanction, les infractions commises par ces
personnes encourageront ce type de comportement dans le reste de lorganisation.
Il peut arriver que le licenciement ou les autres mesures disciplinaires soient sou-
mis des restrictions rsultant de la lgislation sur le droit dalerte ou dexceptions
concernant certaines catgories de salaris, des contrats de travail ou accords syn-
OCTOBRE 2002
15
dicaux, des responsabilits de lemployeur en matire de discrimination et de licen-

ciement abusif, et des lois ou jurisprudences relatives la mauvaise foi de lem-
ployeur.
8. Lorsquune faute est dtecte, lorganisation doit prendre toute mesure raisonnable
pour y rpondre de faon approprie et prvenir toute autre faute similaire, notam-
ment en modifiant le cas chant son programme de prvention et de dtection des
infractions la loi.
Lorganisation doit ragir de manire approprie toute faute dtecte dans le
cadre du programme de conformit. Parmi les ractions appropries, figurent les
mesures disciplinaires prises lencontre de ceux qui ont commis la faute.
Dans certains cas, une raction approprie implique la dnonciation de linfraction
auprs des services de ltat, la coopration aux enqutes menes par ces derniers
et lacceptation de la responsabilit de lorganisation au titre de linfraction. Il
convient de noter que ces ractions, de mme que lexistence dun programme de
conformit efficace, peuvent inciter un tribunal rduire le montant de lamende
inflige lorganisation.
Le dfaut de dtection ou de prvention dune infraction grave traduit parfois la
ncessit de procder une refonte du programme de conformit. Aprs dtection
dune infraction, le compliance officer doit, au minimum, examiner le
programme et dterminer sil faut y apporter des modifications.
Il peut savrer ncessaire, la suite dune infraction constate, de remplacer ou
de rorganiser lquipe charge de la compliance . En fait, lorganisation peut
tre amene sanctionner ou remplacer un cadre pour dfaut de dtection ou de
prvention dune faute dans les domaines dont il assure la supervision, en particu-
lier sil sagit dune infraction que ce cadre aurait d dtecter.
Traduction : employees a t traduit soit par salaris , soit par colla-

borateurs , soit par personnel ; agents a t traduit par agents . Il sa-
git alors de personnes non salaries.
MPA 2100-6
Le commerce lectronique : impact sur les contrles et sur laudit
La croissance du commerce lectronique se poursuit un rythme rapide, tant pour les

applications interentreprises que pour les oprations conclues entre entreprises et
particuliers. Pour laborer et mettre en uvre avec succs une stratgie en matire de
commerce lectronique, il est capital dinstaurer des contrles et des processus efficaces.
JUIN 2004
16
Ds lors, lvaluation du commerce lectronique pourrait bien tre une composante

essentielle du plan annuel daudit dans de nombreuses entreprises. La prsente MPA
donne une vue densemble de limpact du commerce lectronique sur les contrles et
sur laudit. Les professionnels peuvent galement consulter des documents publis par
lIIA comme Audit et contrle des systmes dinformation1 (Systems assurance and
control ou SAC) et les autres rapports sur les technologies, ainsi que les publications de
lISACA. Ces deux organismes ont labor des directives et propos des critres en vue
de lvaluation des systmes et des modles lectroniques.
1. Le commerce lectronique (e-Commerce) est gnralement dfini comme tant la

conduite doprations commerciales sur Internet . Il peut sagir soit doprations
commerciales interentreprises (Business-to-business ou B2B), soit doprations
conclues entre les entreprises et les particuliers (Business-to-consumer ou B2C) ou
entre les entreprises et leurs salaris (Business-to-employee ou B2E). Le commerce
lectronique a enregistr une croissance spectaculaire qui devrait sacclrer encore
au cours des annes venir. La rcente publication par la Research Foundation de
lIIA (eSAC), le succs du site www.ITAudit.org et les nombreuses lettres dinforma-
tion de lIIA diffuses par courrier lectronique confirment que la technologie ne
constitue pas seulement un support pour les stratgies adoptes en matire de
commerce lectronique mais quelle en fait partie intgrante. Lvolution des techno-
logies bases sur internet a un norme impact sur la socit, le gouvernement
dentreprise, lconomie, la concurrence, les marchs, la structure des organisations
et la dfense nationale. lvidence, cette volution et la croissance phnomnale du
commerce lectronique soulvent, en termes de contrle et de gestion, dimportants
enjeux dont les auditeurs internes doivent tenir compte lors de llaboration et de la
mise en uvre de leurs plans daudit.
Comprendre et planifier une mission relative au commerce lectronique

2. Pour les professionnels de laudit interne, lvolution continue des technologies cons-
titue la fois une fantastique opportunit et un facteur de risques. Avant de donner
une assurance sur les systmes et les processus, lauditeur interne doit matriser
lvolution des systmes de gestion et dinformation, les risques correspondants, et
lalignement des stratgies sur le projet de lentreprise et les attentes du march.
Lauditeur interne doit examiner les processus de planification stratgique et dva-
luation des risques mis en place par le management et les dcisions de celui-ci sur
les points suivants :
1. Traduit et publi par l'IFACI.
JUIN 2004
17
Quels sont les risques graves ?

Quels sont les risques qui peuvent tre assurs ?
Parmi les contrles en place, quels sont ceux qui attnueront les risques ?
Quels contrles alternatifs supplmentaires faut-il mettre en place ?
Quel type de surveillance faut-il effectuer ?
3. Les principales composantes dun audit des activits de commerce lectronique sont
les suivantes :
valuer le dispositif de contrle interne, y compris la culture de contrle diffuse
par la direction gnrale ;
fournir une assurance raisonnable que les buts et les objectifs peuvent tre
atteints ;
dterminer si les risques sont acceptables ;
comprendre les flux dinformations ;
examiner les questions lies aux interfaces (entre les diffrents matriels, les dif-
frents logiciels, et entre les matriels et les logiciels) ;
valuer les plans de continuit de lentreprise et de reprise aprs sinistre.
4. Avant toute mission daudit des activits de commerce lectronique, le responsable

de laudit interne doit sinterroger sur la comptence et la capacit de laudit interne
en ce domaine. cet gard, les facteurs susceptibles dtre dterminants sont les sui-
vants :
Laudit interne possde-t-il des comptences suffisantes ? En cas de rponse nga-
tive, peut-il les acqurir ?
Dautres ressources ou des actions de formation sont-elles ncessaires ?
Les effectifs sont-ils suffisants court terme et long terme ?
Le plan daudit prvisionnel peut-il tre ralis ?
5. Points examiner par les auditeurs internes dans le cadre de lvaluation des risques.
Lauditeur interne peut sappuyer sur le rapport eSAC publi par lIIA pour planifier
laudit et valuer les risques. Ce document contient une liste de points, relatifs au
commerce lectronique, qui devrait intresser lauditeur interne sur le point de raliser
une mission et dvaluer les risques. Il est recommand aux auditeurs
internes dexaminer les points suivants :
Le projet ou le programme de commerce lectronique a-t-il fait lobjet dun busi-
ness plan ?
JUIN 2004
18
Ce plan intgre-t-il la planification, la conception et la mise en uvre du systme

de commerce lectronique dans les stratgies de lorganisation ?
Quel sera limpact sur les performances, la scurit, la fiabilit et la disponibilit
du systme ?
Le systme ou applicatif rpondra-t-il aux besoins des utilisateurs finaux (tels que
les salaris, clients, partenaires) et aux objectifs du management ?
Les normes imposes par les pouvoirs publics et par la rglementation ont-elles t
analyses et prises en compte ?
Quelle scurit offrent le matriel et les logiciels, et permettront-ils de prvenir ou
de dtecter tout accs non autoris, tout usage inappropri et toute autre cons-
quence ou perte dommageable ?
Le traitement des transactions sera-t-il jour, exact, exhaustif et incontestable ?
Lenvironnement de contrle permettra-t-il lorganisation de raliser ses objectifs
en termes de commerce lectronique lorsquon passera du stade des concepts
celui des rsultats ?
Lvaluation des risques inclut-elle les facteurs internes et externes ?
Les risques inhrents Internet et au fournisseur daccs Internet (tels que la
fiabilit des communications de base, lauthentification des utilisateurs, lidentifi-
cation des personnes ayant accs) ont-ils t pris en compte ?
Les autres problmatiques ont-elles t traites (par exemple, divulgation dinfor-
mations confidentielles, usage abusif de biens protgs par la proprit intellec-
tuelle ou par des copyrights, contrefaons de marques, dclarations diffamatoires
sur les sites web, fraude, usage abusif de signatures lectroniques, atteintes la
vie prive et la rputation) ?
En cas de recours des fournisseurs extrieurs, une valuation de leur solidit
(continuit dexploitation) a-t-elle t ralise par un tiers de confiance qualifi
pour agrer le fournisseur ?
Les fournisseurs dhbergement disposent-ils dun plan de continuit des opra-
tions qui a t test ? Ont-ils fourni un rapport rcent au titre de la norme SAS-70.
(ces rapports contiennent des informations prcieuses sur les contrles internes,
destines aux organisations utilisatrices) ? Par ailleurs, les problmatiques relatives
la vie prive ont-elles t rsolues ?
En France, la Commission Bancaire, dans son libre Blanc diffus en dcembre

2000, propose un ensemble de bonnes pratiques et de prconisations en matire
de contrle interne, de lutte contre le blanchiment et de scurit destines aux
tablissements financiers ayant dvelopp une activit bancaire et financire
JUIN 2004
19
sur Internet (exemples : Banque lectronique, services dinvestissement en

ligne, ). Toujours dans le secteur Bancaire, le Comit de la Rglementation
Bancaire et Financire propose des lignes directrices suivre par les tablisse-
ments assujettis qui externalisent des services auprs de prestataires externes.
Ces propositions feront lobjet de complments au rglement n 97-02 modifi du
21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des
entreprises dinvestissement.
Le contrat avec le fournisseur extrieur inclut-il une clause daudit ?
Risques et contrles lis au commerce lectronique

6. Le commerce lectronique sinscrit dans un environnement de risques et de contrles
complexe et volutif. Le risque peut tre dfini comme la possibilit que se produise
un vnement susceptible davoir un impact ngatif sur la ralisation des objectifs.
Le risque est inhrent toute entit publique ou prive. Les risques pris par le mana-
gement pour tirer profit dopportunits jouent souvent un rle moteur dans les acti-
vits de lorganisation. Derrire ces opportunits, il peut exister des menaces ou dautres
dangers qui ne sont pas clairement perus ni bien valus, et qui sont accepts trop
facilement comme faisant partie de la vie des affaires. Pour sefforcer de grer les
risques, il est essentiel den cerner tous les lments. En outre, il est important
davoir conscience des nouvelles menaces et des changements technologiques qui
rendent les organisations plus vulnrables en matire de scurit de linformation.
Dans une optique de gestion, les sept questions cls ci-dessous peuvent permettre
didentifier les risques organisationnels et de cibler les moyens ventuels de les ma-
triser ou de les attnuer (les praticiens du risque utilisent diverses approches de
management des risques ; les questions ci-dessous correspondent une approche).
Les lments de risque sont mentionns entre crochets pour chaque question.
(a) Identification et quantification des risques :

Quels vnements sont susceptibles davoir une incidence dfavorable sur la
capacit de lorganisation raliser ses objectifs et mettre en uvre ses stra-
tgies ? [vnements menaants]
Sils se ralisent, quel pourrait tre leur impact financier ? [Risque de perte]
Avec quelle frquence risquent-ils de se produire ? [Frquence]
Quelle probabilit peut-on attribuer aux rponses donnes aux trois premires
questions ? [Incertitude]
(b) Management et attnuation des risques :

Quelles sont les mesures qui peuvent tre prises pour prvenir, viter, attnuer
et dtecter les risques et diffuser un avertissement ? [Sauvegardes et contrles]
JUIN 2004
20
Quel en sera le cot ? [Cots des sauvegardes et des contrles]

Quelle en sera lefficacit ? [Analyse cots/avantages ou retour sur investissement]
7. Parmi les problmatiques lies aux risques et aux contrles que doit examiner laudi-
teur interne, les points suivants sont particulirement critiques :
risques gnraux affrents la gestion de projets ;
menaces spcifiques lies la scurit, notamment dni de service, attaques phy-
siques, virus, usurpation didentit, accs non autoris ou divulgation de donnes ;
maintenance de lintgrit des transactions dans le cadre dun rseau complexe de
liens avec les systmes prcdents et avec les entrepts de donnes (data ware-
houses) ;
examen et approbation du contenu du site internet en cas de modifications
frquentes et de fonctionnalits clients labores et offrant un service 24 heures
sur 24 ;
volutions technologiques rapides ;
aspects juridiques, notamment augmentation travers le monde du nombre de
rglementations visant protger la vie prive ; caractre excutoire des contrats
ltranger ; problmatiques dordre fiscal et comptable ;
modifications apportes aux processus environnants et aux structures organisation-
nelles.
Audit des activits de commerce lectronique

8. Dune faon gnrale, laudit doit avoir pour objectif de sassurer que tous les
processus de commerce lectronique font lobjet de contrles internes efficaces. La
gestion des projets de commerce lectronique doit tre documente dans un plan
stratgique bien labor et approuv. Le cas chant, toute dcision de ne pas parti-
ciper au commerce lectronique doit tre soigneusement analyse, documente et
approuve par lorgane de gouvernance.
9. Les objectifs daudit dune mission portant sur le commerce lectronique peuvent
inclure les points suivants :
preuve des transactions de commerce lectronique ;
disponibilit et fiabilit du systme de scurit ;
interface effective entre les systmes de commerce lectronique et les systmes
financiers ;
scurit des transactions montaires ;
JUIN 2004
21
efficacit du processus dauthentification des clients ;

adquation des processus de continuit dopration, y compris en ce qui concerne
la reprise des oprations ;
conformit aux normes de scurit gnralement admises ;
utilisation et contrle effectifs des signatures numriques ;
adquation des systmes et des procdures de contrle des certificats de cls
publiques (utilisation de techniques cryptographiques cl publique) ;
informations et donnes dexploitation adquates et diffuses dans des dlais
appropris ;
preuves documentes dun systme de contrle interne efficace.
10. Le contenu dtaill des programmes daudit des activits de commerce lectronique
varie en fonction du secteur dactivit, du pays, du cadre juridique et des business
models. titre dexemple, un protocole daudit des activits de commerce lectro-
nique peut couvrir, pour lessentiel, les points suivants :
(a) Organisation du commerce lectronique Lauditeur interne doit accomplir les

tches suivantes :
dterminer le montant des transactions ;
identifier les parties prenantes (externes et internes) ;
examiner le processus de gestion du changement ;
examiner le processus dapprobation ;
examiner le business plan des activits de commerce lectronique ;
valuer les politiques relatives aux certificats de cls publiques ;
examiner les procdures relatives aux signatures numriques ;
examiner les contrats de services conclus entre lacqureur, le fournisseur, et
lorganisme de certification ;
vrifier la politique dassurance qualit ;
valuer la politique de respect de la vie prive et sa conformit aux activits de
commerce lectronique ;
valuer la capacit de ractivit aux incidents.
(b) Fraude Lauditeur interne doit tre vigilant sur les points suivants :
mouvements de fonds non autoriss (par exemple, transferts destination de pays
o le recouvrement des fonds serait difficile) ;
doubles paiements ;
JUIN 2004
22
refus de commandes passes ou reues, de marchandises reues ou de paiements

effectus ;
procdures et rapports danomalies ; ralit de leur suivi ;
signatures numriques : sont-elles utilises pour toutes les transactions ? Qui les
autorise ? Qui y a accs ?
protections contre les virus et le piratage informatiques (fichier historique, utilisa-
tion des outils) ;
droits daccs : font-ils lobjet dun examen rgulier ? Sont-ils rapidement modifis
en cas de changement de personnel ?
historique des interceptions de transactions par des personnes non autorises.
(c) Authentification Lauditeur interne doit examiner les politiques dauthentification

des transactions et dvaluation des contrles :
preuve de la rgularit des contrles effectus ;
outils dauto-valuation des contrles (control self assessment) utiliss par le mana-
gement ;
vrifications rgulires et indpendantes ;
sparation des fonctions ;
outils dont le management doit disposer : pare-feu ou firewalls ( plusieurs niveaux
de faon sparer le commerce lectronique des autres activits), gestion des mots
de passe, rapprochement indpendant, et pistes daudit.
(d) Altration de donnes Lauditeur interne doit valuer les contrles relatifs lin-
tgrit des donnes.
Qui peut modifier les catalogues, les prix ou les taux ? Quel est le mcanisme
dapprobation ?
Quelquun peut-il dtruire les pistes daudit ?
Qui peut approuver les modifications apportes aux listes de discussion figurant sur
le site internet de lorganisation ?
Quelles sont les procdures de commande et denregistrement ?
Le processus dappel doffres en ligne fournit-il une documentation adquate ?
Les outils mettre en place concernent : la gestion des intrusions (logiciels de sur-
veillance, dconnexion automatique au bout dun certain dlai et analyse de tendance),
la scurit physique des serveurs utiliss pour le commerce lectronique, le contrle des
modifications et le rapprochement.
JUIN 2004
23
(e) Interruptions dactivit Lauditeur interne doit examiner le plan de continuit des
oprations et vrifier quil a t test. Il appartient au management de dfinir un
mode alternatif de traitement des transactions en cas dinterruption. Le manage-
ment doit veiller la mise en place dun processus permettant de traiter les cas
suivants :
attaques en masse ;
attaques de type dni de service ;
interfaces inadquates entre les systmes de commerce lectronique et les systmes
de gestion financire ;
installations de secours ;
stratgies destines contrer le piratage, les intrusions, la recherche de mots de
passe valides, les virus, les vers, les chevaux de Troie et les portes drobes .
(f) Problmatiques de gestion Lauditeur interne doit valuer la faon dont les
entits de lorganisation grent le processus de commerce lectronique. Voici
quelques points considrer cet gard :
examen de la gestion de projet des initiatives individuelles et des projets de dve-
loppement ;
examen du cycle de vie du dveloppement des systmes ;
slection et capacit des fournisseurs, confidentialit du personnel, et fidlisation ;
revues conomiques aprs mise en place : lorganisation retire-t-elle les bnfices
escompts ? Quels sont les mtriques utiliss pour mesurer le succs ?
revues des processus aprs mise en place : les nouveaux processus sont-ils en place
et fonctionnent-ils de manire efficace ?
MPA 2100-7
Le rle de laudit interne dans lidentification et le reporting des risques environnementaux

Lobjet de la prsente MPA est de formuler des recommandations, lintention des pro-
fessionnels de laudit interne, sur les questions de risques et dindpendance en matire
daudit environnemental. Les auditeurs internes doivent tre attentifs aux risques
pouvant dcouler du rattachement hirarchique, au sein de lorganisation, des auditeurs
spcialiss dans lenvironnement. La prsente MPA recommande des garde-fous mini-
maux instaurer pour sassurer que les problmes environnementaux importants sont
signals dans des dlais opportuns et un niveau appropri. Les risques associs au
non-respect des rgles environnementales, les amendes, pnalits et autres fautes de
gestion, peuvent entraner des pertes significatives pour lorganisation.
JUIN 2004
24
Risques potentiels
1. Le responsable de laudit interne doit intgrer les risques lis lenvironnement, la
sant et la scurit dans toute valuation du management des risques ralise
lchelle de lentit, et procder une valuation quilibre de ces activits compte
tenu des autres types de risques associs aux oprations dune entit. Lvaluation
des risques doit porter notamment sur les points suivants : modalits de reporting des
risques environnementaux au sein de lorganisation, probabilit de causer des dom-
mages environnementaux, amendes, dpenses exiges par lagence de protection de
lenvironnement ou par toute autre administration, historique des accidents corporels
et des dcs, enregistrement des pertes de clientle, cas de mauvaise publicit, de
dgradation de limage et de la rputation de lentit.
2. Lorsque le management des risques lis lenvironnement, la sant et la scurit

est rattach pour une large part la fonction Audit environnemental, le responsable
de laudit interne doit tenir compte des consquences de ce mode dorganisation et
de son incidence sur les oprations et sur les systmes de reporting. Sil constate que
ces risques ne sont pas grs de faon approprie et quil existe des risques rsiduels,
ceci doit le conduire modifier le plan de laudit interne et procder de nouvelles
investigations.
3. Dans la majorit des cas, la fonction Audit environnemental est rattache au respon-
sable de lenvironnement ou au directeur juridique de lorganisation, et non au
responsable de laudit interne. En rgle gnrale, le mode dorganisation de la fonc-
tion Audit environnemental sinscrit dans lun des scnarios suivants :
Le responsable de laudit interne et le responsable de laudit environnemental sont
dans des units fonctionnelles spares et leurs contacts sont peu frquents ;
Le responsable de laudit interne et le responsable de laudit environnemental sont
dans des units fonctionnelles spares et coordonnent leurs activits ;
Le responsable de laudit interne est responsable de laudit environnemental.
4. Selon un rapport succinct de lIIA consacr laudit environnemental :

La moiti environ des auditeurs spcialiss dans lenvironnement dclarent assister
rarement des runions avec un comit de lorgane de direction, et 40 % dentre
eux seulement sont parfois en contact avec le responsable de laudit interne ;
70 % des organisations ont indiqu que les questions lies lenvironnement ne
figurent pas rgulirement dans lordre du jour des runions du Conseil ;
Environ 40 % des organisations ont reconnu avoir pay des amendes pour infrac-
tion la rglementation sur lenvironnement au cours des trois dernires annes.
Les deux tiers des organisations rpondantes qualifient de significatifs leurs
risques environnementaux.
JUIN 2004
25
5. Aux tats-Unis, la table ronde qui sest tenue sur laudit Sant, Scurit et
Environnement, devenue The Auditing Roundtable , a dsign Richard L. Ratliff,
de luniversit de ltat dUtah, ainsi quun groupe de chercheurs, pour raliser une
tude sur laudit dans les domaines de la sant, de la scurit et de lenvironnement.
Les conclusions des chercheurs sur les points concernant les risques et lindpen-
dance sont les suivantes :
la fonction Audit Sant, Scurit et Environnement est relativement isole des
autres fonctions daudit de lorganisation. Elle est spare de laudit interne et elle
nest lie quindirectement aux audits externes portant sur les tats financiers ; en
outre, elle est rattache un responsable Sant, Scurit et Environnement, et non
au Conseil ou la direction gnrale. en juger par la structure adopte, la direction
gnrale estime que laudit Sant, Scurit et Environnement est un domaine tech-
nique qui doit de prfrence tre rattach un service spcifique de lorganisation ;
compte tenu de cette structure hirarchique, il est redouter que les auditeurs sp-
cialiss dans cette fonction ne puissent conserver leur indpendance, pourtant
considre comme lune des principales exigences dune fonction audit efficace.
En rgle gnrale, les responsables de laudit Sant, Scurit et Environnement
relvent, sur le plan administratif, des cadres responsables des installations audi-
tes. Par consquent, de mauvaises performances dans ces domaines auraient des
consquences ngatives pour ceux-ci, qui, de ce fait, risquent duser de leur auto-
rit pour influer sur les conclusions daudit, sur la manire dont sont conduits les
audits ou sur le contenu du plan daudit. Ce risque de subordination des auditeurs,
quand bien mme il ne serait quapparent, porte atteinte lindpendance et
lobjectivit de lauditeur ;
en outre, il arrive couramment que les rapports daudit ne soient pas diffuss dans
lorganisation un chelon suprieur celui des cadres responsables de lenviron-
nement. Or, ces derniers peuvent se trouver dans une situation de conflit dintrt
et sabstenir de diffuser les conclusions des audits la direction gnrale et au
Conseil ;
les informations relatives aux audits sont souvent classes dans lune des catgo-
ries suivantes : (a) assimilation au secret professionnel liant lavocat son client ou
au fruit des travaux de lavocat, (b) informations confidentielles, ou, (c) dfaut de
confidentialit, informations diffusion restreinte. Il sensuit que laccs aux infor-
mations relatives aux audits Sant, Scurit et Environnement est trs restreint.
Suggestions lintention du responsable de laudit interne

6. Le responsable de laudit interne doit sefforcer de nouer dtroites relations de tra-
vail avec le responsable de lenvironnement et de coordonner ses activits avec le plan
daudit environnemental. Lorsque la fonction Audit environnemental ne lui est pas
rattache :
JUIN 2004
26
le responsable de laudit interne doit proposer dexaminer le plan daudit et la rali-

sation des missions ;
il doit planifier priodiquement une revue dassurance qualit de la fonction Audit
environnemental. Lobjet de cette revue est de dterminer si les risques environne-
mentaux sont correctement traits.
Le plan daudit de la fonction Sant, Scurit et Environnement peut tre (a) centr sur
la conformit (conformit aux lois, la rglementation, aux rgles et procdures et aux
objectifs de performance en matire de Sant, Scurit et Environnement) ou (b) centr
sur les systmes de gestion (valuations des systmes de gestion chargs de sassurer de
la conformit aux exigences lgales et internes, et de vrifier que les risques font lobjet
de mesures dattnuation), ou (c) fond sur une combinaison de ces deux approches.
En matire de lois, rglementations, normes sur lenvironnement applicables en

France, citons :
la Loi du 19 juillet 1976, relative aux installations classes pour la protection
de lenvironnement ;
lArrt du 2 fvrier 1998 (sites soumis autorisation) ;
la directive europenne n 96/82/CE du 9 dcembre 1996, dite SEVESO, qui
demande aux tats et aux entreprises didentifier les risques associs
certaines activits industrielles dangereuses et de prendre les mesures nces-
saires pour y faire face ;
la Norme ISO 14001 ;
la loi NRE du 15 mai 2001 (art. 116) qui impose aux socits franaises cotes
sur un march rglement de donner dans leur rapport annuel des informa-
tions, dont la liste est fixe par dcret en Conseil d'tat, sur la manire dont
la socit prend en compte les consquences sociales et environnementales de
son activit.
Des orientations complmentaires sur les perspectives nouvelles quoffre le
dveloppement durable laudit interne sont indiques dans la Revue Audit
n 165 de juin 2003 de lIFACI ainsi que dans les actes du Colloque organis par
lIFACI le 18 septembre 2003.
7. Le responsable de laudit interne doit apprcier si les auditeurs spcialiss dans len-
vironnement, qui ne lui sont pas rattachs, respectent les normes professionnelles
daudit gnralement admises ainsi quun code dthique reconnu. Aux tats-Unis, le
Board of Environmental, Health and Safety Auditor Certifications BEAC (Conseil de
certification de lauditeur environnemental, de sant et de scurit), ainsi que lIIA,
publient des normes de pratique et des codes dthique/de dontologie.
JUIN 2004
27
BEAC, joint-venture cre entre The IIA et The Round Table aux tats-Unis,
dlivre le certificat CPEA, Certified Professional Environmental Auditor
(Auditeur Environnement Professionnel Certifi), certificat qui aborde trois
domaines de spcialit : environnement, sant, scurit. Pour plus dinforma-
tions, se reporter au site du BEAC : www.beac.org.
8. Le responsable de laudit interne doit valuer la position hirarchique et lindpen-

dance de la fonction Audit environnemental, de faon sassurer que les points signi-
ficatifs ou les risques graves pour lentreprise sont ports la connaissance du comit
daudit, ou dun autre comit manant du Conseil, par la voie hirarchique. Il doit
galement faciliter la transmission ce comit des informations concernant les
risques et les contrles importants en matire de Sant, Scurit et Environnement.
MPA 2100-8 :
Lvaluation du dispositif mis en place par lorganisation pour protger la vie prive :
rle de lauditeur interne
Interprtation de la norme n 2100 extraite des Normes internationales

pour la Pratique Professionnelle de lAudit Interne
Norme : 2100 Nature du travail

Laudit interne value les systmes de management des risques, de contrle et de
gouvernement dentreprise et contribue leur amlioration.
Nature de cette recommandation : Il est conseill aux auditeurs internes de tenir compte
des suggestions suivantes pour valuer les mesures prises par lorganisation dans le
cadre de son dispositif de protection de la vie prive. La prsente MPA na pas pour but
de dresser une liste exhaustive des procdures mettre en uvre dans le cadre dune
mission dassurance ou de conseil couvrant lensemble de ce dispositif. Elle contient
une srie de recommandations essentielles concernant les responsabilits importantes
de lauditeur interne qui, dans ce domaine, sont complmentaires celles du Conseil
et du management.
1. La protection de la vie prive fait lobjet dune attention accrue dans la mesure o les
avances en matire de technologies de linformation et de moyens de communica-
tion introduisent de nouveaux risques et menaces pour la vie prive. Dans la plupart
des pays, la lgislation contraint les organisations se doter dun dispositif de contrle
visant protger la vie prive.
JUIN 2004
28
2. Les dfinitions de la vie prive varient amplement selon le pays, la culture, lenviron-
nement politique et le cadre juridique. La vie prive peut comprendre lintimit des
personnes (sur le plan physique et psychologique), le respect de lespace priv
(absence de surveillance), ainsi que le caractre confidentiel de la communication
(absence de contrle) et des informations (collecte, exploitation et diffusion par autrui
dinformations caractre personnel). Les informations caractre personnel
correspondent gnralement des informations que lon peut associer un individu
donn, soit en tant que telles soit en les regroupant avec dautres informations1. Il
peut sagir dinformations de nature objective ou subjective, enregistres ou non, et
ce quels quen soient la forme ou le support. titre dexemple, les informations
caractre personnel incluent notamment :
le nom, ladresse, les numros didentification, le revenu ou le groupe sanguin ;
les valuations, les commentaires, le statut social ou les mesures disciplinaires ;
les dossiers des salaris, les informations relatives aux crdits et aux prts accor-
ds.
3. Le respect de la vie prive relve du management des risques. Labsence de protection

et de contrles appropris en matire de respect de la vie prive et des informations
caractre personnel peut avoir dimportantes consquences pour une organisation.
De telles lacunes peuvent, par exemple, nuire la rputation de certaines personnes
et de lorganisation, entraner la mise en jeu lgale de leur responsabilit et contri-
buer branler la confiance des consommateurs et des salaris.
4. Diverses lois et rglementations relatives la protection des informations caractre

personnel sont en cours dlaboration dans le monde. Il existe en outre des proc-
dures et des pratiques gnralement admises qui peuvent tre appliques dans ce
domaine.
5. De bonnes pratiques en matire de protection de la vie prive contribuent, lvi-

dence, une bonne gouvernance et lobligation de rendre compte. Assurer que les
principaux risques encourus par lorganisation ont t identifis et que des systmes
appropris destins les attnuer ont t mis en place incombe, en dernier ressort,
lorgane de direction (conseil dadministration, instance dirigeante dun organisme
public ou corps lgislatif, par exemple). ce titre, il lui appartient de doter lorgani-
sation dun dispositif garantissant le respect de la vie prive et den piloter la mise en
place.
6. Lauditeur interne peut contribuer un bon gouvernement dentreprise et lobliga-

tion de rendre compte en aidant lorganisation raliser ses objectifs en matire de
(1) Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim Hargraves, Susan
B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal Auditors Research Foundation.
JUIN 2004
29
protection de la vie prive. Il est, en effet, particulirement bien plac pour valuer
le dispositif en place dans lorganisation, identifier les risques significatifs et formu-
ler les recommandations appropries en vue de leur attnuation.
7. Pour procder cette valuation, lauditeur interne doit tenir compte des lments
suivants :
lois, rglementations et politiques relatives au respect de la vie prive en vigueur
dans tous les pays dans lesquels lorganisation exerce une activit ;
liaison avec le juriste de lorganisation afin de dterminer le contenu exact des lois,
rglementations, normes ou pratiques applicables lorganisation et aux pays dans
lesquels elle exerce une activit ;
liaison avec des spcialistes des technologies de linformation afin de sassurer que
des contrles concernant la scurit des informations et la protection des donnes
sont en place, et que leur efficacit fait rgulirement lobjet dexamens et dva-
luations ;
maturit des pratiques de lorganisation en matire de protection de la vie prive.
Le rle de lauditeur interne peut varier en fonction de cette maturit. Lauditeur
peut faciliter llaboration et la mise en uvre dun programme spcifique, raliser
une valuation des risques afin de dterminer les besoins et lexposition aux risques
de lorganisation, ou bien il peut examiner lefficacit des procdures, des pratiques
et des contrles en place dans lorganisation et fournir une assurance sur celle-ci.
Lindpendance de lauditeur interne peut tre altre sil assume une partie de la
responsabilit du dveloppement et de la mise en place dun programme de
protection de la vie prive.
8. En rgle gnrale, on peut attendre de lauditeur interne quil :

examine la nature et le bien-fond des informations caractre personnel ou priv
recueillies par son organisation ;
value leur pertinence et la mthode utilise pour les collecter ;
vrifie si lorganisation utilise les informations ainsi collectes conformment aux
objectifs fixs et la lgislation,
et ce pour les diffrents domaines dans lesquels ces informations sont recueillies,
dtenues et exploites.
9. tant donn la nature juridique et technique trs marque que revt cette question,
lauditeur interne doit sassurer quil dispose des connaissances et des comptences
appropries pour procder lvaluation du dispositif en place. Il doit faire appel
des tiers experts si ncessaire.
JUIN 2004
30
La Commission Nationale de l'Informatique et des Liberts (CNIL) a t insti-

tue par la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers
et aux liberts qui la qualifie d'autorit administrative indpendante. Collge
pluraliste de 17 commissaires, la CNIL lit son Prsident parmi ses membres ;
elle ne reoit dinstruction daucune autorit ; les ministres, autorits publiques,
dirigeants dentreprises, publiques ou prives, ne peuvent sopposer laction de
la CNIL pour quelque motif que ce soit et doivent prendre toutes mesures utiles
afin de faciliter sa tche. Face aux dangers que l'informatique peut faire peser
sur les liberts, la CNIL a pour mission essentielle de protger la vie prive et les
liberts individuelles ou publiques. Elle est charge de veiller au respect de la loi
"Informatique et Liberts" qui lui confie 5 missions principales :
Informer les personnes de leurs droits et obligations, et proposer au gouver-
nement les mesures lgislatives ou rglementaires de nature adapter la pro-
tection des liberts et de la vie prive l'volution des techniques.
Garantir le droit d'accs.
Recenser les fichiers. La CNIL donne un avis sur toutes les crations de trai-
tements du secteur public et reoit les dclarations de traitements du secteur
priv.
Contrler les applications informatiques afin de vrifier que la loi est res-
pecte.
Rglementer en tablissant des normes simplifies, afin que les traitements
les plus courants et les moins dangereux pour les liberts fassent l'objet de
formalits allges.
Pour plus dinformations : www.cnil.fr.
JUIN 2004
31
MPA 2100-9 :
Revue des systmes dapplication
Interprtation de la norme 2100 extraite des Normes internationales

pour la pratique professionnelle de laudit interne

laudit des systmes dinformation) intitule Application Systems Review (Revue des
systmes dapplication) document G14. Cette directive daudit des systmes dinfor-
mation a t publie par lISACA en novembre 2001. Elle a t utilise et adopte avec
lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique
dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les
changements apports et nen garantit pas lexactitude.

Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de
la revue des systmes dapplication. La prsente MPA na pas pour but de dcrire toutes
les procdures mettre en uvre dans le cadre dune mission dassurance intgre ou
de conseil lie une revue des systmes dapplication. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments lors de la planification
dtaille des travaux daudit.
1. Le responsable de laudit doit sassurer que le service daudit interne possde ou peut
accder des ressources daudit indpendantes (1) et comptentes pour procder
une revue des systmes dapplication et valuer les risques associs ces systmes.
Considrations lies la planification
2. La planification suppose que lauditeur possde une comprhension suffisante de

lenvironnement des systmes dinformation de lorganisation pour dterminer la taille
et la complexit des systmes, ainsi que le degr de dpendance de lorganisation par
rapport aux systmes dinformation. Lauditeur doit acqurir une bonne comprhen-
sion de la mission et des objectifs de lorganisation, de la manire dont les technolo-
gies de linformation et les systmes dinformation sont utiliss pour assister lorga-
nisation, et des risques associs aux objectifs de lorganisation et ses systmes din-
(1) Il y a indpendance si lauditeur na pas t impliqu dans le dveloppement, lacquisition, la mise en

place ou la maintenance du systme dapplication.
SEPTEMBRE 2006
31-1
formation. Il doit en outre acqurir une bonne comprhension de la structure de lor-

ganisation, notamment du rle et des fonctions des principaux responsables des sys-
tmes dinformation et du propritaire du systme dapplication. Il convient gale-
ment de tenir compte des risques lis aux domaines dactivit lors de la planification
de laudit.
Lun des principaux objectifs de la planification est didentifier les risques associs
aux applications. Limportance relative des risques influe sur le niveau de preuves
daudit requises. Les risques associs aux applications, que ce soit au niveau des sys-
tmes ou des donnes, sont notamment les suivants :
risques lis la disponibilit des systmes : capacit oprationnelle insuffisante
des systmes ;
risques lis laccs non autoris aux systmes et/ou aux donnes ;
risques lis lintgrit des systmes : traitement incomplet, inexact, hors dlai ou
traitement non autoris de donnes ;
risques lis limpossibilit dassurer la maintenance des systmes : incapacit
mettre un systme jour, en cas de besoin, dans des conditions permettant de
continuer assurer la disponibilit, la scurit et lintgrit du systme ;
risques lis aux donnes : exhaustivit, intgrit, confidentialit, respect de la vie
prive, exactitude et mise disposition en temps opportun.
Les contrles dapplication destins grer les risques lis aux applications peuvent
revtir la forme de contrles informatiss intgrs dans le systme, de contrles
manuels, ou dune combinaison de ces deux types de contrle. On peut citer, titre
dexemples, le rapprochement informatis de documents (commande dachat, facture
et bon de rception des biens), la vrification et la signature dun chque gnr par
informatique et la revue des rapports danomalies par les cadres suprieurs.
Lorsque lauditeur dcide de sappuyer sur des contrles programms, il convient
dexaminer les contrles informatiques gnraux pertinents, ainsi que les contrles
spcialement adapts lobjectif de laudit. Les contrles informatiques gnraux
peuvent faire lobjet dune revue spare qui portera notamment sur les points sui-
vants : contrles physiques, scurit des systmes, gestion du rseau, sauvegarde des
donnes et plan de secours. Selon les objectifs de contrle de la revue, lauditeur peut
ne pas procder lexamen des contrles gnraux : par exemple en cas dvaluation
dun systme dapplication en vue dune acquisition.
Les revues des systmes dapplication peuvent tre effectues pour valuer un progi-
ciel dapplication en vue de son acquisition, avant la mise en service dun systme
dapplication ou aprs cette mise en service. Les revues pralables la mise en
service dun systme dapplication portent notamment sur larchitecture de scurit
de lapplication, les projets de mise en place de la scurit ainsi que ladquation de
la documentation systme et de la documentation utilisateurs et ladquation des
SEPTEMBRE 2006
31-2
tests de recette utilisateur raliss ou prvus. Les revues postrieures la mise en

service du systme couvrent notamment le niveau de scurit de lapplication aprs
sa mise en place et, le cas chant, la conversion du systme en cas de transfert des
donnes et des informations contenues dans le fichier matre entre lancien et le
nouveau systme.
Les objectifs et ltendue des revues concernant les systmes dapplication sinscri-
vent gnralement dans le cadre du plan de mission. Ce plan, dont la forme et le
contenu sont susceptibles de varier, doit mentionner les points suivants :
objectifs et tendue de la revue des systmes dapplication ;
identit de lauditeur ou des auditeurs chargs de la revue ;
dclaration concernant lindpendance de lauditeur (des auditeurs) intervenant sur
le projet ;
date de dbut et calendrier de la revue ;
prsentation de rapports et comptes-rendus, notamment dans le cadre de runions
de clture ;
les objectifs doivent tre dfinis partir des sept critres du modle COBIT en
matire dinformation, puis approuvs par lorganisation. Les sept critres dinfor-
mation du COBIT peuvent porter notamment sur les points suivants :
efficacit, efficience, confidentialit, intgrit, disponibilit, conformit et fiabi-
lit des informations.
Lorsque lauditeur a particip auparavant au dveloppement, lacquisition, la mise
en place ou la maintenance dun systme applicatif et quil se voit confier une
mission daudit, son indpendance risque dtre altre. Il doit alors se rfrer aux
directives appropries pour grer cette situation.
Ralisation des travaux daudit
3. a) Documentation des flux de transactions

Les informations recueillies doivent porter tant sur les aspects informatiss que sur
les aspects manuels du systme. Il convient de mettre laccent sur lentre des
donnes (quelle soit lectronique ou manuelle), le traitement, le stockage, et les
donnes de sortie qui revtent une importance significative eu gard aux objectifs de
laudit. Selon les processus et les technologies mis en uvre, lauditeur peut
rencontrer des difficults pratiques pour documenter les flux de transactions. Dans ce
cas, il doit tablir un diagramme densemble de circulation des donnes ou une
description narrative et/ou utiliser la documentation systme fournie le cas chant.
Lauditeur doit galement envisager de documenter les interfaces entre lapplication
examine et les autres systmes. Il doit valider la documentation obtenue en mettant
en uvre certaines procdures, par exemple en effectuant un test de cheminement.
SEPTEMBRE 2006
31-3
b) Identification et test des contrles affrents aux systmes dapplication

Lauditeur peut identifier des contrles spcifiques permettant dattnuer les risques
lis lapplication, et rassembler des preuves daudit suffisantes pour obtenir lassu-
rance que ces contrles fonctionnent comme prvu. cette fin, il met en uvre les
procdures suivantes : demandes dinformation et observation, revue de la documen-
tation et tests sur les contrles affrents au systme dapplication (notamment tests
sur les contrles programms, le cas chant laide des outils daudit assists par
ordinateur).
La nature, le calendrier et ltendue des tests doivent tre dtermins en fonction du
degr de risque associ au domaine examin et des objectifs de laudit. En labsence
de contrles informatiques gnraux efficaces, lauditeur peut valuer limpact de
cette faiblesse sur la fiabilit des contrles dapplication informatiss. Si lauditeur
informatique dtecte des faiblesses significatives dans les contrles dapplication
informatiss, il devra si possible obtenir une assurance (selon lobjectif de laudit) sur
la base des contrles manuels du traitement.
Lefficacit des contrles informatiss repose sur celle des contrles informatiques
gnraux. Ds lors, en labsence de revue des contrles gnraux, la possibilit de
sappuyer sur les contrles dapplication risque dtre srieusement limite et laudi-
teur doit envisager des procdures alternatives.
Rapports
4. Les rapports concernant les rsultats de la revue des systmes dapplication doivent
comporter une description claire de la nature de la mission, de toute limitation ou
restriction, et/ou de tout autre facteur, devant tre ports la connaissance des utili-
sateurs des informations. Lauditeur doit formuler dans le rapport les recommanda-
tions appropries pour renforcer les contrles.
Les faiblesses identifies lors de la revue des applications, soit en raison de labsence
de contrles soit par suite de non-conformits, doivent tre portes lattention du
propritaire du processus et des responsables informatiques chargs du support de
lapplication. Lorsque les faiblesses constates lors de la revue des systmes dappli-
cation sont considres comme tant significatives, il convient de conseiller aux
responsables concerns de prendre immdiatement des mesures correctives. tant
donn que lefficacit des contrles dapplication informatiss repose sur les
contrles informatiques gnraux, les faiblesses constates dans ce domaine doivent
galement tre signales. Si les contrles informatiques gnraux ne font lobjet
daucune revue, il convient de le mentionner dans le rapport.
SEPTEMBRE 2006
31-4
MPA 2100-10 :


laudit des systmes dinformation) intitule Auditing Sampling (Vrification par
sondage) document G10. Cette directive daudit des systmes dinformation a t
publie par lISACA en mars 2000. Elle a t utilise et adopte avec lautorisation de
lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la
directive/procdure publie par lISACA, lISACA navalise pas les changements apports
et nen garantit pas lexactitude.

quils utilisent les techniques dchantillonnage pour procder des tests. La prsente
MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre
dune vrification par sondage. Elle a seulement pour objet de recommander la prise en
compte dun ensemble dlments lors de la planification dtaille des travaux daudit.
Ralisation des travaux daudit

Lorsquil utilise des mthodes dchantillonnage statistique ou discrtionnaire, lauditeur
doit dfinir et slectionner un chantillon, mettre en uvre des procdures daudit et va-
luer les rsultats du sondage afin dobtenir des preuves daudit suffisantes, fiables, per-
tinentes et utiles. Bien souvent, les auditeurs nexaminent pas toutes les informations
disponibles pour se forger une opinion, dans la mesure o cet examen nest pas nces-
sairement ralisable en pratique et o ils peuvent tirer des conclusions valides sur la base
de sondages.
Les vrifications par sondage consistent appliquer les procdures daudit un ensemble
plus restreint que la population concerne, pour permettre lauditeur dvaluer les
preuves daudit concernant certaines caractristiques des lments slectionns et den
tirer une conclusion sur la population. Les techniques utilises dans le cadre des
sondages statistiques permettent de tirer des conclusions mathmatiques sur la popu-
lation.
SEPTEMBRE 2006
31-5
Les sondages discrtionnaires ne reposent pas sur des mthodes statistiques et leurs
rsultats ne doivent pas tre extrapols la population entire, car il est trs peu
probable que lchantillon soit reprsentatif de la population.
Dfinition de lchantillon
Pour dfinir la taille et la structure dun chantillon, les auditeurs doivent tenir compte
des objectifs spcifiques de laudit, de la nature de la population ainsi que des mthodes
dchantillonnage et de slection. Lauditeur doit tenir compte, le cas chant, de la
ncessit dimpliquer des spcialistes comptents dans la dfinition et lanalyse des
chantillons.
Unit de sondage Lunit de sondage sera fonction de la finalit de lchantillon. Pour
les tests de conformit des contrles, lon procde gnralement un sondage dattri-
buts, dans lequel lunit de sondage est un vnement ou une transaction (un contrle
tel quune autorisation sur une facture, par exemple). Pour les tests de confirmation, lon
procde souvent un sondage destimation des variables dans lequel lunit de sondage
est souvent montaire.
Objectifs de laudit Lauditeur doit tenir compte des objectifs spcifiques de laudit et
mettre en uvre les procdures daudit qui ont le plus de chances daboutir la ralisa-
tion de ces objectifs. Lorsquune vrification par sondage est approprie, la nature des
preuves daudit recherches et les risques derreur doivent tre pris en considration.
Population La population dsigne lensemble entier de donnes partir duquel laudi-
teur souhaite prlever un chantillon pour en tirer une conclusion sur la population. La
population dont lchantillon est issu doit donc tre adapte et son exhaustivit vrifie
compte tenu de lobjectif spcifique de laudit.
Stratification La stratification peut savrer approprie pour faciliter une dfinition effi-
cace et efficiente de lchantillon. Ce processus consiste scinder une population en
sous-ensembles, ou strates, qui prsentent des caractristiques similaires dfinies de
faon explicite de telle sorte que chaque unit de sondage ne puisse tre rattache qu
une seule strate.
Taille de lchantillon Pour dterminer la taille de lchantillon, lauditeur doit tenir
compter du risque dchantillonnage, du montant de lerreur juge acceptable et du taux
derreurs attendu.
Risque dchantillonnage Le risque dchantillonnage provient du fait que la conclu-
sion de lauditeur peut diffrer de la conclusion laquelle il parviendrait si la population
entire tait soumise la mme procdure daudit.
Il existe deux types de risque dchantillonnage :
le risque dacceptation errone le risque quune erreur significative soit juge impro-
bable, alors quen fait la population comporte une erreur significative ;
le risque de rejet injustifi le risque quune erreur significative soit juge probable,
alors quen fait la population ne comporte aucune erreur significative.
SEPTEMBRE 2006
31-6
Le degr de risque dchantillonnage que lauditeur est dispos accepter influe sur la
taille de lchantillon. Le risque dchantillonnage doit tre considr par rapport au
modle de risque daudit et ses composantes : le risque inhrent, le risque dchec des
contrles et le risque de non-dtection.
Erreur acceptable Lerreur acceptable est lerreur maximale que les auditeurs sont prts
accepter dans la population examine tout en concluant que lobjectif de laudit est
atteint. Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signi-
fication fix par lauditeur. Pour les tests de conformit, cest le taux maximum dcart
que lauditeur peut tolrer par rapport une procdure de contrle prescrite.
Erreur attendue Si lauditeur sattend ce que la population comporte des erreurs, il
convient, en rgle gnrale, dexaminer un chantillon plus important pour pouvoir
conclure que lerreur relle sur la population nest pas suprieure lerreur acceptable
prvue. Des chantillons de taille rduite sont justifis lorsquon sattend ce que la
population ne comporte pas derreur. Pour dterminer lerreur attendue dans une popu-
lation, lauditeur doit tenir compte notamment des lments suivants : niveaux derreur
dtects lors des audits prcdents, modifications apportes aux procdures de lorgani-
sation, preuves daudit recueillies lors dune valuation du contrle interne et rsultats
des procdures de revue analytique.
Slection de lchantillon
Les mthodes dchantillonnage couramment utilises sont au nombre de quatre :
Mthodes dchantillonnage statistique
chantillonnage alatoire cette mthode garantit que toutes les combinaisons duni-
ts de sondage comprises dans la population ont la mme chance dtre slectionnes.
chantillonnage systmatique cette mthode consiste slectionner les units de
sondage en respectant un intervalle fixe entre les tirages, le point de dpart tant dter-
min au hasard. titre dexemples, on peut citer le sondage par units montaires ou
la slection pondre en fonction des valeurs, dans lesquels chaque valeur montaire
individuelle (1 $, par exemple) de la population a les mmes chances dtre slec-
tionne.
tant donn que lunit montaire individuelle ne peut pas, en principe, tre examine
sparment, cest llment qui comprend cette unit montaire qui est slectionn
pour examen. Le mode de slection retenu dans cette mthode privilgie systmati-
quement les montants importants, mais chaque valeur montaire conserve nanmoins
les mmes chances dtre choisie. Un autre exemple consiste slectionner chaque
nime unit.
SEPTEMBRE 2006
31-7
Mthodes dchantillonnage discrtionnaire

Slection laveuglette lauditeur prlve lchantillon sans suivre une technique
structure, en vitant toutefois de fausser consciemment la slection ou de lui donner
un caractre prvisible. Lanalyse dun chantillon slectionn laveuglette ne permet
pas de tirer une conclusion sur la population.
chantillonnage raisonn lauditeur introduit un biais lors du prlvement de
lchantillon (par exemple, il choisit toutes les units de sondage suprieures un
certain montant, tous les lments sauf un type prcis dexceptions, toutes les valeurs
ngatives, tous les nouveaux utilisateurs, etc.). Il convient de noter quun chantillon
discrtionnaire nest pas fond sur les statistiques et que ses rsultats ne doivent pas
tre extrapols sur la population, car il est trs peu probable que lchantillon soit
reprsentatif de la population.
Lauditeur doit slectionner les lments de lchantillon de telle sorte que ce dernier soit
en principe reprsentatif de la population pour les caractristiques contrles : autrement
dit, il doit utiliser les mthodes de sondage statistique. Pour prserver lindpendance de
laudit, lauditeur doit sassurer que la population est entire et contrler la slection de
lchantillon.
Pour quun chantillon soit reprsentatif de la population, il faut que toutes les units de
sondage comprises dans la population aient une probabilit gale ou connue dtre slec-
tionnes (mthodes de sondage statistique). Les mthodes de slection couramment uti-
lises sont au nombre de deux : la slection sur les enregistrements, et la slection sur
les champs quantitatifs (units montaires, par exemple).
Pour la slection sur les enregistrements, les mthodes les plus courantes sont les
suivantes :
chantillon alatoire (chantillon statistique),
chantillon laveuglette (non statistique),
chantillon discrtionnaire ou raisonn (non statistique ; forte probabilit de parvenir
une conclusion biaise).
Pour la slection sur les champs quantitatifs, les mthodes les plus courantes sont les
suivantes :
chantillon alatoire (chantillon statistique sur les units montaires),
chantillon par intervalles fixes (chantillon statistique prlev par intervalle fixe),
chantillon par cellule (chantillon statistique avec slection alatoire dans un inter-
valle).
SEPTEMBRE 2006
31-8
Documentation
Les documents de travail doivent contenir des informations suffisamment dtailles pour
dcrire clairement lobjectif du sondage et le processus dchantillonnage utilis. Ils
doivent mentionner la source de la population, la mthode de sondage utilise, les para-
mtres dchantillonnage (par exemple, numro de dpart alatoire, intervalle dchan-
tillonnage), les lments slectionns, des informations dtailles sur les vrifications
effectues par sondage et les conclusions.
valuation des rsultats

Aprs avoir mis en uvre, pour chaque lment de lchantillon, les procdures daudit
appropries compte tenu de lobjectif daudit fix, lauditeur doit analyser toute erreur
potentielle dtecte dans lchantillon afin de vrifier sil sagit rellement derreurs et,
le cas chant, de dterminer leur nature et leur cause. Si la mthode de sondage uti-
lise est fonde sur les statistiques, les erreurs values comme telles doivent tre
projetes le cas chant sur la population.
Les erreurs potentielles dtectes doivent tre examines afin de dterminer sil sagit
rellement derreurs. Lauditeur doit tenir compte des aspects qualitatifs des erreurs
savoir la nature et la cause de lerreur ainsi que son incidence ventuelle sur les autres
phases de laudit. Les erreurs rsultant du dysfonctionnement dun processus automatis
ont gnralement des rpercussions plus tendues, en termes de taux derreur, quune
erreur humaine.
Sil ne parvient pas obtenir les preuves daudit attendues pour un lment dchantillon
donn, lauditeur met en uvre des procdures alternatives sur llment slectionn en
vue de rassembler des preuves daudit suffisantes.
Lauditeur doit tudier les possibilits de projeter les rsultats de lchantillon sur la
population entire selon une mthode cohrente avec celle utilise pour slectionner
lchantillon. Cette projection peut comporter une estimation des erreurs probables dans
la population, ainsi quune estimation des erreurs non dtectes en raison du manque de
prcision de la technique utilise et des aspects qualitatifs des erreurs constates.
Lauditeur doit dterminer si les erreurs contenues dans la population risquent dexcder
lerreur acceptable. cet effet, il compare lerreur estime (par projection sur la popu-
lation entire) lerreur acceptable, en tenant compte des rsultats des autres procdures
daudit pertinentes pour lobjectif daudit fix. Lorsque lerreur estime par projection
excde lerreur acceptable, lauditeur doit rvaluer le risque dchantillonnage et, si
celui-ci est inacceptable, il doit alors envisager dtendre la procdure daudit ou de
mettre en uvre des procdures daudit alternatives.
SEPTEMBRE 2006
31-9
MPA 2100-11 :
Impact des contrles de pilotage des systmes d'information


laudit des systmes dinformation) intitule Effect of Pervasive IS Controls (Impact
des contrles de pilotage des systmes d'information) document G11. Cette directive
daudit des systmes dinformation a t publie par lISACA en mars 2000. Elle a t
utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente
Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA
navalise pas les changements apports et nen garantit pas lexactitude.

quils effectuent une revue des contrles informatiques. La prsente MPA na pas pour
but de dcrire toutes les procdures mettre en uvre dans le cadre dun audit infor-
matique. Elle a seulement pour objet de recommander la prise en compte dun
ensemble dlments lors de la planification dtaille des travaux daudit.
Prambule
Plusieurs typologies de contrles sont utilises par les auditeurs internes en tant que
grille de lecture lors de leurs missions.
Concernant les missions ralises en milieu informatis, la typologie la plus gnralement
recommande tait celle prconise par les experts-comptables, qui diffrencie contrles
gnraux (1) et contrles d'application (2). Parfaitement adapte aux audits comptables
et financiers, cette approche ne convient pas systmatiquement l'audit interne, dont les
objectifs et le primtre de mission ne sont pas uniquement centrs sur l'apprciation
des comptes.
(1) Les contrles Gnraux sappliquent la quasi-totalit des oprations et contribuent leur fonctionnement
correct. Ils portent habituellement sur les oprations du centre de traitement, lacquisition et la mainte-
nance des applications (dfinition issue du COSO Report).
(2) Les contrles dapplication conus pour contrler le fonctionnement des applications comprennent des
procdures programmes lintrieur mme des logiciels dapplication ainsi que des procdures manuelles
associes. Ils permettent dassurer lexhaustivit, et lexactitude des traitements et transactions, leur auto-
risation et leur validit.
SEPTEMBRE 2006
31-10
C'est pourquoi nous prconisons dornavant une approche plus discriminante, en intro-
duisant une nouvelle diffrentiation l'intrieur des contrles gnraux :
les contrles dtaills des systmes d'information qui sont directement en relation avec
le primtre de la mission d'audit en milieu informatis ;
les contrles de pilotage qui concernent les contrles relatifs au pilotage des systmes
d'information et aux dispositifs de supervision qui contribuent assurer de bons
contrles dtaills.
Cette nouvelle typologie est issue du cadre de rfrence CobiT, qui ne traite que des
contrles gnraux. Le lien entre la typologie des contrles et CobiT est le suivant :
Contrles gnraux :
contrles de pilotage : domaines pilotage et organisation (PO) et surveillance
(S) ;
contrles dtaills : domaine acquisition et mise en place (AMP) et distribution
et support (DS) ;
Contrles dapplication : ces contrles ne sont pas traits par CobiT.
Notons au passage que CobiT est dornavant suppos connu des auditeurs internes ds
qu'il s'agit de raliser une mission en milieu informatis. Dans ce cadre, pour se former
une opinion sur l'efficacit des contrles dtaills auditer, l'auditeur doit systmati-
quement prendre en compte le besoin d'apprcier les contrles de pilotage, mme s'ils
sont hors du primtre initial de la mission. Mais tous les contrles de pilotage ne sont
pas pertinents pour une mission donne, il faut donc dployer une dmarche mthodique
pour dterminer les contrles de pilotage pertinents pour la mission raliser, ceux qui
ncessitent de dployer des tests d'audit, et, enfin, leur impact sur l'opinion de l'Audit.
C'est l'objet de la prsente MPA.
1. LE CADRE DE RFRENCE
Vue densemble
Selon la dfinition du COBIT, le terme contrle dsigne lensemble des politiques,
procdures, pratiques et structures organisationnelles conues pour donner lassurance
raisonnable que les objectifs de lentreprise seront atteints et que les vnements non
souhaits seront vits ou dtects et leurs effets corrigs. Pour chaque audit en milieu
informatis, les auditeurs doivent tablir une distinction entre les contrles gnraux qui
concernent lensemble des systmes dinformation et des oprations (contrles de pilo-
tage), et ceux qui sappliquent un niveau plus spcifique (contrles dtaills), de faon
centrer leurs efforts sur les zones risque compte tenu de lobjectif de laudit. Le cadre
de contrle dcrit ci-dessous a pour objet d'assister lauditeur dans cette dmarche.
SEPTEMBRE 2006
31-11
Les contrles de pilotage des systmes d'information
titre dexemples de contrles de pilotage, on peut citer les contrles sur les processus
informatiques dfinis dans les domaines Planification et organisation (PO) et
Surveillance (S) du cadre de rfrence COBIT, tels que Dfinir un plan informatique
stratgique (PO1) et Surveiller les processus (S1). Les contrles de pilotage consti-
tuent un sous-ensemble des contrles gnraux, ce sont en fait les contrles gnraux
ddis au management et la supervision des systmes dinformation.
Limpact des contrles de pilotage nest pas limit la fiabilit des contrles dapplica-
tion dans les systmes financiers. Ils influent galement sur la fiabilit des contrles
informatiques dtaills, par exemple dans les domaines suivants :
dveloppement de programmes ;
mise en place de systmes ;
administration de la scurit ;
procdures de sauvegarde.
Les dficiences du dispositif de gestion et de surveillance des systmes dinformation

(autrement dit des contrles de pilotage) doivent inciter lauditeur tre vigilant : elles
peuvent tre le signe dun risque lev dinefficacit des contrles qui sont censs fonc-
tionner au niveau dtaill.
Les contrles informatiques dtaills

Dans le cadre de rfrence COBIT, les contrles informatiques dtaills sont ceux qui
concernent lacquisition, la mise en place, la distribution et le support des systmes
dinformation et les services y affrents. titre dexemples, ils incluent les contrles
couvrant les domaines suivants :
mise en place de progiciels ;
paramtres de scurit des systmes ;
laboration dun plan de secours ;
validation de la saisie des donnes ;
dition de rapports danomalies ;
blocage des comptes utilisateurs aprs plusieurs tentatives daccs infructueuses.
Les contrles dapplication constituent un sous-ensemble des contrles informatiques

dtaills. Par exemple, la validation de la saisie des donnes dentre est la fois un
contrle informatique dtaill et un contrle dapplication. Installer et valider les sys-
tmes (processus MPA5 du CobiT) correspond un contrle informatique dtaill, mais
pas un contrle dapplication.
SEPTEMBRE 2006
31-12
Les liens entre les diffrents types de contrles informatiques sont exposs ci-aprs :
Les contrles sur les systmes d'information regroupent :
d'une part les contrles gnraux, qui comprennent les contrles de pilotage et les
contrles dtaills ;
d'autre part les contrles d'application.
De plus, lauditeur doit tenir compte de limpact des contrles autres que les contrles
informatiques sur le primtre et les procdures daudit.
Interaction entre les contrles de pilotage et les contrles informatiques dtaills

Le cadre de rfrence COBIT rpartit les processus de contrle informatique en quatre
domaines :
planification et organisation (PO) ;
acquisition et mise en place (AMP) ;
distribution et support (DS) ;
surveillance (S).
Lefficacit des contrles en matire de Planification et dorganisation (PO) et en matire
de Surveillance (S) influe sur lefficacit des contrles en matire dAcquisition, et de
mise en place, (AMP) et de Distribution et de support (DS). Si la planification, lorgani-
sation et la surveillance mises en uvre par lquipe de direction sont inadquates, les
contrles affrents lacquisition, la mise en place, la livraison du service et au
support seront inefficaces. Inversement, une planification, une organisation et une
surveillance efficaces permettent didentifier et de corriger des contrles inefficaces sur
les oprations dacquisition, de mise en place, de livraison du service et de support.
Par exemple, les contrles informatiques dtaills sur le processus dacquisition et de
maintenance des logiciels dapplication (processus portant la rfrence AMP2 dans le
cadre de rfrence COBIT) sont affects par la pertinence des contrles de pilotage sur
les processus suivants :
dfinition du plan informatique stratgique (rfrence PO1 dans COBIT) ;
gestion des projets, (rfrence PO10) ;
gestion de la qualit, (rfrence PO11) ;
surveillance des processus (rfrence S1).
Laudit concernant le dveloppement dun systme dapplication doit porter notamment
sur la dtermination de limpact de la stratgie informatique, lapproche adopte en
matire de gestion du projet, de la surveillance du projet, et de la gestion de la qualit.
Si, par exemple, la gestion du projet est inadquate, lauditeur doit envisager :
deffectuer des travaux complmentaires afin dobtenir lassurance que le projet en
cause est gr de faon efficace ;
dinformer la direction des faiblesses constates au niveau des contrles de pilotage.
SEPTEMBRE 2006
31-13
Autre exemple : lefficacit des contrles dtaills des systmes d'information concernant
le processus de garantie de la scurit des systmes (rfrence DS5 dans COBIT) est
affecte par la pertinence des contrles de pilotage affrents aux processus suivants :
dfinition de lorganisation et les relations de travail relatives aux systmes d'informa-
tion (rfrence PO4 dans COBIT) ;
communication des objectifs et des orientations de la direction, (rfrence PO6) ;
valuation des risques (rfrence PO9) ;
surveillance des processus (rfrence S1).
Laudit de l'adquation des paramtres de scurit dans un systme (UNIX, Windows NT
ou RACF, par exemple) doit comporter lexamen des politiques de scurit dfinies par la
direction (PO6), de lattribution des responsabilits dans ce domaine (PO4), des proc-
dures dvaluation des risques (PO9) et des procdures de contrle de la conformit aux
politiques de scurit (S1). Lauditeur peut estimer que les paramtres sont adquats,
mme sils ne correspondent aux meilleures pratiques telles quil les conoit, au vu du
risque identifi par la direction et des rgles fixes par celle-ci pour la gestion de ce
niveau de risque. Les recommandations de lauditeur doivent concerner tant la gestion
des risques ou les politiques adoptes (qui ne font pourtant pas explicitement partie du
primtre de la mission) que les paramtres dtaills.
2. PLANIFICATION
Les contrles de pilotage pertinents Dfinition dune approche

Selon les normes de lISACA, lauditeur doit procder une valuation prliminaire des
contrles en place pour la fonction audite. Cette valuation prliminaire doit comporter
l'identification et l'valuation des contrles de pilotage. Les tests affrents ces contrles
peuvent tre raliss en marge de laudit spcifique en cours, tant donn quils
couvrent, de par leur nature, de nombreux aspects diffrents de lusage des systmes
d'information. Lauditeur doit donc dterminer sil peut sappuyer sur des travaux daudit
dj raliss dans ce domaine pour recenser et valuer ces contrles.
Lorsquil savre, au vu des travaux daudit, que les contrles de pilotage sont insuffi-
sants, lauditeur doit apprcier limpact de cette conclusion sur lapproche adopter pour
atteindre lobjectif de laudit. En effet :
sils sont efficaces, les contrles de pilotage peuvent contribuer donner lauditeur
une assurance en ce qui concerne les contrles dtaills ;
sils sont dficients, les contrles de pilotage peuvent rendre inoprants des contrles
dtaills rigoureux ou renforcer les faiblesses existantes au niveau des contrles
dtaills des systmes d'information.
SEPTEMBRE 2006
31-14
Mise en uvre de procdures daudit suffisantes

Lorsque les contrles de pilotage ont un impact potentiel significatif sur lobjectif de
laudit, il ne suffit pas de planifier uniquement un audit des contrles dtaills. Sil est
impossible ou irraliste dauditer les contrles de pilotage, cette restriction de ltendue
de la mission doit tre signale. Lauditeur doit prvoir des tests sur les contrles de pilo-
tage pertinents lorsque ces tests contribuent la ralisation de lobjectif de laudit
[mme s'ils ne font pas partie du primtre initial de la mission d'audit].
Contrles pertinents
Les contrles de pilotage pertinents sont ceux qui ont un impact sur les objectifs spci-
fiques daudit fixs pour la mission. Par exemple, lorsque lobjectif de laudit est de
prsenter un rapport sur les contrles relatifs aux modifications apportes une biblio-
thque de programmes, les contrles de pilotage affrents aux politiques de scurit
(PO6) seront pertinents, mais ceux qui concernent la dfinition des orientations techno-
logiques (PO3) peuvent ne pas ltre.
Pour planifier laudit, lauditeur doit recenser, parmi tous les contrles de pilotage, ceux
qui ont un impact sur les objectifs spcifiques de laudit et les inclure dans le primtre
de laudit. Les objectifs de contrle du COBIT pour les rubriques Planification et organi-
sation et Surveillance peuvent aider lauditeur interne identifier les contrles de pilo-
tage pertinents.
Preuves daudit
Il nest pas impratif que les contrles de pilotage soient documents, mais lauditeur
devra recueillir des preuves daudit attestant dun fonctionnement efficace des contrles
pertinents. La section de la prsente MPA, consacre la ralisation des travaux daudit,
contient des indications sur les tests qui peuvent tre effectus.
Les contrles dtaills pertinents Dfinition dune approche

Sil ressort des travaux daudit que les contrles de pilotage sont satisfaisants, lauditeur
doit envisager de rduire le niveau des tests prvus pour les contrles informatiques
dtaills, car les lments attestant de lefficacit des contrles de pilotage renforcent
lassurance que lauditeur peut acqurir en ce qui concerne les contrles informatiques
dtaills.
Sil ressort des travaux daudit informatique que les contrles de pilotage ne sont pas
satisfaisants, lauditeur doit raliser des tests suffisants sur les contrles dtaills afin
dtablir quils fonctionnent de faon efficace malgr les dficiences des contrles de
pilotage.
SEPTEMBRE 2006
31-15
3. RALISATION DES TRAVAUX DAUDIT
Tests sur les contrles de pilotage

Lauditeur doit effectuer des tests suffisants pour acqurir lassurance que les contrles
de pilotage pertinents fonctionnaient de faon efficace au cours de la priode audite ou
une date donne. Les procdures de test peuvent inclure les travaux suivants :
observation ;
tests de confirmation ;
examen des documents pertinents (procdures, normes, comptes-rendus de runions,
etc.) ;
retraitement ( laide des techniques daudit assistes par ordinateur, par exemple).
Si les tests effectus sur les contrles de pilotage pertinents montrent quils sont satis-
faisants, lauditeur procde alors comme prvu laudit des contrles dtaills qui sont
directement applicables compte tenu de lobjectif de laudit. Ltendue de ces tests peut
tre infrieure celle qui aurait t approprie si les contrles de pilotage ne fonction-
naient pas de faon satisfaisante.
4. RAPPORTS
Faiblesses des contrles de pilotage

Lorsque lauditeur a identifi des faiblesses au niveau des contrles de pilotage, ces
faiblesses doivent tre portes lattention de la direction, et ce mme si les points exa-
mins ntaient pas expressment mentionns dans le primtre des travaux arrt dun
commun accord.
tendue des travaux Restrictions du primtre daudit

Lorsque les contrles de pilotage peuvent avoir une incidence significative sur lefficacit
des contrles informatiques dtaills et quils nont pas t audits, lauditeur doit en
informer la direction dans le rapport final, en indiquant limpact potentiel sur les obser-
vations, conclusions et recommandations formules suite laudit. Par exemple, lors-
quun auditeur prsente un rapport daudit sur lacquisition dun progiciel sans avoir exa-
min la stratgie informatique de lorganisation, il doit mentionner dans le rapport que la
stratgie informatique ne lui a pas t prsente ou nexiste pas. Le cas chant, laudi-
teur doit indiquer limpact potentiel que cela peut avoir sur ses observations, conclusions
et recommandations. Il mentionnera, par exemple, quil nest pas possible dindiquer si
lacquisition du progiciel est conforme la stratgie informatique et si elle contribuera
la ralisation des projets futurs de lentreprise.
SEPTEMBRE 2006
31-16
MPA 2100-12 :
Externalisation des activits relatives aux systmes dinformation


laudit des systmes dinformation) intitule Outsourcing of IS Activities to Other
Organizations (Infogrance) document G4. Cette directive daudit des systmes
dinformation a t publie par lISACA en septembre 1999. Elle a t utilise et adopte
avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique

lorsquils effectuent un audit des activits informatiques sous-traites. La prsente MPA
na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune
mission dassurance intgre ou de conseil lie laudit dactivits informatiques sous-
traites. Elle a seulement pour objet de recommander la prise en compte dun ensem-
ble dlments lors de la planification dtaille des travaux daudit.
Points prendre en compte avant laudit
1. Le responsable de laudit doit sassurer que le service daudit interne dispose ou peut
accder des ressources daudit indpendantes (1) et comptentes pour procder
laudit des activits informatiques sous-traites une autre organisation, et pour va-
luer les risques correspondants.
2. En matire daudit des fournisseurs dinfogrance, les droits du client sont souvent
mal dfinis. Il en va de mme pour les responsabilits en matire daudit de confor-
mit. Il appartient au responsable de laudit et/ou lauditeur dsign cet effet de
dterminer, en coopration avec les services Juridique, Gestion des contrats et/ou tout
autre service comptent, dans quelle mesure le contrat dinfogrance prvoit laudit
du prestataire de services et si les clauses y affrentes sont appropries. Le cas
chant, un spcialiste juridique doit tre consult.
(1) Il y a indpendance si lauditeur na pas t impliqu dans les oprations de planification, de slection
ou de conclusion dun contrat relatives aux activits informatiques sous-traites.
SEPTEMBRE 2006
31-17
3. Le responsable de laudit et/ou lauditeur dsign doit galement tudier la possibi-

lit de sappuyer, le cas chant, sur les travaux daudit informatique raliss soit par
les auditeurs internes du prestataire de services, soit par un tiers indpendant solli-
cit par ce prestataire. La possibilit de raliser un audit et/ou de sappuyer sur les
travaux dun tiers doit tre tudie pralablement laudit.
Points lis la planification
1. Enqute pralable
Lauditeur doit prendre connaissance de la nature, du calendrier et de ltendue des
services sous-traits. Il doit dterminer les contrles mis en place par lutilisateur des
services afin de rpondre la ncessit pour lentreprise de sassurer que les rles et
responsabilits des tiers sont clairement dfinis et respects, et quils continuent de
rpondre aux besoins (COBIT, objectif de contrle gnral DS2 grer les services
assurs par des tiers ).
Les risques associs aux services sous-traits doivent tre identifis et valus.
Lauditeur doit valuer dans quelle mesure les contrles de lutilisateur des services
donnent une assurance raisonnable que les objectifs de lentreprise seront atteints, et
que les vnements non souhaits seront vits ou dtects et leurs effets corrigs.
2. Planification
Lauditeur doit valuer les rapports daudit dj tablis lattention du prestataire de

services et planifier les travaux daudit des systmes dinformation de faon
rpondre aux objectifs daudit applicables lenvironnement du prestataire de
services, en tenant compte des informations obtenues durant la planification.
Les objectifs de laudit doivent tre fixs dun commun accord avec la direction de
lutilisateur des services avant dtre communiqus au prestataire de services. Tout
changement demand par le prestataire de services doit tre approuv par la direc-
tion de lutilisateur des services.
Lauditeur doit planifier les travaux daudit des systmes dinformation de faon
satisfaire aux normes professionnelles daudit en vigueur, comme si laudit tait
ralis dans lenvironnement de lutilisateur des services.
Ralisation de laudit
1. Preuves daudit requises

Laudit doit tre ralis comme si le service tait fourni dans lenvironnement infor-
matique de lutilisateur des services.
SEPTEMBRE 2006
31-18
2. Accord avec le prestataire de services

Lauditeur doit examiner les points suivants :
existence dun accord formel entre le prestataire de services et lutilisateur des
services,
insertion dans le contrat dinfogrance dune clause indiquant expressment que le
prestataire de services est tenu de respecter toutes les obligations juridiques appli-
cables ses activits ainsi que les lois et rglements affrents aux fonctions quil
devra remplir pour le compte de lutilisateur des services,
insertion dans le contrat dinfogrance dune clause stipulant que les oprations
ralises par le prestataire de services sont soumises des contrles et des audits
comme si elles taient ralises par lutilisateur des services, lui-mme,
mention dans le contrat sign avec le prestataire de services dune clause daudit,
existence de contrats rgissant les services et les procdures de suivi de leur ex-
cution,
respect des politiques de scurit de lutilisateur des services,
caractre adquat des accords conclus par le prestataire de services en matire
dassurance contre les dtournements et le vol,
caractre adquat des politiques et procdures du prestataire de services en
matire de personnel.
3. Gestion des services sous-traits

Lauditeur doit vrifier que :
les processus de production des informations utilises pour vrifier la conformit
aux contrats de services font lobjet de contrles appropris,
en cas de non-respect des contrats de services, lutilisateur des services a recher-
ch une solution et des mesures correctives ont t envisages afin datteindre le
niveau de service convenu,
lutilisateur des services a la capacit et les comptences requises pour procder
au suivi et lexamen des services fournis.
4. Rduction du primtre daudit

Sil savre que le prestataire de services nest pas dispos cooprer avec lauditeur,
ce dernier en informe la direction de lutilisateur des services et le responsable de
laudit.
Rapports
Ds lachvement des travaux daudit, lauditeur doit prsenter un rapport sous une forme
approprie aux destinataires concerns au sein de lorganisation utilisatrice des services.
SEPTEMBRE 2006
31-19
Lauditeur doit envisager dexaminer le rapport avec le prestataire de services avant sa

diffusion, mais il ne doit pas tre responsable de lmission du rapport final adress au
prestataire. Si le prestataire de services doit recevoir un exemplaire, celui-ci doit provenir,
en principe, de la direction de lutilisateur des services.
Le rapport doit mentionner toutes les restrictions acceptes le cas chant par lauditeur
ou la direction de lutilisateur des services en ce qui concerne sa diffusion. Par exemple,
le prestataire de services ne doit pas tre autoris transmettre un exemplaire du rapport
dautres utilisateurs de ses services sans laccord de lorganisation de lauditeur et, le
cas chant, de lutilisateur des services. Lauditeur doit galement envisager dinsrer
une mention afin de dcliner toute responsabilit vis--vis des tiers.
En cas de refus daccorder les droits daccs ncessaires laudit, le rapport daudit doit
mentionner clairement les restrictions apportes ltendue des contrles et expliquer
leur incidence sur laudit.
Oprations de suivi
Lauditeur doit demander tant lutilisateur des services quau prestataire de services les
informations appropries concernant les observations, conclusions et recommandations
formules prcdemment, comme si laudit avait t ralis dans lenvironnement de
lutilisateur des services. Lauditeur doit dterminer si des mesures correctives appro-
pries ont t mises en uvre dans des dlais adquats par le prestataire de services.
SEPTEMBRE 2006
31-20
MPA 2100-13 :
Incidence des prestataires (1) sur les contrles informatiques dune organisation


laudit des systmes dinformation) intitule Effect of Third Parties on an Organizations
IT Controls (Incidence des prestataires sur les contrles informatiques dune organi-
sation) document G16. Cette directive daudit des systmes dinformation a t publie
par lISACA en mars 2002. Elle a t utilise et adopte avec lautorisation de lISACA.
En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/
procdure publie par lISACA, lISACA navalise pas les changements apports et nen
garantit pas lexactitude.

lorsquils effectuent un audit de lincidence des prestataires sur les contrles informa-
tiques dune organisation. La prsente MPA na pas pour but de dcrire toutes les
procdures mettre en uvre dans le cadre dune mission dassurance intgre ou de
conseil relative lincidence des prestataires sur les contrles informatiques dune orga-
nisation. Elle a seulement pour objet de recommander la prise en compte dun
ensemble dlments lors de la planification dtaille des travaux daudit.
1. SERVICES OFFERTS PAR LES PRESTATAIRES

Les organisations utilisent lInternet et les intranets des fins diverses, notamment
pour permettre leurs salaris, leurs fournisseurs et leurs clients daccder des
applications existantes et/ou nouvelles dans les domaines des ressources humaines,
de la finance, des ventes et des achats. Dans bien des cas, cet accs est accord par
lintermdiaire dun ou plusieurs prestataires.
Les prestataires peuvent fournir les services suivants :
connectivit des rseaux internes lInternet ;
connectivit avec les partenaires de lorganisation grce des rseaux virtuels
privs ou extranets ;
(1) Dans cette Modalit Pratique dApplication, le terme prestataire signifie toute entit interne ou externe
fournissant des services lorganisation.
SEPTEMBRE 2006
31-21
connectivit avec les clients grce la technologie sans fil ;

dveloppement de sites Web ;
maintenance, gestion et contrle de sites Web ;
services de scurit lis aux sites Web ;
mise disposition dun site physique pour le matriel ( co-hbergement ) ;
contrle de laccs aux systmes et aux applications ;
services de sauvegarde et de rcupration ;
dveloppement, maintenance et hbergement dapplications (comme les systmes
ERP ou les systmes de commerce lectronique) ;
services aux entreprises, notamment en matire de gestion de trsorerie, cartes de
crdit, traitement de commandes et centres dappel.
2. RISQUES ASSOCIS AU RECOURS DES PRESTATAIRES

Quand une organisation a recours des prestataires, ces derniers deviennent un l-
ment cl du dispositif de contrle de lorganisation. Cette incidence peut provenir
notamment des facteurs suivants :
viabilit conomique du prestataire ;
accs des prestataires des informations transmises via leurs systmes et appli-
cations de communication ;
disponibilit des systmes et applications ;
intgrit du traitement ;
dveloppement dapplications et processus de gestion des modifications ;
protection des systmes et des actifs informationnels grce des mesures de sau-
vegarde/rcupration, des plans de secours et la redondance.
Effets sur les contrles des prestataires

Les prestataires peuvent devenir un lment cl des contrles dune organisation et
de la ralisation de ses objectifs de contrle. Lauditeur doit valuer les services
fournis par les prestataires en tenant compte de leur incidence sur lenvironnement
informatique, les contrles y affrents et les objectifs de contrle.
Une organisation qui fait appel des prestataires des fins limites, comme les ser-
vices de co-hbergement ne peut sen remettre que dans une mesure limite aux
contrles des prestataires pour atteindre ses objectifs de contrle. En revanche, une
organisation qui fait appel des fournisseurs dautres fins, telles que lhbergement
de systmes de comptabilit gnrale et de commerce lectronique, sappuie sur les
contrles des prestataires soit entirement, soit en les associant ses propres
contrles, afin de raliser ses objectifs de contrle.
SEPTEMBRE 2006
31-22
De mme, la capacit de lorganisation atteindre ses objectifs de contrle peut tre

renforce ou affaiblie par lefficacit ou linefficacit relative des contrles mis en
place par les prestataires. Les faiblesses peuvent rsulter de nombreuses causes,
notamment :
de lacunes dans lenvironnement de contrle lies la sous-traitance de services
des prestataires ;
de contrles mal conus et par consquent inefficaces ;
dun manque de connaissances et/ou dexprience du personnel responsable des
fonctions de contrle ;
dune confiance excessive dans les contrles mis en place par les prestataires (en
labsence de contrles compensatoires au sein de lorganisation).
Des contrles insuffisants et/ou des lacunes dans la conception, la ralisation ou
lefficacit des contrles peuvent entraner les consquences suivantes :
perte du caractre confidentiel et priv des informations ;
systmes inutilisables en cas de besoin ;
accs et modifications non autoriss aux systmes, aux applications ou aux
donnes ;
modifications des systmes, applications ou donnes entranant une dfaillance
des systmes ou des dispositifs de scurit, une perte de donnes, une perte
dintgrit des donnes, labsence de protection des donnes ou une panne des
systmes ;
perte de ressources systmes et/ou dactifs informationnels ;
augmentation des cots supports par lorganisation suite aux problmes noncs
ci-dessus.
3. PROCDURES METTRE EN UVRE DANS LE CADRE DE LAUDIT
Acquisition dune bonne comprhension des processus

Dans le cadre du processus de planification, lauditeur doit acqurir et documenter
une bonne comprhension de la relation entre les services fournis par le prestataire
et lenvironnement de contrle de lorganisation. Lauditeur doit envisager notamment
un examen du contrat de services et des procdures en place entre le prestataire et
lorganisation.
Lauditeur doit accomplir les tches suivantes :
documenter les processus et les contrles du prestataire qui ont une incidence
directe sur les processus et les objectifs de contrle de lorganisation ;
identifier chaque contrle, sa localisation dans lenvironnement de contrle global
(interne ou externe), le type de contrle, sa fonction (prvention, dtection ou
mesure corrective) et lorganisation qui remplit cette fonction (interne ou externe) ;
SEPTEMBRE 2006
31-23
valuer les risques associs aux services que le prestataire fournit lorganisation,
ses contrles et ses objectifs de contrle ;
dterminer lincidence des contrles mis en place par le prestataire sur la capacit
de lorganisation remplir ses objectifs de contrle ;
confirmer sa comprhension de lenvironnement de contrle, notamment par des
enqutes et des observations directes ainsi que des tests de cheminement sur les
transactions.
valuation de limpact des contrles raliss par des prestataires

Si les contrles du prestataire ont un impact significatif sur les objectifs de contrle
de lorganisation, lauditeur doit valuer ces contrles afin de dterminer sils fonc-
tionnent comme prvu, de faon efficace, et sils contribuent la ralisation des
objectifs de contrle de lorganisation.
valuation des faiblesses lies aux contrles

Les auditeurs doivent valuer la probabilit quil existe, dans lenvironnement infor-
matique, des faiblesses lies lexistence, la conception ou au fonctionnement des
contrles. Lauditeur doit identifier les domaines dans lesquels les contrles prsen-
tent des faiblesses.
Lauditeur doit ensuite dterminer si le risque dchec des contrles est significatif et
quelle est son incidence sur lenvironnement de contrle.
Lorsque des faiblesses sont dtectes, lauditeur doit dterminer sil existe des
contrles compensatoires permettant de pallier lincidence des faiblesses identifies
(ces contrles compensatoires peuvent exister dans lorganisation, chez le prestataire
ou dans les deux entits). Sil existe des contrles compensatoires, lauditeur doit
dterminer dans quelle mesure ils attnuent limpact des faiblesses dtectes.
4. CONTRATS CONCLUS AVEC LES PRESTATAIRES DE SERVICES
Rles et responsabilits
La relation entre lorganisation et un prestataire doit tre formalise par le biais dun
contrat sign. Le contrat est un lment essentiel et contient de nombreuses dispo-
sitions qui rgissent les actions et les responsabilits de chaque partie.
Lauditeur doit examiner le contrat (le cas chant avec laide du conseil juridique de
son organisation) afin de dterminer le rle et les responsabilits du prestataire en ce
qui concerne sa contribution la ralisation des objectifs de contrle de lorgani-
sation.
SEPTEMBRE 2006
31-24
Les recommandations relatives aux modalits dexamen des contrats nentrent pas
dans le champ dapplication de la prsente MPA ; toutefois, la liste ci-aprs contient
des exemples de points examiner :
niveau de service exig du prestataire (que ce soit vis--vis de lorganisation, de ses
partenaires ou des deux) ;
caractre raisonnable des tarifs pratiqus par le prestataire ;
responsabilits en matire de confidentialit des donnes et applications ;
responsabilits au titre des contrles daccs et de ladministration des systmes,
des communications, du systme dexploitation, des programmes utilitaires, des
donnes et des logiciels dapplication ;
suivi des actifs et des donnes et rponses correspondantes (organisation et pres-
tataire) et procdures dmission des rapports (routine, incidents) ;
dispositions concernant la proprit des actifs informationnels, notamment pour les
donnes et les noms de domaine ;
dispositions concernant la proprit des programmes que le prestataire dveloppe
sur mesure pour lorganisation, y compris en ce qui concerne la documentation rela-
tive aux modifications, le code source et les contrats de dpt ;
dispositions concernant la protection des systmes et des donnes, notamment en
matire de sauvegardes et rcupration, dlaboration dun plan de secours et de
redondance ;
clause mentionnant le droit de raliser un audit (y compris, par exemple, la possi-
bilit de rencontrer le personnel du service daudit interne du prestataire et de
revoir leurs documents de travail et leurs rapports daudit) ;
processus de ngociation, de revue et dapprobation des modifications apportes au
contrat et aux documents annexes (tels que les accords dcrivant les services et les
procdures).
Lauditeur doit, au minimum, examiner le contrat afin de dterminer ltendue des
responsabilits acceptes par le prestataire au titre des contrles effectus pour le
compte de lorganisation. Ce processus doit permettre lauditeur dapprcier si les
contrles identifis et le systme de reporting/contrle de conformit sont suffisants,
et dvaluer leur conception et leur efficacit oprationnelle.
Gouvernement dentreprise
Mme lorsque des prestataires sont impliqus, la direction de lorganisation demeure
responsable de la ralisation des objectifs de contrle. Dans le cadre de cette respon-
sabilit, il appartient aux membres de la direction de mettre en place un processus
rgissant la relation avec le prestataire et les performances de ce dernier. Lauditeur
doit identifier et revoir les composantes de ce processus. Il doit notamment examiner
le processus mis en uvre par la direction pour identifier les risques associs au pres-
tataire, les services rendus par celui-ci et la faon dont les membres de la direction
grent la relation entre les deux entits.
SEPTEMBRE 2006
31-25
Lexamen du processus de gestion des relations avec les prestataires doit permettre
lauditeur de dterminer notamment si les membres de la direction valuent les pres-
tataires par rapport aux normes ou aux critres de performance mentionns dans le
contrat et, le cas chant, par rapport aux normes fixes par les instances rglemen-
taires. Ce processus doit comporter notamment lexamen des points suivants :
rsultats financiers du prestataire ;
respect des clauses du contrat ;
modification de lenvironnement de contrle selon les recommandations du presta-
taire, de ses auditeurs et/ou des instances rglementaires ;
rsultats des contrles effectus par dautres, notamment par les auditeurs ou les
consultants du prestataire ou par dautres personnes ou organismes ;
existence de contrats dassurance assortis de garanties adquates.
5. REVUE DES CONTRLES DU PRESTATAIRE
Aspects contractuels
Dans le cadre de la revue des contrles du prestataire, lauditeur doit examiner la rela-
tion contractuelle entre lorganisation et le prestataire, ainsi que lvaluation et les
rapports tablis par le prestataire sur ses contrles.
Certaines clauses du contrat peuvent empcher lauditeur de procder une revue
des contrles dans les locaux du prestataire. Dans ce cas, il appartient lauditeur
dapprcier limpact de cette limitation de primtre sur sa capacit valuer lenvi-
ronnement de contrle des systmes dinformation.
Rapports indpendants
Les prestataires peuvent fournir sur leurs contrles des rapports manant de sources
indpendantes. Ces rapports peuvent prendre la forme de rapports daudit mis par
une socit de traitement faon ou dautres rapports tablis suite des contrles.
Les auditeurs peuvent se servir de ces rapports afin de sappuyer sur les contrles
relatifs lenvironnement de contrle des systmes dinformation.
Si lauditeur dcide dutiliser un rapport indpendant pour sappuyer sur les contrles
des systmes dinformation en place chez le prestataire, il doit alors examiner ce
rapport et vrifier les points suivants :
la partie indpendante est comptente ; cette vrification peut consister dter-
miner si cette partie est titulaire dune licence ou dun agrment professionnel
appropri, si elle possde une exprience adapte et si elle jouit dune bonne rpu-
tation auprs des instances professionnelles et (le cas chant) rglementaires ;
la partie indpendante nentretient avec le prestataire aucune relation de nature
altrer son indpendance et son objectivit ;
SEPTEMBRE 2006
31-26
la priode couverte par le rapport ;

le rapport est suffisant (autrement dit il couvre les systmes et les contrles en
cause et il fait tat de tests dans les domaines que lauditeur aurait examins sil
avait effectu les travaux) ;
les tests sur les contrles sont suffisants pour permettre lauditeur de sappuyer
sur les travaux de la partie indpendante (autrement dit les tests effectus sur les
contrles sont suffisants pour ce qui est de la nature, du calendrier et de ltendue
des procdures mises en uvre) ;
le rapport dlimite les responsabilits du prestataire de services et celles de lorga-
nisation utilisatrice ;
lorganisation utilisatrice a dfini ses responsabilits en matire de contrles appro-
pris.
Tests sur les contrles des prestataires

Si lauditeur dcide de revoir et de tester directement les contrles en place chez un
prestataire, il doit procder comme suit :
cooprer avec les cadres dirigeants et, le cas chant, avec le service daudit
interne du prestataire afin de planifier la mission, de fixer les objectifs et ltendue
de la revue, et de prciser le calendrier, les besoins en termes deffectifs et tout
autre point ;
examiner les questions telles que laccs aux systmes et aux actifs du prestataire,
ainsi que la confidentialit ;
laborer un programme daudit et un plan de mission et dterminer le budget ;
valider les objectifs de contrle.
Une fois les travaux sur place termins, lauditeur doit parvenir une conclusion sur
lefficacit oprationnelle des contrles tests. Il doit examiner lefficacit des
contrles au sein de son organisation et chez le prestataire de services et linteraction
quil peut exister entre les contrles existant au sein de chaque partie. Dans la plupart
des cas, les contrles effectus par lorganisation et par le prestataire se chevauche-
ront. Lauditeur doit valuer lefficacit oprationnelle des contrles considrs
globalement par rapport lefficacit des contrles pris individuellement.
Il peut arriver dans certains cas que, pour un objectif donn, il nexiste pas de
contrles au sein de lorganisation ou chez le prestataire, ou que les contrles en
place ne fonctionnent pas de faon efficace. En outre, il peut galement arriver que
les points forts existant dans une organisation soient partiellement ou entirement
remis en cause par les lacunes constates dans lautre organisation. Dans ce cas,
lauditeur doit valuer limpact de ces lacunes sur lenvironnement de contrle global
et sur ltendue des procdures.
SEPTEMBRE 2006
31-27
Service daudit interne du prestataire

Lauditeur doit examiner si le prestataire possde un service daudit interne. La
prsence dauditeurs internes peut amliorer la qualit de lenvironnement de
contrle. Sil existe un service daudit interne, lauditeur doit vrifier ltendue de ses
activits pour les systmes et les contrles qui affectent lorganisation.
Lauditeur doit procder si possible une revue des rapports daudit interne perti-
nents. Sil nest pas possible de revoir ces rapports, lauditeur doit analyser ltendue
des audits raliss, les systmes et les contrles couverts, ainsi que toute question ou
faiblesse significative identifie. Si le prestataire nest pas dispos accorder laccs
aux rapports, lauditeur doit valuer limpact de cette restriction sur ltendue des
procdures mettre en uvre.
Lauditeur doit galement envisager dvaluer les comptences et lexpertise des
membres du service daudit interne. Cette valuation peut tre ralise grce des
entretiens avec ces collaborateurs et des procdures complmentaires telles quune
revue de leurs plans de travail, de leurs documents de travail et de leurs rapports.
6. SOUS-TRAITANTS DES PRESTATAIRES
Lauditeur doit vrifier si le prestataire fait appel des sous-traitants pour la fourni-
ture de systmes et de services. En cas de recours des sous-traitants, lauditeur doit
examiner limportance de ces derniers, de faon dterminer leur impact ventuel
sur les contrles du prestataire qui ont un rapport avec lorganisation.
Si le sous-traitant na pas dimpact significatif sur les contrles applicables lorga-
nisation, lauditeur doit documenter ce point dans ses documents de travail. Sil est
tabli que limpact sur les contrles applicables lorganisation est significatif, lau-
diteur doit valuer les processus mis en uvre par le prestataire pour grer la relation
avec le sous-traitant et en effectuer le suivi. Lauditeur doit se rfrer aux sections 4
et 5 de la prsente MPA pour procder cette valuation.
7. RAPPORTS
Le rapport de lauditeur doit indiquer que laudit a port tant sur les contrles effec-
tus au sein de lorganisation que sur ceux mis en place par le prestataire. Lauditeur
doit envisager didentifier les contrles, les faiblesses et les contrles compensatoires
qui existent de part et dautre. La liste de diffusion des conclusions et des recom-
mandations doit tre tablie en tenant compte de la relation entre lorganisation et le
prestataire. Il peut savrer que certains prestataires ne soient pas disposs mettre
en uvre les recommandations ou ne soient pas en mesure de le faire. Dans ce cas,
lauditeur doit recommander des contrles compensatoires que lorganisation pourra
mettre en place pour remdier aux lacunes constates chez le prestataire.
SEPTEMBRE 2006
31-28
MPA 2100-14 :
Preuves daudit rassembler


laudit des systmes dinformation) intitule Audit Evidence Requirement (lments
probants rassembler) document G2. Cette directive daudit des systmes dinforma-
tion a t publie par lISACA en dcembre 1998. Elle a t utilise et adopte avec lau-
torisation de lISACA. En cas de divergence entre la prsente Modalit Pratique

quils procdent un audit informatique. La prsente MPA na pas pour but de dcrire
toutes les procdures mettre en uvre dans le cadre dune mission dassurance int-
gre ou de conseil lie laudit des systmes dinformation. Elle a seulement pour objet
de recommander la prise en compte dun ensemble dlments lors de la planification
dtaille des travaux daudit.
1. PLANIFICATION
Diffrents types dlments probants

Lors de la planification des travaux daudit informatique, lauditeur doit tenir compte
du type de preuves daudit rassembler, de leur utilisation en tant que preuves
daudit afin de remplir les objectifs de laudit et de leurs degrs variables de fiabilit.
Il convient de considrer notamment lindpendance et les comptences de la per-
sonne dont proviennent ces preuves. Par exemple, les pices affrentes aux tests de
confirmation effectus par un tiers indpendant peuvent prsenter une plus grande
fiabilit que les lments probants provenant de lorganisation audite. Les preuves
tangibles sont gnralement plus fiables que les dclarations de personnes.
Parmi les divers types de preuves daudit que lauditeur doit envisager de rassembler,
ont peut citer :
les processus observs et lexistence dlments matriels,
la documentation des preuves daudit,
SEPTEMBRE 2006
31-29
les informations recueillies auprs des personnes,

lanalyse.
Les processus observs et lexistence dlments matriels peuvent comporter lexa-

men dactivits, de biens et de fonctions des systmes dinformation, tels que :
linventaire des supports dtenus dans un site de stockage extrieur,
le fonctionnement du systme de scurit dune salle informatique.
Les documents sur support papier ou sur tout autre support comprennent notam-
ment :
les rsultats dextractions de donnes,
les enregistrements relatifs aux transactions,
les tats dits partir de programmes informatiques,
les factures,
les journaux dactivit et de contrle,
la documentation relative au dveloppement des systmes.
Les informations recueillies auprs des personnes audites peuvent servir de preuves
daudit et revtir la forme suivante :
politiques et procdures crites,
organigrammes des systmes,
dclarations crites ou orales.
Les rsultats de lanalyse des informations recueillies, par le biais de comparaisons,
simulations, calculs et raisonnements, peuvent galement servir de preuves daudit.
On peut citer titre dexemple :
lanalyse comparative des performances des systmes dinformation par rapport
dautres organisations ou aux priodes prcdentes,
la comparaison des taux derreur entre les applications, les transactions et les uti-
lisateurs.
Dure des preuves daudit

Lauditeur doit tenir compte de la priode durant laquelle les informations existent ou
sont disponibles pour dterminer la nature, le calendrier et ltendue des tests de
confirmation, et, le cas chant, des tests de conformit. Par exemple, les preuves
daudit faisant lobjet dun change de donnes informatises, dune numrisation,
ou celles traites par des systmes dynamiques comme les tableurs, risquent de ne
pas tre rcuprables aprs un certain laps de temps si les modifications apportes
aux fichiers ne sont pas contrles ou si les fichiers ne sont pas sauvegards.
SEPTEMBRE 2006
31-30
Slection des preuves daudit

Lauditeur doit slectionner les meilleures preuves daudit possibles compte tenu de
limportance de lobjectif de laudit dune part, et du temps et des efforts consacrs
la collecte de ces lments dautre part. Lorsque les preuves daudit obtenues sous
la forme de dclarations verbales jouent un rle essentiel dans son opinion ou sa
conclusion, lauditeur doit envisager dobtenir la confirmation de ces dclarations par
des documents sur support papier ou sur tout autre support.
2. RALISATION DES TRAVAUX DAUDIT
Nature des preuves daudit

Les preuves daudit doivent tre suffisantes, fiables, pertinentes, et utiles pour
formuler une opinion ou pour tayer les observations et les conclusions de lauditeur.
Sil estime que les lments obtenus ne satisfont pas ces critres, lauditeur doit
obtenir des preuves daudit supplmentaires. Par exemple, ltat dit partir dun
programme informatique peut ne pas tre suffisant tant que dautres preuves daudit
nont pas t rassembles afin de vrifier que cet tat correspond bien au programme
rellement utilis au cours du processus de production.
Collecte des preuves daudit

Les procdures mises en uvre pour rassembler les preuves daudit varient selon le
systme dinformation audit. Lauditeur doit slectionner la procdure la mieux
approprie compte tenu de lobjectif de laudit. Les procdures suivantes doivent tre
envisages :
demande dinformations,
observation,
inspection,
confirmation,
nouvelle excution,
suivi.
Les procdures numres ci-dessus peuvent tre mises en uvre manuellement, soit
par le biais doutils assists par ordinateur, ou en combinant ces deux procds. Par
exemple :
lorsque des totaux de contrle manuels sont utiliss dans un systme pour vrifier
que les oprations de saisie de donnes sont quilibres, les preuves daudit attes-
tant que la procdure de contrle est en place peuvent revtir la forme dun rapport
rconcili et annot selon des modalits appropries. La collecte des preuves dau-
dit consistera pour lauditeur examiner et vrifier ce rapport au moyen de tests,
SEPTEMBRE 2006
31-31
il peut arriver que les enregistrements dtaills relatifs aux transactions ne soient
disponibles que sous un format lisible par une machine ; lauditeur doit alors recou-
rir aux techniques daudit assistes par ordinateur pour obtenir des preuves daudit.
Documentation de laudit
Les preuves daudit recueillies par lauditeur doivent tre correctement documentes
et structures de faon tayer ses observations et ses conclusions.
3. RAPPORTS
Lorsque lauditeur estime quil nest pas possible dobtenir des preuves daudit suffi-
santes, il doit en faire tat selon des modalits cohrentes avec celles adoptes pour
la communication des rsultats de laudit.
SEPTEMBRE 2006
31-32
2110
Management des risques

L'audit interne doit aider l'organisation en identifiant et
en valuant les risques significatifs et contribuer l'amlioration
des systmes de management des risques et de contrle.
MPA 2110-1
valuer le processus de management des risques
Les auditeurs internes peuvent tre amens vrifier, la demande du management

et du comit daudit, que lorganisation possde des processus de management des
risques adquats. Cette responsabilit implique que lauditeur mette un avis et
indique si le processus de management des risques de lorganisation est suffisant
pour protger les biens, la rputation et les activits de lorganisation. Lobjet de
la prsente MPA est de prciser les principaux objectifs dont lauditeur doit tenir
compte pour formuler son opinion sur le processus de management des risques de
lorganisation. Seules lvaluation de lefficacit du processus et sa communication
sont abordes ici. Dautres Modalits Pratiques dApplication traiteront de faon plus
approfondie des questions relatives aux contrles et aux missions de conseil. Selon la
prsente MPA, le dispositif de management des risques, qui fait partie des processus
importants de lorganisation, peut et doit tre valu comme tout autre processus
stratgiquement important.
1. La gestion des risques est une responsabilit majeure du management qui doit sas-
surer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement de
processus rigoureux de management des risques. Il incombe au Conseil et au comit
daudit de veiller ce que des processus de management des risques appropris, suffi-
sants et efficaces soient en uvre. Le rle des auditeurs internes consiste assister
le management et le comit daudit. A cet effet, ils doivent examiner et valuer les
processus de management des risques mis en uvre par le management, vrifier
quils sont suffisants et efficaces, puis mettre des rapports et des recommandations
en vue de leur amlioration. Le management et le Conseil sont responsables des pro-
cessus de management des risques et de contrle de leur organisation. Toutefois, les
auditeurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisa-
tion identifier, valuer et mettre en place un dispositif de management des
risques et des contrles permettant de matriser ces risques.
OCTOBRE 2002
32

Lvaluation des processus de management des risques est distinguer de lanalyse
des risques laquelle les auditeurs doivent procder pour tablir leur planification.
Cependant, les informations tires dun processus complet de management des
risques, et notamment lidentification des sujets de proccupation du management et
du Conseil, peuvent aider lauditeur interne planifier ses travaux daudit.
3. Chaque organisation peut adopter une mthodologie qui lui est propre pour la mise
en place dun processus de management des risques. Lauditeur interne doit sassurer
que les groupes ou individus impliqus dans le gouvernement d'entreprise, y
compris le Conseil et le comit daudit, matrisent cette mthodologie. Pour formuler
une opinion globale sur ladquation du dispositif de management des risques, les
auditeurs internes doivent galement sassurer que le processus de management des
risques de lorganisation rpond cinq objectifs principaux. Les cinq principaux
objectifs dun dispositif de management des risques sont les suivants :
les risques dcoulant des stratgies et des activits de lorganisation sont identifis
et hirarchiss ;
le management et le Conseil ont dtermin un niveau de risques acceptable pour
lorganisation, en tenant compte des risques lis la mise en uvre des plans stra-
tgiques de lorganisation ;
des mesures dattnuation des risques sont dfinies et mises en place afin de
rduire ou de grer les risques, compte tenu des seuils jugs acceptables par le
management et le Conseil ;
un suivi permanent des activits est effectu afin de rvaluer priodiquement les
risques et lefficacit des contrles permettant de les grer ;
des rapports concernant les rsultats des processus de management des risques
sont adresss priodiquement au Conseil et au management. Le processus de gou-
vernement d'entreprise doit fournir une prsentation priodique des risques, des
stratgies lies aux risques, et des contrles, destine aux parties prenantes de
lorganisation.
4. Les auditeurs internes doivent tenir compte des divergences significatives qui peuvent
exister sur les techniques de management des risques dune organisation l'autre.
Les processus de management des risques doivent tre conus en fonction de la
nature des activits de lorganisation. Selon limportance et la complexit de ces acti-
vits, les processus de management des risques peuvent tre :
formaliss ou informels ;
fonds sur une approche quantitative ou subjective ;
intgrs dans les diffrentes units de lorganisation ou centraliss au niveau du
sige.
OCTOBRE 2002
33
Le processus de chaque organisation doit tre adapt sa culture, son style de

management et ses objectifs. A titre dexemple, le recours par lorganisation des
instruments drivs ou dautres instruments financiers trs perfectionns, suppose
la mise en uvre doutils quantitatifs de management des risques. Les organisations
moins complexes et de taille plus modeste peuvent, en revanche, analyser le profil de
risque de lorganisation et prendre priodiquement des mesures dans le cadre dun
comit des risques informel. Lauditeur doit sassurer que la mthodologie retenue est
la fois exhaustive et adapte la nature des activits de lorganisation. Afin de se
forger une opinion sur les processus, les auditeurs internes doivent disposer dl-
ments suffisamment probants pour acqurir lassurance que les cinq principaux objec-
tifs des processus de management des risques sont bien remplis. Pour recueillir ces
lments, lauditeur interne peut recourir aux procdures daudit dcrites ci-aprs.
5. Rechercher et examiner des documents de rfrence et des informations dordre gn-

ral sur les mthodes de management des risques afin dapprcier si le processus mis en
uvre par lorganisation est appropri et sinspire des meilleures pratiques du secteur.
Rechercher et analyser des informations sur le secteur dactivit de lorganisation,
lvolution rcente et les tendances, ainsi que toute autre source dinformation
approprie, afin de dterminer les risques susceptibles daffecter lorganisation et
les procdures de contrle utilises pour grer, suivre et rvaluer ces risques.
Examiner les procdures de la socit ainsi que les procs-verbaux des dlibrations
du Conseil et du comit daudit afin de dterminer les stratgies de lorganisation,
son approche du management des risques, son attirance pour le risque et son
acceptation des risques.
Examiner les rapports dvaluation des risques prcdemment tablis par le mana-
gement, les auditeurs internes ou externes et, le cas chant, par tout autre inter-
venant.
Organiser des entretiens avec les responsables oprationnels et leurs managers afin
de dterminer les objectifs de chaque branche dactivit, les risques correspon-
dants, et les mesures de suivi, de contrle et dattnuation des risques prises par le
management.
Recueillir des informations afin dvaluer, en toute indpendance, lefficacit du
processus de suivi, de communication et dattnuation des risques, et des activits
de contrle correspondantes.
Dterminer si les informations ou rapports relatifs au suivi des risques sont adresss
au niveau hirarchique appropri.
Vrifier si les rapports concernant les rsultats du management des risques sont dif-
fuss selon des modalits et dans des dlais appropris.
Sassurer du caractre exhaustif de lanalyse des risques effectue par le manage-
ment et des mesures prises pour rsoudre les points soulevs dans le cadre du pro-
cessus de management des risques, et proposer des amliorations.
OCTOBRE 2002
34
Apprcier lefficacit du processus dauto-valuation mis en uvre par le manage-

ment, au moyen dobservations et de tests sur les procdures de suivi et de contrle
testant lexactitude des informations utilises dans le cadre des oprations de suivi,
et par dautres techniques appropries.
Examiner les signes de faiblesse ventuels du dispositif de management des risques
et, le cas chant, les analyser avec le management, le comit daudit et le Conseil.
Sil estime que le management a accept un niveau de risques non compatible avec
la stratgie et les procdures de lorganisation en matire de management des
risques, ou jug inacceptable pour lorganisation, lauditeur doit se rfrer la
Norme 2600 relative lacceptation des risques par le management, et toute
orientation complmentaire.
MPA 2110-2
Le rle de lAudit interne dans le processus de continuit des oprations

valuer lefficacit du processus de continuit des oprations. Garantir la continuit
des oprations dune organisation aprs un sinistre ncessite la mise en uvre de
nombreux processus. Le dveloppement dun plan complet passe par lvaluation de
limpact et des consquences dun sinistre potentiel ainsi que par lapprhension des
risques. (Le processus complet pour assurer la continuit dentreprise comprend,
entre autres, le plan de continuit des oprations et le plan de reprise aprs sinistre.)
Ces plans devraient tre labors, maintenus, tests et audits pour garantir quils
demeurent en phase avec les besoins de lorganisation.
1. Linterruption des oprations peut rsulter de phnomnes naturels et dinfractions

accidentelles ou dlibres. Ces interruptions peuvent avoir des rpercussions impor-
tantes sur les plans financier et oprationnel. Les auditeurs doivent apprcier la
capacit de lorganisation grer les interruptions dactivit et sa ractivit face
ceux-ci. Pour tre complet, un plan doit prvoir des procdures de rponse durgence,
des systmes alternatifs de communication ainsi quun site physique de secours, des
systmes dinformation de secours, un plan de reprise aprs sinistre, des valuations
dimpact sur lactivit, des plans de remise en service initial, des procdures de
restauration des services logistiques et des procdures de maintenance permettant de
sassurer que lorganisation est bien prpare en cas durgence ou de sinistre.
2. Laudit interne doit valuer rgulirement le processus dlaboration du plan de conti-

nuit des oprations de lorganisation et sassurer que la direction gnrale est
informe du degr de prparation de lorganisation la survenance dun sinistre.
JUIN 2004
35
3. De nombreuses organisations ne sattendent pas ce quun sinistre ou tout autre v-

nement imprvu provoque une interruption ou un ralentissement des oprations et
des processus normaux dactivit. Selon de nombreux experts, le problme nest pas
de savoir si un sinistre va se produire, mais quand il va se produire. Sur une longue
priode, une organisation va se trouver confronte un vnement entranant la perte
dinformations, de personnel ou des difficults daccs des biens corporels ou incor-
porels. Lexposition ce type de risques et la planification de la continuit des
oprations font partie intgrante du processus de management des risques dune
organisation. La planification pralable est ncessaire pour minimiser la perte et
assurer la continuit des fonctions critiques dune organisation. Elle peut permettre
lorganisation de garantir ses parties prenantes un niveau de services acceptable.
4. Lexistence dun plan de continuit des oprations complet et jour est capitale en
vue dassurer la reprise dactivit. Les auditeurs internes peuvent y jouer un rle.
Laudit interne peut (a) contribuer lanalyse des risques, (b) valuer le contenu et le
caractre exhaustif du plan aprs son laboration, et (c) accomplir des missions
dassurance priodiques afin de vrifier que le plan est mis jour.
PLANIFICATION
5. Les organisations sappuient sur les auditeurs internes pour analyser les oprations et
valuer les processus de management des risques et de contrle. Les auditeurs inter-
nes acquirent une bonne comprhension de lensemble des activits dexploitation,
des fonctions individuelles et des liens qui existent entre elles. Ceci fait de laudit
interne une ressource prcieuse pour valuer le plan de continuit des oprations tout
du long de son laboration.
6. Lactivit daudit interne peut aider valuer lenvironnement interne et externe dune
organisation. Les facteurs internes susceptibles dtre pris en compte incluent le
renouvellement de lquipe de direction, les changements apports aux systmes
dinformation, les contrles, ainsi que les principaux projets et programmes. Les fac-
teurs externes peuvent tre lvolution du cadre rglementaire et de lenvironnement
extrieur, des marchs et des conditions de concurrence, de la situation conomique
et financire internationale et des technologies. Les auditeurs internes peuvent aider
identifier les risques lis aux activits critiques et tablir un ordre de priorit entre
les fonctions en vue de la reprise.
VALUATION
7. Les auditeurs internes peuvent apporter une contribution en tant que participants
objectifs, en valuant la conception, le caractre exhaustif et adquat des projets de
plans de continuit des oprations et de reprise aprs sinistre. Lauditeur peut exa-
miner ces plans afin de vrifier quils reprennent les activits identifies au cours du
JUIN 2004
36
processus dvaluation des risques et quils contiennent des dispositions et des pres-
criptions suffisantes en termes de contrle interne. Grce sa connaissance appro-
fondie des activits et des applications de lorganisation, lauditeur interne peut
contribuer la phase dlaboration du plan de continuit des oprations en valuant
sa structure, son caractre exhaustif, ainsi que les mesures recommandes pour grer
les risques et maintenir un contrle interne efficace durant une priode de reprise.
MISSIONS PRIODIQUES DASSURANCE
8. Les auditeurs internes doivent procder priodiquement un audit des plans de conti-
nuit et de reprise des oprations de lorganisation. Lobjectif de cet audit est de vri-
fier que les plans permettront dassurer rapidement la reprise des activits et des pro-
cessus aprs des circonstances dfavorables, et quils refltent lenvironnement op-
rationnel actuel de lorganisation.
9. Le plan de continuit et le plan de reprise des oprations peuvent devenir trs rapi-
dement obsoltes. Ladaptation aux changements est un aspect incontournable des
fonctions de management. La rotation des dirigeants et des cadres, les changements
dans la configuration des systmes, dans les interfaces et les logiciels, peuvent avoir
un impact important sur ces plans. Laudit interne doit examiner le plan de reprise et
sassurer (a) quil est structur de faon incorporer les changements importants sus-
ceptibles de se produire au fil du temps et (b) que les plans rviss seront commu-
niqus aux personnes appropries, tant au sein de lorganisation qu lextrieur de
celle-ci.
10. Au cours de laudit, les auditeurs internes doivent se poser les questions suivantes :
Tous les plans sont-ils actualiss ? Existe-t-il des procdures concernant la mise
jour des plans ?
Les plans couvrent-ils toutes les fonctions oprationnelles et tous les systmes
critiques ? En cas de rponse ngative, ces omissions sont-elles motives et docu-
mentes ?
Les plans sont-ils fonds sur les risques et les consquences ventuelles des inter-
ruptions dactivit ?
Les plans sont-ils parfaitement documents et sont-ils conformes aux rgles et pro-
cdures de lorganisation ? Les responsabilits fonctionnelles sont-elles dfinies ?
Lorganisation est-elle capable de mettre les plans en uvre ? Y est-elle prpare ?
Les plans sont-ils tests et rviss en fonction des rsultats des tests ?
Les plans sont-ils conservs de faon sre et approprie ? La localisation des plans
et leur mode daccs sont-ils connus du management ?
JUIN 2004
37
Lemplacement des sites de secours est-il connu des salaris ?

Les plans prvoient-ils une coordination avec les services durgence locaux ?
LE RLE DE LAUDIT INTERNE APRS UN SINISTRE
11. Les auditeurs internes ont un rle important jouer juste aprs la survenance dun
sinistre. Une organisation est plus vulnrable lorsquelle tente de se redresser la
suite dun sinistre. Durant cette priode, les auditeurs internes doivent sassurer que
la reprise et la matrise des oprations sont effectives. Laudit interne doit identifier
les domaines dans lesquels les contrles internes et les mesures dattnuation des
risques doivent tre amliors. Ils doivent formuler des recommandations en vue
damliorer le plan de continuit des oprations de lentit. Laudit interne peut ga-
lement apporter un soutien durant les oprations de reprise.
12. Aprs le sinistre, gnralement en lespace de plusieurs mois, les auditeurs internes
peuvent aider tirer les enseignements du sinistre et des oprations de reprise. Ces
observations et ces recommandations peuvent renforcer les mesures prises pour
reconstituer les ressources et mettre jour la prochaine version du plan de continuit
des oprations.
13. En dfinitive, cest la direction gnrale qui dterminera le degr dimplication des
auditeurs internes dans les processus de continuit et de reprise des oprations
compte tenu de leurs connaissances, de leurs comptences, de leur indpendance et
de leur objectivit.
Dans le secteur Bancaire, le Comit de la Rglementation Bancaire et Financire

dans son rglement n 2004-02 modifiant le rglement n 97-02 stipule que les
entreprises assujetties doivent :
a) disposer de plans de continuit de lactivit ;
b) sassurer que leur organisation et la disponibilit de leurs ressources humaines,
immobilires, techniques et financires font lobjet dune apprciation rgu-
lire au regard des risques lis la continuit de lactivit ;
c) sassurer de la cohrence et de lefficacit des plans de continuit de lactivit
dans le cadre dun plan global qui intgre les objectifs dfinis par lorgane
excutif et, le cas chant, par lorgane dlibrant. (pour plus de dtails,
consulter le site www.banque-france.fr).
JUIN 2004
38
2120
Contrle
L'audit interne doit aider l'organisation maintenir
un dispositif de contrle appropri en valuant son efficacit
et son efficience et en encourageant son amlioration continue.
2120.A1
Sur la base des rsultats de l'valuation des risques,

l'audit interne doit valuer la pertinence et l'efficacit du dispositif
de contrle portant sur le gouvernement dentreprise,
les oprations et les systmes d'information de l'organisation.
Cette valuation doit porter sur les aspects suivants :
la fiabilit et lintgrit des informations financires et oprationnelles ;
lefficacit et lefficience des oprations ;
la protection du patrimoine ;
le respect des lois, rglements et contrats.
MPA 2120.A1-1
valuer les processus de contrle interne et en rendre compte
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
pour valuer lefficacit du dispositif de contrle dune organisation et pour rendre
compte des rsultats de cette valuation la direction gnrale et au Conseil. Les infor-
mations recueillies au cours de lexercice, dans le cadre des travaux daudit, doivent
tre suffisantes pour permettre lvaluation du dispositif de contrle et la formulation
dune opinion.
1. Le Conseil a notamment pour mission de mettre en place et maintenir des processus

de gouvernement dentreprise et dobtenir lassurance que les processus de manage-
ment des risques et de contrle sont efficaces. Le rle de la direction gnrale est de
superviser la mise en place, la gestion et lvaluation de ces processus. Ce systme
JUIN 2004
39
de contrle, multiples facettes, a pour but daider les collaborateurs de lorgani-

sation grer les risques et atteindre les objectifs fixs et diffuss au sein de
lorganisation. Plus prcisment, ces processus de contrle doivent permettre notam-
ment de sassurer que les conditions suivantes sont remplies :
les informations financires et oprationnelles sont fiables et rpondent au critre
dintgrit ;
les oprations sont ralises de manire efficace et efficiente ;
les actifs sont sauvegards ;
les actes accomplis et les dcisions prises par lorganisation sont conformes la loi,
la rglementation et aux contrats.
2. Il incombe aux managers de lorganisation dvaluer les processus de contrle mis en

place dans leurs domaines respectifs. Les auditeurs internes et les auditeurs externes
fournissent des niveaux divers dassurance quant au degr defficacit des processus
de management des risques et de contrle mis en uvre dans les activits et fonc-
tions choisies de lorganisation.
3. La direction gnrale et le Conseil sattendent gnralement ce que les travaux
accomplis et les informations recueillies par le responsable de l'audit interne au cours
de lexercice soient suffisants pour lui permettre de formuler un jugement sur la per-
tinence et lefficacit des processus de management des risques et de contrle. Le
responsable de l'audit interne doit communiquer la direction gnrale et au comit
d'audit ce jugement densemble sur le processus de management des risques et le
systme de contrle de lorganisation. Un nombre croissant dorganisations inclut,
dans les rapports annuels ou priodiques destins aux tiers, un rapport du manage-
ment sur le processus de gestion des risques et le systme de contrle interne.
4. Le responsable de l'audit interne doit laborer un projet de plan daudit, tabli en
principe pour lanne venir, qui assure que les lments recueillis permettront dap-
prcier lefficacit des processus de management des risques et de contrle. Ce plan
doit tenir compte de la ncessit de collecter, dans le cadre des missions daudit ou
des autres procdures mises en uvre, des informations pertinentes sur toutes les
fonctions et units oprationnelles importantes. Il doit comporter une revue des prin-
cipaux processus de gestion des risques en place dans lorganisation et mentionner
les principaux risques identifis grce ces processus. Il convient galement dac-
corder une attention particulire aux oprations spcialement affectes par les chan-
gements rcents ou prvus qui peuvent rsulter du march ou des conditions din-
vestissement, dacquisitions et de cessions ou de restructurations, et de nouvelles
affaires. Le plan propos doit tre suffisamment souple pour permettre une actuali-
sation en cours danne, en cas dvolution des stratgies du management, de lenvi-
ronnement extrieur, des principaux risques, ou en cas de rajustement des prvisions
relatives la ralisation des objectifs de lorganisation.
JUIN 2004
40
5. Lors de llaboration du projet de plan daudit, le responsable de l'audit interne doit

tenir compte des travaux qui seront effectus par des tiers. Pour minimiser les dou-
bles emplois et les pertes de temps, il convient dtablir le plan daudit de lexercice
venir en tenant compte des travaux planifis par les auditeurs externes et des tra-
vaux planifis ou raliss rcemment par le management dans le cadre de lvalua-
tion des processus de management des risques, de contrle et damlioration qualit.
6. Enfin, le responsable de l'audit interne doit valuer le plan propos et le champ

dintervention sous deux angles : il doit tre adapt toutes les entits de lorganisa-
tion et porter sur divers types de transactions et de processus dactivit. Si le champ
dintervention du plan daudit propos ne permet pas de formuler une assurance sur
les processus de management des risques et de contrle de lorganisation, le respon-
sable de l'audit interne doit informer la direction gnrale et le Conseil de ces
lacunes, de leurs causes et de leurs consquences probables.
7. Le dfi de laudit interne consiste valuer lefficacit du dispositif de management

des risques et de contrle de lorganisation sur la base de nombreuses valuations
individuelles. Ces valuations proviennent, pour une large part, de missions daudit
interne, dauto-valuations effectues par le management et des travaux des auditeurs
externes. Au fur et mesure de lavancement des missions, les auditeurs internes
doivent communiquer leurs observations aux responsables appropris, de telle sorte
que des mesures puissent tre prises rapidement afin de remdier aux faiblesses ou
anomalies constates ou den attnuer les consquences.
8. Lvaluation de lefficacit des processus de management des risques et de contrle

dune organisation doit tenir compte de trois lments cls :
Les travaux daudit et les informations recueillies dans le cadre des valuations ont-
ils mis en vidence des anomalies ou des faiblesses significatives ?
En cas de rponse positive, des corrections ou amliorations ont-elles t apportes
aprs constatation des anomalies ou des faiblesses ?
Ces anomalies ou faiblesses et leurs consquences sont-elles vraisemblablement
gnralises et entranent-elles de ce fait un degr inacceptable de risques ?
Lexistence temporaire dune anomalie ou dune faiblesse significative ne signifie pas

ncessairement que cette anomalie ou faiblesse est gnralise et quelle entrane un
risque rsiduel inacceptable. La nature des anomalies ou des faiblesses constates,
leur caractre restreint ou gnralis, ainsi que la gravit des consquences et des
risques, sont autant de facteurs prendre en compte pour dterminer si lefficacit
de lensemble du dispositif de contrle est remise en cause et sil existe des risques
inacceptables.
9. Le responsable de l'audit interne doit prsenter la direction gnrale et au Conseil,

gnralement une fois par an, un rapport sur ltat des processus de management des
JUIN 2004
41
risques et de contrle de lorganisation. Ce rapport doit souligner limportance du rle

jou par les processus de management des risques et de contrle dans la ralisation
des objectifs de lorganisation. Il doit galement mentionner les principaux travaux
raliss par laudit interne et les autres sources importantes dinformations sur les-
quelles repose lopinion dassurance densemble. La partie du rapport qui est consa-
cre lopinion est gnralement formule en terme dassurance ngative ; c'est--
dire qu'il doit prciser que les travaux daudit effectus pour la priode concerne et
les autres informations recueillies nont pas mis en vidence de faiblesse significative
et gnralise des processus de management des risques et de contrle. En cas
danomalie ou de faiblesse significative et gnralise, cette partie du rapport peut
contenir des rserves ou une opinion dfavorable, selon laggravation prvue du risque
rsiduel et son impact sur les objectifs de lorganisation.
10. Les membres de la direction gnrale et du Conseil sont les principaux destinataires
du rapport annuel. tant donn quils ont une approche diffrente de laudit et de
lactivit, le rapport annuel du responsable de l'audit interne doit tre clair, concis et
bien document. Il doit tre conu et rdig de faon en faciliter la lecture et
rpondre aux besoins dinformations des destinataires. La valeur de ce rapport sera
encore accrue sil est centr sur les principaux risques et sil comporte les principales
recommandations et amliorations proposes, ainsi que des informations sur des
questions dactualit (risques lis aux technologies et la scurit de linformation
par exemple), sur le type danomalies ou de faiblesses constates par entit, et sur
les difficults que peut soulever le respect des lois ou des rglementations.
11. Il existe manifestement un dcalage au niveau des attentes engendres par les
travaux de laudit interne en matire dvaluation et dassurance de ltat des pro-
cessus de management des risques et de contrle. Ce dcalage concerne notamment
les aspirations du manager et du Conseil qui, en rgle gnrale, sattendent des
prestations daudit interne forte valeur ajoute, et celles plus modestes de laudi-
teur interne qui a connaissance des limites apportes en pratique au champ dinter-
vention de laudit et qui nest pas tout fait certain davoir runi des preuves suffi-
santes pour justifier un jugement clair et objectif. Le responsable de l'audit interne
doit prter attention au dcalage qui peut exister entre les prsupposs du lecteur du
rapport et la ralit de lexercice coul. Il doit utiliser ce rapport comme une autre
faon de s'adresser diffrentes sensibilits et de suggrer une amlioration des
capacits de laudit interne ou la rduction des contraintes qui nuisent son effica-
cit.
JUIN 2004
42
MPA 2120.A1-2
Utiliser lauto-valuation des contrles pour valuer
la pertinence des processus de contrle

Les managers et les auditeurs internes peuvent adopter une mthodologie fonde sur
lauto-valuation des contrles (CSA) pour sassurer que les processus de management
des risques et de contrle de lorganisation sont satisfaisants. Les auditeurs internes
peuvent recourir aux programmes dauto-valuation des contrles pour recueillir des
informations pertinentes sur les risques et les contrles, pour centrer le plan daudit
sur les risques importants et les lments exceptionnels, et pour renforcer la collabo-
ration avec les directeurs oprationnels et les groupes de travail.
1. Il incombe la direction gnrale de superviser la mise en place, la gestion et lva-

luation des processus de management des risques et de contrle. Les directeurs op-
rationnels sont chargs notamment dvaluer les risques et les contrles en place
dans leurs units. Les auditeurs internes et les auditeurs externes apportent diffrents
niveaux dassurance quant lefficacit des processus de management des risques et
de contrle de lorganisation. Les managers et les auditeurs ont intrt utiliser des
techniques et des outils centrs sur lvaluation des processus de management des
risques et de contrle existants, ainsi que sur lidentification des moyens de renforcer
leur efficacit.
2. La mise en uvre dune approche fonde notamment sur des enqutes dauto-va-
luation et sur lanimation dateliers (CSA ou Auto-Evaluation des contrles) constitue
pour les managers et les auditeurs internes un moyen utile et efficace de collaborer
lvaluation des procdures de contrle. En principe, la prise en compte des objec-
tifs et des risques fait partie intgrante de lauto-valuation des contrles (CSA), qui
est parfois dsigne par lexpression auto-valuation des contrles et des risques
(CRSA). Les professionnels ont recours diffrentes techniques, mais la plupart des
programmes mis en place prsentent certaines caractristiques et certains objectifs
communs. Une organisation qui pratique lauto-valuation dispose dun processus for-
malis et document grce auquel le management et les groupes de travail qui sont
directement impliqus dans une unit oprationnelle, une fonction ou un processus,
peuvent participer de faon structure aux oprations suivantes :
identification des risques encourus ;
valuation des processus de contrle permettant dattnuer ou de grer ces risques ;
laboration de plans dactions visant ramener les risques des niveaux acceptables ;
estimation de la probabilit pour que les objectifs de lorganisation soient atteints.
OCTOBRE 2002
43
3. Les processus dauto-valuation peuvent prsenter les avantages suivants :

le personnel des units oprationnelles acquiert une formation et une exprience
grce auxquelles il peut valuer les risques, associer les processus de contrle et le
management de ces risques et accrotre les chances de raliser les objectifs de
lorganisation ;
les contrles informels dits soft sont plus faciles identifier et valuer ;
les membres du personnel sont motivs pour sapproprier les processus de
contrle en place dans leurs units, et les mesures correctives prises par les groupes
de travail sont souvent plus efficaces et plus rapides ;
lensemble de la chane objectifs-risques-contrles de lorganisation fait lobjet dun
meilleur suivi et damliorations continues ;
les auditeurs internes interviennent dans le processus dauto-valuation et en
acquirent une trs bonne connaissance, soit en tant quanimateurs, secrtaires ou
rapporteurs des groupes de travail, soit pour dispenser une formation aux concepts
de risque et de contrle qui sous-tendent le programme dauto-valuation. Ils
acquirent ainsi une trs bonne connaissance du processus ;
laudit interne est mieux inform sur les processus de contrle de lorganisation. Il
peut par consquent exploiter ces informations et consacrer en priorit ses rares res-
sources lexamen des units ou des fonctions dont les contrles prsentent des
faiblesses significatives ou qui comportent des risques rsiduels importants ;
le management, dont la responsabilit au titre des processus de management des
risques et de contrle de lorganisation se trouve renforce, sera moins tent de
dlguer ces tches des spcialistes, et notamment aux auditeurs ;
le rle premier de laudit interne consistera, comme par le pass, valider le pro-
cessus dvaluation au moyen de tests et formuler un jugement professionnel sur
la pertinence et lefficacit de lensemble des systmes de management des risques
et de contrle.
4. Lapproche adopte dans le cadre dun programme dauto-valuation des contrles
varie fortement selon le secteur dactivit de lorganisation, sa localisation, sa struc-
ture, sa culture, le degr dautonomie de son personnel, son style de management et
sa faon de formuler les stratgies et les procdures, ce qui conduit penser que le
succs rencontr par un certain type de programme dauto-valuation dans une orga-
nisation donne peut ne pas se reproduire ailleurs. Le processus dauto-valuation
doit tre personnalis et adapt aux caractristiques de chaque organisation. Il faut
donc adopter une approche dynamique et la modifier en fonction de lvolution de
lorganisation.
5. Les programmes dauto-valuation revtent principalement les trois formes suivantes :
ateliers par quipe, enqutes, et tudes ralises par le management. Ces diffrentes
approches sont souvent combines dans les organisations.
OCTOBRE 2002
44
6. Les ateliers rassemblent les informations collectes par des groupes de travail qui
reprsentent, diffrents niveaux, lunit ou la fonction concerne. Latelier peut tre
centr sur les objectifs, les risques, les contrles ou les processus.
Les ateliers centrs sur les objectifs recherchent en priorit le meilleur moyen de
raliser un objectif de lorganisation. Le groupe commence par identifier les contrles
en place qui concourent la ralisation de lobjectif, puis il dtermine les risques
rsiduels. Le but de latelier est dapprcier si les procdures de contrle sont effi-
caces et si elles permettent de maintenir les risques rsiduels un niveau accep-
table.
Les ateliers centrs sur les risques sefforcent en priorit didentifier les risques lis
la ralisation dun objectif. Le groupe commence par dresser la liste de tous les
obstacles, menaces et risques susceptibles dempcher la ralisation dun objectif,
puis il examine les procdures de contrle et vrifie si elles sont suffisantes pour
grer les principaux risques. Le but de latelier est de dterminer les risques rsi-
duels significatifs. Ce type datelier porte sur lintgralit de la chane objectifs-
risques-contrles.
Les ateliers centrs sur les contrles recherchent en priorit si les contrles en place
fonctionnent bien. Ce type datelier diffre des deux premiers car lanimateur iden-
tifie les principaux risques et contrles avant le dbut de latelier. Durant latelier,
le groupe de travail apprcie dans quelle mesure les contrles contribuent latt-
nuation des risques et la ralisation des objectifs. Le but de latelier est danaly-
ser lcart entre lefficacit relle des contrles et lefficacit attendue par le mana-
gement.
Les ateliers centrs sur les processus portent en priorit sur certaines activits qui
font partie dun ensemble de processus. Les processus consistent gnralement en
une srie dactivits qui sont lies et qui se droulent du dbut jusqu la fin, telles
que les diverses tapes dun cycle achats, dveloppement de produits ou gnration
de revenus. Ce type datelier couvre gnralement lidentification des objectifs de
lensemble du processus et les diverses tapes intermdiaires. Le but de cet atelier
est dvaluer, actualiser, valider, amliorer et mme de rationaliser lensemble du
processus et les activits qui le composent. Ce type datelier peut dboucher sur
une analyse plus large que lapproche centre sur les contrles car il couvre plu-
sieurs objectifs du processus et soutient les efforts effectus par ailleurs par le
management dans le cadre doprations telles que reengineering, amlioration qua-
lit, et projets damlioration continue des processus.
7. Les enqutes sont ralises laide dun questionnaire auquel il faut gnralement
rpondre par oui ou par non, les questions tant rdiges avec soin de faon en faci-
liter la comprhension. Les enqutes sont frquemment utilises lorsque les personnes
consulter sont trop nombreuses ou trop disperses pour participer un atelier. Elles
sont galement privilgies lorsque la culture de lorganisation nest pas trs propice
OCTOBRE 2002
45
un dialogue franc et ouvert au sein dateliers ou si le management souhaite mini-

miser les temps passs et les cots engags pour recueillir les informations.
8. La forme dauto-valuation dsigne par la locution tudes du management

regroupe la plupart des autres approches adoptes par les groupes de dirigeants pour
rassembler des informations concernant certains processus, certaines activits de
management des risques ou certaines procdures de contrle. Ltude a souvent pour
but de porter, dans des dlais raisonnables, un jugement clair sur certaines carac-
tristiques des procdures de contrle Elle est gnralement ralise par une quipe
en poste ou jouant un rle de support. Lauditeur interne peut faire la synthse de
cette tude et dautres informations afin damliorer sa connaissance des contrles et
la partager avec les responsables dunits oprationnelles ou fonctionnelles dans le
cadre du programme dauto-valuation des contrles de lorganisation.
9. Tous les programmes dauto-valuation supposent que les membres du management
et des groupes de travail possdent une bonne connaissance des concepts de risque
et de contrle, et les utilisent pour communiquer. Dans le cadre des formations, les
organisations utilisent souvent un cadre, tel que les modles COSO et COCO, destin
faciliter le bon droulement des dbats au sein des ateliers et vrifier le caractre
exhaustif de lensemble du processus.
10. En rgle gnrale, les ateliers donnent lieu lmission dun rapport rdig pour une
large part durant les dbats. Un consensus sera dgag sur les divers sujets de dis-
cussion, et le groupe examinera le projet de rapport avant la fin de la dernire ses-
sion. Certains programmes comportent un systme de vote anonyme qui permet das-
surer la libre circulation des informations et des opinions durant les ateliers, et qui
facilite la rsolution des divergences de points de vue et dintrts.
11. Laudit interne sinvestit de faon assez significative dans certains programmes dauto-
valuation des contrles. Il peut susciter, concevoir, mettre en place et, en fait,
sapproprier le processus, diriger la formation, fournir les animateurs, les secrtaires
et les rapporteurs, et coordonner la participation du management et des groupes de
travail. Dans dautres programmes, laudit interne rduit sa participation au mini-
mum, et nintervient qu titre de partie prenante et de consultant pour lensemble
du processus, ainsi que pour vrifier en dernier ressort les conclusions des quipes.
Dans la plupart des cas, linvestissement de laudit interne dans le programme dauto-
valuation des contrles se situe entre ces deux extrmes. Plus la participation de
laudit interne au programme dauto-valuation et aux dbats organiss dans les ate-
liers est importante, plus le responsable de l'audit interne doit sassurer de lobjecti-
vit de lquipe daudit interne, prendre des mesures cet effet (si cela s'avre nces-
saire), et intensifier les tests afin de vrifier que le jugement du personnel nest pas
fauss. Selon la Norme 1120 : Les auditeurs internes doivent adopter une attitude
impartiale et dpourvue de prjugs et viter les conflits dintrt .
OCTOBRE 2002
46
12. Lexistence dun programme dauto-valuation des contrles renforce le rle tradi-
tionnel de laudit interne car il lui permet dassister le management dans lexercice
de ses responsabilits, notamment en ce qui concerne la mise en place et le main-
tien des processus de management des risques et de contrle, et lvaluation du sys-
tme. Dans le cadre dun tel programme, laudit interne, les units oprationnelles et
les fonctions cooprent en vue damliorer la qualit des informations relatives au
fonctionnement des processus de contrle et limportance des risques rsiduels.
13. Bien quil participe au programme dauto-valuation des contrles en qualit dani-
mateur et dexpert, laudit interne constate souvent que ce programme lui permet de
rduire les efforts ncessaires pour recueillir des informations sur les procdures de
contrle et dliminer certains tests. Un programme dauto-valuation doit avoir pour
effet dlargir le champ de lvaluation des processus de contrle travers lorgani-
sation, damliorer la qualit des mesures correctives prises par les responsables des
processus, et de centrer les travaux de laudit interne sur lexamen des processus
haut risque et des situations inhabituelles. Il peut alors sattacher valider les
conclusions qui remontent du programme dauto-valuation, dresser la synthse des
informations provenant des diverses composantes de lorganisation et formuler,
lattention de la direction gnrale et du comit d'audit, une opinion densemble sur
lefficacit des contrles.
MPA 2120.A1-3
Le rle de laudit interne en matire de reporting financier trimestriel,
de publication des informations et de certifications par les dirigeants
Mise en uvre du Sarbanes-Oxley Act amricain (SOA) essentiellement la

section 302 qui concerne une trentaine de groupes franais cots aux tats-Unis.

Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes,
qui concernent les exigences poses par la SEC (Securities and Exchange Commission)
aux tats-Unis en matire de reporting financier trimestriel, de publication des infor-
mations et de certifications par les dirigeants. Ces recommandations, qui visent en par-
ticulier les socits amricaines soumises au rglement de la SEC, sappliquent gale-
ment plus de 1 300 socits trangres. Un nombre croissant dorganisations non
cotes, soucieuses de renforcer la confiance de leurs parties prenantes, se soumettent
volontairement certaines exigences de la SEC afin dappliquer les meilleures pratiques
en matire de publication des informations et de contrle du reporting trimestriel. En
outre, les auditeurs internes sont invits consulter la Modalit Pratique dApplication
2120.A1-1 valuer le processus de contrle interne et en rendre compte , pour de plus
amples informations.
JUIN 2004
47
1. La solidit des marchs financiers repose sur la confiance des investisseurs. Des all-
gations de mfaits commis par des dirigeants de socits, des commissaires aux
comptes et dautres acteurs du march, ont branl cette confiance. Face cela, le
Congrs des tats-Unis ainsi quun nombre croissant dorganes lgislatifs et dins-
tances rglementaires dautres pays ont adopt une lgislation et une rglementation
concernant la publication des informations et des rapports financiers par les socits.
En France, la Loi de Scurit Financire (LSF) du 1er aot 2003 (parution au

Journal Officiel du 2 aot 2003) participe des mmes proccupations que le SOA
savoir rtablir la confiance des investisseurs mais son approche en est bien
diffrente (voir ci-aprs).
En particulier, le Sarbanes-Oxley Act (SOA), adopt aux tats-Unis en 2002, a opr

une rforme radicale en instaurant lobligation pour les principaux dirigeants et
responsables financiers de fournir des informations publies et des certifications
supplmentaires.
2. Le SOA oblige les entreprises mettre en place des processus pour permettre aux
cadres dirigeants dacqurir lassurance ncessaire pour certifier personnellement les
informations publies. Lune des composantes essentielles du processus de certifica-
tion rside dans le management des risques et dans les contrles internes relatifs
lenregistrement et la synthse des informations financires.
Nouvelles obligations lgales

3. La section 302 du Sarbanes-Oxley Act prcise les responsabilits des socits en
matire de rapports financiers et la SEC a publi des recommandations pour appli-
quer la loi. Les rgles 13a-14 et 15d-14 adoptes par la SEC prvoient lobligation
pour le ou les principaux dirigeants et responsables financiers, ou pour les personnes
exerant des fonctions similaires, de certifier dans tout rapport trimestriel et annuel,
y compris les rapports publis durant la priode de transition, dpos ou prsent par
la socit mettrice au titre de larticle 13, point a), ou 15, point d), du Exchange Act :
quils ont examin le rapport ;
qu leur connaissance, le rapport ne contient pas de dclaration inexacte portant
sur un point significatif, ou quil nomet aucun point significatif quil aurait t
ncessaire de mentionner, la lumire des circonstances qui entourent les dcla-
rations publies, de telle sorte que ces dclarations ne soient pas trompeuses pour
la priode couverte par le rapport ;
qu leur connaissance, les tats financiers et les autres informations financires
figurant dans le rapport donnent, sur tous les points importants, une image fidle
de la situation financire, des rsultats et des flux de trsorerie de la socit met-
trice pour les priodes examines dans le rapport ;
JUIN 2004
48
quen outre :
ils sont responsables, pour la socit mettrice, de la mise en place et de la mise
jour des procdures et des contrles en matire de publication des informations
( disclosure controls and procedures , cette nouvelle expression reprenant le
concept mentionn larticle 302 (a) (4) de la loi) ;
ils ont conu ces procdures et ces contrles afin dassurer que les informations
significatives sont portes leur connaissance, en particulier au cours de la
priode durant laquelle le rapport priodique est tabli ;
ils ont valu, au cours de la priode de 90 jours prcdant la date de dpt du
rapport, lefficacit des procdures et des contrles de la socit mettrice en
matire de publication des informations ;
et ils ont prsent dans le rapport leurs conclusions concernant lefficacit de ces
procdures et de ces contrles, en se fondant sur lvaluation requise cette
date.
quils ont inform les auditeurs et le comit daudit du Conseil dadministration de
la socit mettrice (ou les personnes exerant une fonction quivalente) :
de toute lacune et faiblesse significatives dans la conception ou le fonctionne-
ment des contrles internes (expression dj utilise par le pass pour dsigner
les contrles internes relatifs aux rapports financiers) susceptible daltrer la
capacit de la socit mettrice enregistrer, traiter, synthtiser et diffuser des
informations financires, et ont identifi, pour les auditeurs de la socit met-
trice, toute faiblesse significative des contrles internes ;
de toute fraude, significative ou non, dans laquelle seraient impliqus des
cadres dirigeants ou dautres employs exerant dans la socit mettrice un rle
important en matire de contrle interne ;
de lexistence (ou de labsence) de modifications importantes apportes au dispo-
sitif de contrle interne ou tout autre facteur susceptible daffecter de manire
significative ce dispositif aprs son valuation, y compris les mesures correctrices
concernant les lacunes et faiblesses importantes dtectes.
Recommandations lintention des auditeurs internes

4. Les actions et les rflexions suivantes sont proposes aux auditeurs internes, comme
des services valeur ajoute quils peuvent fournir concernant les rapports financiers
trimestriels, la publication des informations et les certifications par les dirigeants
requis par la SEC et le Sarbanes-Oxley Act. Ces mesures sont galement proposes,
au titre de meilleures pratiques, aux socits non cotes et aux autres organisations
dsireuses dadopter des processus similaires pour leurs rapports financiers trimes-
triels.
a. La mission impartie lauditeur interne dans ces processus peut porter sur la
conception initiale du processus, la participation un disclosure committee
JUIN 2004
49
( Comit de publication des informations ), la coordination ou la liaison entre les

cadres dirigeants et leurs auditeurs, ou lvaluation du processus en toute ind-
pendance.
b. Tout auditeur interne impliqu dans les processus de reporting financier trimestriel
et de publication des informations doit avoir une mission clairement dfinie et doit
se rfrer, pour dterminer ses responsabilits, aux Normes de conseil et dassu-
rance de lIIA appropries, ainsi quaux recommandations contenues dans les
modalits pratiques dapplication correspondantes.
c. Les auditeurs internes doivent sassurer que les organisations disposent dune poli-
tique formelle et de procdures documentes rgissant les processus relatifs aux
rapports financiers trimestriels, la publication des informations y affrentes et
aux autres exigences rglementaires. Le cas chant, un examen appropri des
politiques et procdures par les avocats, les auditeurs externes ou par dautres
experts, peut conforter le fait quelles couvrent tous les points importants et
quelles sont conformes aux exigences applicables.
d. Les auditeurs internes doivent encourager les organisations mettre en place un
disclosure committee charg de coordonner le processus et de guider les parti-
cipants. Ce comit comptera parmi ses membres des reprsentants des secteurs
cls de lorganisation, notamment les principaux responsables financiers, les avo-
cats ou conseillers juridiques, ainsi que le directeur des risques, le responsable de
laudit interne, et les responsables des services fournissant des informations pour
les documents et la publication des informations obligatoires. En principe, le
responsable de laudit interne devrait faire partie du disclosure committee . Il
convient toutefois dexaminer son statut au sein du comit. Les responsables de
laudit interne qui sigent au comit en qualit de prsident ou de membre per-
manent ou ayant droit de vote, doivent tre attentifs aux rgles dindpendance et
consulter les recommandations et la liste des informations fournir mentionnes
dans les Normes de lIIA et les modalits pratiques dapplication correspondantes.
En principe, le statut de membre de droit ne pose aucun problme dindpen-
dance.
e. Les auditeurs internes doivent procder priodiquement un examen et une va-
luation des processus de reporting financier trimestriel et de publication des infor-
mations, des activits du disclosure committee et des documents y affrents,
et fournir la direction gnrale et au comit daudit une valuation du processus
ainsi quune assurance concernant lensemble des oprations et le respect des
rgles et procdures. Les auditeurs internes dont lindpendance pourrait tre
altre en raison du rle qui leur est imparti dans le processus doivent sassurer
que la direction gnrale et le comit daudit peuvent obtenir par dautres sources
une assurance suffisante concernant le processus. Ces autres sources incluent les
processus dauto-valuation interne ainsi que les tiers, notamment les auditeurs
externes et les consultants.
JUIN 2004
50
f. Les auditeurs internes doivent formuler des recommandations et proposer des am-
liorations sur les rgles, procdures et le processus trimestriel de reporting et de
publication des informations en sappuyant sur lvaluation des activits concer-
nes. Les meilleures pratiques recommandes pour ces activits peuvent compor-
ter la totalit ou une partie des procdures et des lments suivants, selon le pro-
cessus propre chaque organisation :
rgles, procdures, contrles et rapports de contrle dment documents ;
check-list trimestrielle des procdures et lments cls des contrles ;
rapports de contrle standardiss sur les principaux contrles relatifs la publi-
cation dinformations ;
auto-valuations du management (notamment des auto-valuations des contrles
ou CSA) ;
approbations ou lettres de dclaration des managers cls ;
examen des projets de documents rglementaires avant leur prsentation ;
description du processus de documentation des sources des donnes sous-jacentes
aux documents rglementaires, des contrles cls et des responsables de ces
donnes ;
suivi des points prcdemment mentionns et non rsolus ;
examen des rapports daudit interne mis au cours de la priode ;
examens ponctuels ou cibls des points complexes, problmes ou prsentant
un niveau de risque lev, notamment des estimations comptables significatives,
des valuations de provisions, des postes hors bilan, des principales filiales, des
joint-ventures et des entits cres dans un but spcial ;
examen du processus de clture des tats financiers et des critures de rgula-
risation correspondantes, y compris les ajustements volontairement non compta-
biliss ;
confrences tlphoniques avec les principaux managers des tablissements
loigns, de faon assurer la prise en compte et la participation des compo-
santes majeures de lorganisation ;
examen des litiges ventuels ou en suspens et des dettes ventuelles ;
le rapport sur le contrle interne, mis par le responsable de laudit interne au
minimum une fois par an et si possible tous les trimestres ;
des runions rgulires du disclosure committee et du comit daudit.
g. Les auditeurs internes doivent procder une comparaison entre les processus mis
en uvre en application de la section 302 du Sarbanes-Oxley Act (reporting finan-
cier trimestriel et publication des informations), et les procdures mises en place
JUIN 2004
51
conformment la section 404, relatif aux valuations annuelles par les dirigeants
et leur rapport sur le contrle interne. Lorganisation de processus similaires ou
compatibles contribuera une meilleure efficacit oprationnelle et rduira la pro-
babilit ou le risque de voir apparatre des problmes et des erreurs ou de ne pas
les dtecter. Si les processus et les procdures peuvent tre similaires, le rle de
lauditeur interne, en revanche, est susceptible de varier. Dans certaines organisa-
tions, les travaux des auditeurs internes servent de support aux dclarations des
cadres dirigeants sur le contrle interne, tandis que dans dautres organisations, les
auditeurs internes peuvent tre appels examiner lvaluation effectue par les
dirigeants.
La nature des travaux daudit interne, et lusage qui en est fait, peuvent affecter
lexploitation de ces travaux par lauditeur externe ou le degr de confiance quil
leur attribue. Les auditeurs internes doivent sassurer que la mission de tous les
participants est clairement dfinie et que leurs activits sont coordonnes et
dtermines dun commun accord avec les cadres dirigeants et les auditeurs
externes.
Dans les organisations o les dirigeants se fondent sur leur propre valuation des
contrles pour formuler une opinion, les auditeurs internes doivent procder un
examen de cette valuation et des documents justificatifs.
Les auditeurs internes doivent valuer le mode de classification des observations

contenues dans les rapports daudit interne, et sassurer que les observations qui
sont susceptibles de figurer dans les certifications trimestrielles ou dans le
rapport annuel sur le contrle interne sont communiques comme il se doit la
direction gnrale et au comit daudit. Il convient de vrifier attentivement que
ces observations sont suivies rapidement dactions appropries.
Loi de Scurit Financire du 1er aot 2003

Les articles qui nous intressent plus particulirement sont ceux qui concernent
le rapport du Prsident sur les procdures de contrle interne mises en place par
la socit :
Art. 117 :
Le prsident du Conseil dadministration rend compte dans un rapport des
conditions de prparation et dorganisation des travaux du Conseil ainsi que
des procdures de contrle interne mises en place par la socit .
Art. 120 :
Les CAC prsentent dans un rapport joint leurs observations sur le rapport
(du Prsident) pour celles des procdures de contrle interne qui sont relatives
llaboration et au traitement de linformation comptable et financire .
JUIN 2004
52
Art. 122 :
Les personnes morales faisant appel public lpargne rendent publiques les
informations (relatives aux procdures de contrle interne) dans les conditions
fixes par le rglement gnral de lAutorit des Marchs Financiers. Celle-ci
tablit, chaque anne, un rapport sur la base de ces informations .
Recommandations lintention des auditeurs internes franais

LIFACI a mis une note informative destine rpondre aux questions que
se posent les auditeurs internes pour aider les Prsidents rdiger le rapport
qui rend compte des procdures de contrle interne mises en place par la
socit.
1 Les enjeux de la LSF pour les entreprises
1) Se mettre en conformit avec une obligation lgale, cest--dire rendre
compte dans un rapport des conditions de prparation et dorganisation
des travaux de conseil, ainsi que des procdures de contrle interne
mises en place par la socit.
2) Profiter de cette obligation pour faire un recensement de lexistant en
matire de dispositif de contrle interne, sassurer de sa qualit et faire
toute proposition pour en amliorer son efficacit. Une attention toute
particulire pourra tre porte sur la formalisation des procdures de
contrle interne ainsi que sur les dlgations de pouvoir.
2 Quelles sont les socits concernes ?
Toutes les socits ayant la forme anonyme sont concernes, quil sagisse
de socits cotes ou non cotes.
La LSF ne sapplique pas, par contre, aux socits par actions simplifies
(SAS).
Pour les socits en commandite par action, rien ne leur interdit, dans la
mesure o elles font appel public lpargne, dappliquer les dispositions
des articles 117, 120 et 122.
3 Contenu du rapport pour le groupe, pour les SA filiales ?
Les filiales peuvent-elles renvoyer au rapport de la maison mre ?
Au sujet des procdures de contrle interne, le texte vise celles qui sont
mises en place par la socit. Le rapport doit donc tre tabli par chaque
socit.
Lorsquil sagit dune socit tte de groupe, lobjectif de ces procdures
consiste, pour la socit mre, sassurer de la fiabilit des comptes conso-
lids et, le cas chant, de son contrle sur les entits concernes. Ces proc-
dures portent donc notamment sur llaboration de la consolidation des
comptes, qui incombe la socit mre.
En outre, chaque filiale ayant la forme anonyme et son sige en France,
devra tablir un rapport.
JUIN 2004
53
Sagissant des filiales non cotes et contrles 100 %, leur rapport pour-
rait tre succinct et signaler simplement quelles appliquent les procdures
dcrites par leur socit mre. (doc. AFEP/MEDEF)
4 Quentend-on par procdures de contrle interne ?

La loi ne parle pas de contrle interne, ni de systme de contrle interne ou
de dispositif de contrle interne, mais de procdures de contrle interne.
Si lon se rfre au modle de contrle interne COSO, les procdures de
contrle interne font partie dun des lments de ce modle, savoir
lactivit de contrle.
Il faut donc sen tenir pour linstant ce que la loi a indiqu et ne pas se
rfrer ncessairement au modle COSO pris dans sa globalit.
LIFACI a dfini les procdures de contrle interne de la faon suivante :
Les procdures de contrle interne sont constitues des rgles, directives et
manires de procder, en place au sein dune organisation, qui visent :
Sassurer que ses activits ainsi que les comportements de ses membres :
se conforment aux lois et rglements, normes et rgles internes applicables
sinscrivent dans le cadre des valeurs, orientations et objectifs dfinis par
les organes sociaux et leurs dlgataires, notamment en matire de poli-
tique de gestion des risques.
Vrifier que les communications internes et externes refltent avec sinc-
rit la situation et lactivit de lorganisation.
Au sein des organisations qui en sont dotes, laudit interne value de
manire indpendante lefficacit des procdures de contrle interne.
Les procdures de contrle interne, aussi bien conues et appliques
soient-elles, offrent une assurance raisonnable, mais ne reprsentent pas une
garantie absolue.
5 Qui est responsable du rapport ?

Cest le prsident du Conseil dadministration ou de surveillance qui est
charg du rapport.
Il assure la responsabilit de lexistence de ce rapport et de la runion des
informations ncessaires ltablissement de ce rapport.
Aucune sanction spcifique nest prvue en cas domission dinforma-
tions.
6 - Sur quelles bases ou sur quelles pices

le prsident prpare-t-il son rapport ?
Le prsident labore son rapport en tant que prsident du conseil sur la
base des informations fournies par la direction gnrale ou le conseil, en
JUIN 2004
54
sappuyant sur les documents prpars par le directeur comptable, le

directeur juridique, le directeur financier et surtout, le directeur de laudit
interne, qui doit, en la matire, jouer un rle majeur pouvant aller jusqu
la rdaction dun projet de rapport.
Ces documents prparatoires nont pas tre mentionns dans le rapport,
mais doivent tre conservs pour tre prsents, si ncessaire, lAMF.
Dans un document, en date du 23 janvier 2004, lAMF donne les prcisions
suivantes : Dune manire gnrale, il convient que le rapport prcise les
diligences qui ont sous-tendu lanalyse prsente par le Prsident (tels que
les entretiens avec la Direction Gnrale, les discussions au sein du Conseil
dAdministration, les runions avec les Commissaires aux Comptes et le
Comit daudit, le cas chant) .
7 Quelle doit tre la forme du rapport ?

Le rapport doit tre court, synthse des diffrents documents ports la
connaissance du prsident.
Il ne peut avoir un contenu variable selon que les socits sont prsides
par un prsident de conseil dissoci ou un PDG ou, a fortiori, ont une
structure duale. Le lgislateur na pu faire peser en effet sur lauteur du
rapport, et, par voie de consquence, sur le contenu de celui-ci, dautres
exigences que celles qui sont compatibles avec les seuls pouvoirs et
moyens daction que la loi reconnat es qualits au prsident du conseil
dadministration ou au prsident du conseil de surveillance, selon le cas. Le
prsident rend compte des procdures de contrle interne mises en place
par la socit, ce qui signifie quil les relate, les explique. Pour la premi-
re anne, il ne sera pas tenu de les valuer ni de porter un jugement sur
elles.
LAMF souhaite (toutefois) que la dmarche sinscrive dans une perspective
dynamique, permettant aux metteurs daboutir terme une apprciation
sur ladquation et lefficacit de leur contrle interne .
LAMF encourage par ailleurs les metteurs qui disposent dores et dj
dune valuation de leurs procdures de contrle interne au titre de lexercice
2003, la rsumer dans leur rapport en prcisant, le cas chant, les pistes
damlioration envisages .
Enfin, titre liminaire, lAMF rappelle que tout metteur qui publie sur
un march tranger des informations autres que celles prvues (dans le rap-
port du Prsident) est tenu de publier simultanment une information qui-
valente destination du march franais. Tel sera notamment le cas des
metteurs faisant appel public lpargne en France qui appliqueront les
dispositions du Sarbanes-Oxley Act amricain ( compter des exercices clos
au 15 avril 2005 (1)) ou du Combined Code britannique (pour les exercices
ouverts aprs le 1er novembre 2003 (1)) .
________
(1) Information Les Echos du 26/01/04.
JUIN 2004
55
Le rapport pourrait comprendre la premire anne :

le rappel des objectifs des procdures de contrle interne ;
puis lorganisation gnrale des procdures de contrle interne au
niveau de la socit : acteurs, structures exerant des activits de contrle
interne, les rfrences externes ou internes de lentreprise (codes de
dontologie, chartes daudit, manuels de procdures internes), lorga-
nisation dans laquelle sinscrit llaboration de linformation financire
et comptable destine aux actionnaires ;
enfin, une prsentation des informations synthtiques sur les proc-
dures de contrle interne mises en place, en se focalisant sur des
lments significatifs susceptibles davoir un impact sur le patrimoine
ou sur les rsultats de la socit.
Mme si le rapport du prsident concerne lensemble des procdures de
contrle interne, celles relatives linformation financire et comptable
destine aux actionnaires devront tre privilgies.
En termes de prsentation, il conviendra, dans la mesure du possible, de
rassembler au sein du rapport, lensemble des informations relatives aux
procdures de contrle interne relatives llaboration et au traitement de
linformation financire et comptable, ces informations devant faire
lobjet du rapport des CAC joint leur rapport gnral sur les comptes.
8 - Degr de dtail dans la description
de la procdure de contrle interne
On peut se rfrer ici aux propositions de lAFEP/MEDEF et de lANSA
(Association Nationale des Socits par Action).
Extrait du document de lAFEP et du MEDEF :

1) Organisation gnrale des procdures de contrle interne au niveau de la
socit : acteurs, structure(s) spcifique(s) en charge, rles respectifs et interaction
Cette description synthtique a pour objet de prciser comment les procdures de
contrle interne sont organises dans lentreprise et quelles sont les liaisons et
interactions entre les diffrents acteurs ou structure(s) exerant des activits de
contrle
titre dexemple, sont prsents :
les acteurs ou structure(s) exerant des activits de contrle :
champ et rpartition des comptences,
niveau de rattachement des diffrents acteurs ou structures,
organisation des dlgations / autorisations,
rle du conseil dadministration ou de surveillance et des comits ventuels
en matire de contrle interne (dans la mesure o ces sujets ne seraient pas
dj traits dans la partie du rapport consacr la prparation et lorga-
nisation des travaux du conseil) ;
JUIN 2004
56
le rle des diffrents acteurs ou structures exerant des activits de contrle en

matire de procdures de contrle interne (contrle de gestion, audit interne, ou
autre fonction ayant une responsabilit en matire de contrle interne) et
leurs modalits gnrales de fonctionnement. titre dexemple, contrle de
lapplication des procdures selon un plan annuel approuv ou revu par (
prciser selon le cas), rapports crits avec recommandations directement
communiqus ( prciser selon le cas) ainsi quau comit des comptes (le
cas chant), et suivi des recommandations ;
les rfrences externes ou internes de lentreprise (codes de dontologie,
chartes daudit, manuels de procdures internes, )
un accent est mis, de manire spcifique, sur lorganisation dans laquelle
sinscrit llaboration de linformation financire et comptable destine aux
actionnaires :
identification des principaux acteurs du contrle interne impliqus dans le
contrle de cette information,
liaisons/interactions entre ces acteurs ce titre,
le cas chant, rle et fonctionnement du comit des comptes (dans la mesure
o ces sujets ne seraient pas dj traits dans la partie du rapport consa-
cre la prparation et lorganisation des travaux du conseil),
rfrences gnrales (manuels de procdures comptables, ),
liaisons avec les commissaires aux comptes, etc.
2) Prsentation des informations synthtiques sur les procdures de contrle
interne mises en place par la socit
Les informations synthtiques sur les procdures de contrle interne mises en
place se focalisent sur les lments significatifs susceptibles davoir un impact
sur le patrimoine ou sur les rsultats de la socit.
Lobjet du rapport du prsident est de rendre compte des principales proc-
dures de contrle interne mises en place par la socit, dont la nature varie
selon les caractristiques de celle-ci (secteur dactivit, localisation, taille,
organisation, etc.). La socit peut donc :
prciser le caractre centralis ou dcentralis des procdures de contrle
interne ;
prciser la nature de ces principales procdures (par exemple, procdure
didentification et de suivi des principaux risques, de contrle juridique et
oprationnel des filiales) ;
donner des indications sommaires, lorsque linformation a un degr lev
de pertinence, sur ces procdures ou leurs principes essentiels ;
donner des indications sur la manire dont les principes de contrle interne
de la socit et, le cas chant, les procdures sont mises en uvre ;
indiquer, le cas chant, lexistence dune procdure de test des procdures
de contrle.
JUIN 2004
57
Comme en matire dorganisation gnrale du contrle interne, un accent est

mis, de manire spcifique, sur les procdures de contrle interne les plus utiles
llaboration et au traitement de linformation financire et comptable des-
tine aux actionnaires et sur les procdures visant en assurer la conformit
aux principes comptables gnraux et aux rfrentiels et mthodes retenus par
la socit. titre dexemple, la socit, en fonction de ses caractristiques,
peut dcider de communiquer plus particulirement sur certaines des proc-
dures suivantes :
procdures dlaboration de la consolidation des comptes (pour le rapport
du prsident de la socit mre),
procdures de reporting,
procdures de suivi des engagements hors bilan,
procdures de suivi des actifs,
procdures de contrle de la qualit des informations financires et
comptables
Extrait du document de lANSA :

1) Description synthtique du systme comptable
Organisation du systme comptable proprement dit : est-il interne ou (pour
les PME) assur par un expert-comptable extrieur ?
Si interne : prciser sil sagit dun systme standard (logiciel de gestion) ou
dun systme spcifique.
Si spcifique, tabli avec un ou plusieurs organismes externes : le prciser
ainsi que les dates dintervention.
Rattachement des comptables (notation rmunration : double reporting
ou non pour comptables des filiales).
Autres spcificits
2) Manuels de procdures
Existe-t-il ou non des guides de procdures, directives de comportement ?
Ont-elles t labores avec des concours extrieurs ? Si oui, lesquels ? Tout
ou partie des guides ou directives sont-ils une application de normes ou codes
de dontologie ?
Quel organe arrte les polices internes ?
3) Description synthtique des procdures de contrle interne
Service spcifique de contrle mis en place en
Comprend auditeurs (le cas chant : ayant suivi une formation spciale).
Le chef du service est rattach (Directeur Gnral, Directeur Financier).
Les rapports sont adresss (membres du Comit daudit du disclosure
committee).
JUIN 2004
58
Le programme daudit est arrt par

Missions : si dfinition particulire.
Application dune charte interne de dontologie / ou dun code externe de
dontologie (prciser).
valuation priodique externe de laudit interne (indiquer date de dernire
valuation et organisme ayant opr).
9 Doit-on donner, dans le rapport, un inventaire des risques recenss ?

Il nest pas demand de prsenter un inventaire des diffrents risques de
la socit sous forme de cartographie ou autrement. Il nest pas non plus
demand de prsenter un systme partant des objectifs de la socit et des
risques pouvant faire obstacle la ralisation de ces objectifs pour abou-
tir au dispositif de contrle interne susceptible den assurer la matrise.
LANSA note, au sujet des procdures relatives lidentification et
lvaluation des risques, quil convient seulement de prciser si une
cartographie des risques a t tablie, et si elle a t diffuse (aux contr-
leurs, aux contrls), sil existe un "risk manager" (concerne-t-il tous les
risques ou non ?), sil existe un "disclosure committee" charg de contrler
linformation financire relative aux risques .
10 Doit-on communiquer les rsultats des missions daudit ?

Non, contrairement ce qui est exig pour les banques dans le cadre du
rapport du rglement 97/02.
Mais ce dernier rapport est destin seulement au conseil dadministration,
au secrtariat gnral de la commission bancaire et aux CAC, et non aux
actionnaires et au grand public, comme cest le cas pour le rapport du pr-
sident (Art. 117 de la LSF).
Le rapport na donc pas contenir dinformation sur les dfaillances rele-
ves dans les rapports daudit, mais toute disposition visant amliorer
les procdures existantes pourra tre mentionne.
Par contre, lAMF rappelle que dans le cadre de leur obligation de com-
munication des problmes apparus lors de lexcution de leur mission, les
Commissaires aux comptes sont tenus de faire tat aux organes sociaux de
lentreprise des dficiences majeures quils auraient releves dans le contrle
interne. Il convient donc que le Prsident auquel une telle dficience aurait
t signale par les Commissaires aux comptes en fasse tat dans son
propre rapport .
Elle rappelle enfin que la rglementation de la COB impose aux metteurs
de porter immdiatement la connaissance du public toute information
dont la rvlation aurait une incidence significative sur leur cours de bourse,
ou tout changement significatif dune information dj communique. Ce
serait notamment le cas dune dfaillance ou insuffisance grave du contrle
interne identifie loccasion du processus dvaluation ou des diligences
qui ont entour llaboration du rapport .
JUIN 2004
59
11 Rle respectif du responsable de laudit interne et des CAC

Le Responsable de laudit interne doit jouer un rle essentiel dans
llaboration dun projet de rapport. Il est, selon le cas, lanimateur ou
membre dun groupe de projet comprenant essentiellement le directeur
financier, le directeur comptable et le directeur juridique. Pour les
procdures de contrle interne servant llaboration et au traitement
de linformation financire et comptable destine aux actionnaires et
sur les procdures visant en assurer la conformit aux principes
comptables gnraux et aux rfrentiels et mthodes retenus par la
socit, il travaille en troite collaboration avec la direction comptable
et financire, les lments essentiels tant fournis par celle-ci.
Pour toutes les autres procdures, il appartient au Responsable de
laudit interne den faire le recensement et den dgager les plus signi-
ficatives.
Le plus souvent, il lui sera demand de rdiger un avant-projet du
rapport.
Quant aux CAC, ils devront vrifier la sincrit et la concordance avec
les comptes, des informations relatives aux procdures de contrle interne
touchant au domaine comptable et financier donnes par le prsident
dans son rapport de larticle 117 (doc. AFEP/MEDEF).
MPA 2120.A1-4
Audit du processus de reporting financier
La prsente MPA explore le rle et les responsabilits de laudit interne dans le proces-
sus de reporting financier dune organisation. Les rles respectifs de la direction gn-
rale, des auditeurs externes et des auditeurs internes sont les suivants :
La direction gnrale est responsable de lenvironnement de contrle et de linforma-
tion financire, y compris les notes annexes aux tats financiers et les informations
publies dans le rapport financier.
Lauditeur externe certifie au lecteur du rapport financier que les informations quil
contient donnent une image fidle de la situation financire et des rsultats de
lorganisation en conformit avec les principes comptables gnralement admis.
Lauditeur interne met en uvre des procdures afin de donner la direction gnrale
et au comit daudit (ou un autre comit) du Conseil, un degr dassurance quant
lefficacit des contrles affrents aux processus dlaboration du rapport financier.
La MPA 2060-2, intitule Relations avec le comit daudit , traite des liens et inter-
actions entre lauditeur interne et le comit daudit. La MPA 2120.A1-1 valuer les
JUIN 2004
60
processus de contrle interne et en rendre compte traite des lments probants nces-
saires en vue de lvaluation dun systme de contrle interne et de la formulation dune
opinion. La MPA 2120.A1-3, intitule Le rle de laudit interne en matire de repor-
ting financier trimestriel, de publication des informations et de certifications par les
dirigeants , contient des recommandations concernant les exigences du Sarbanes-
Oxley Act aux tats-Unis et de la rglementation annexe de la SEC (Securities and
Exchange Commission) ainsi que des considrations sur la Loi de Scurit Financire
franaise du 1er aot 2003, rajoutes par lIFACI. La prsente MPA met laccent sur les
relations que lauditeur interne entretient avec la direction gnrale et lauditeur externe
dans le cadre du processus de reporting financier.
1. Les rapports sur les checs du processus de gouvernement dentreprise publis aux
tats-Unis et dans dautres pays, soulignent la ncessit dintroduire des change-
ments afin de renforcer la responsabilit et la transparence dans toutes les organisa-
tions but lucratif, but non lucratif, et publiques. La direction gnrale, le Conseil
dadministration, les auditeurs internes et les auditeurs externes sont les piliers sur
lesquels repose un gouvernement dentreprise efficace. Laudit interne joue cet
gard un rle cl ; par sa position unique, il peut contribuer amliorer le fonction-
nement dune organisation en valuant et en renforant lefficacit des processus de
management des risques, de contrle et de gouvernement dentreprise. Les initiatives
rcentes ont mis en vidence la ncessit de rendre la direction gnrale plus respon-
sable des informations contenues dans les rapports financiers dune organisation. La
direction gnrale et le comit daudit de bon nombre dorganisations demandent
laudit interne de fournir des prestations supplmentaires afin damliorer les pro-
cessus de gouvernement dentreprise et de reporting financier. Ces demandes portent
notamment sur lvaluation des contrles internes affrents aux rapports financiers de
lorganisation et sur lvaluation de la fiabilit et de lintgrit de ses rapports finan-
ciers.
Rapports sur le contrle interne

2. Le comit daudit (ou un autre comit manant du Conseil) dune organisation et
laudit interne ont des objectifs cohrents entre eux. Le responsable de laudit interne
a pour mission principale de sassurer que le comit daudit bnficie des services
quil sollicite et dont il a besoin. Lun des principaux objectifs du comit daudit est
la surveillance des processus de reporting financier de lorganisation afin de garantir
la fiabilit et la sincrit des informations. Ce comit et la direction gnrale deman-
dent gnralement que laudit interne accomplisse des travaux daudit suffisants et
recueille des informations au cours de lexercice pour se forger une opinion sur
ladquation et lefficacit des processus de contrle interne. En rgle gnrale, le
JUIN 2004
61
responsable de laudit interne communique les rsultats de cette valuation au comit

dans des dlais appropris. Le comit value la porte et le caractre adquat du
rapport mis par le responsable de laudit interne, dont il peut reprendre les conclu-
sions dans le rapport quil prsente au Conseil.
3. Le plan daudit et les missions spcifiques dassurance de laudit interne commen-

cent par un inventaire mticuleux des risques auxquels lorganisation est expose. Le
plan daudit est fond sur les risques et sur lvaluation des processus de manage-
ment des risques et de contrle mis en place par les dirigeants afin dattnuer ces
risques. Le recensement des risques inclut notamment les oprations et les vne-
ments suivants :
nouvelles activits y compris les fusions et acquisitions ;
nouveaux produits et nouveaux systmes ;
joint-ventures et partenariats ;
restructurations ;
estimations, prvisions et budgets tablis par le management ;
questions lies lenvironnement ;
respect de la rglementation.
Un cadre de contrle interne

4. Lvaluation du systme de contrle interne dune organisation doit reposer sur une
dfinition large du contrle. LIIA estime pour sa part que les recommandations les
plus efficaces actuellement disponibles en matire de contrle interne sont celles
figurant dans le rapport intitul Internal Control Integrated Framework (publi
en France sous le titre La pratique du contrle interne COSO Report ), publi en
1992 et en 1994 par le COSO (Committee of Sponsoring Organisations de la
Commission Treadway). Bien que le recours au modle propos par le COSO soit
communment admis, il peut savrer appropri dutiliser dautres modles reconnus
et crdibles. Il arrive parfois que les exigences rglementaires ou lgales prconisent
lutilisation dun modle ou dun dispositif de contrle particulier pour une organisa-
tion ou un secteur au sein dun pays donn.
5. Il est pertinent de rappeler plusieurs conclusions du rapport intitul La pratique du

contrle interne COSO Report .
Le contrle interne est dfini de faon large ; il ne se limite pas des contrles
comptables et nest pas restreint au seul reporting financier ;
Malgr limportance des rapports comptables et financiers, il existe dautres domaines
importants, notamment la protection du patrimoine, lefficacit et lefficience des
JUIN 2004
62
oprations, et le respect des rgles, de la rglementation et des procdures de

lorganisation. Ces facteurs ont galement un impact sur le reporting financier ;
Le contrle interne relve de la responsabilit du management et son efficacit
suppose la participation de tous les membres dune organisation ;
Le cadre de contrle est li aux objectifs de lentreprise et il est suffisamment
souple pour tre modulable.
Rapports sur lefficacit du contrle interne

6. Le responsable de laudit interne doit communiquer au comit daudit son valuation
sur lefficacit du dispositif de contrles de lorganisation, y compris son opinion sur
la pertinence du modle conceptuel de contrle. Le Conseil sappuie sur le manage-
ment pour mettre en place un systme de contrle interne adquat et efficace. Cet
appui sera renforc par lexercice dune supervision indpendante. Le Conseil ou son
comit daudit (ou tout autre comit en tenant lieu) doivent poser les questions
suivantes et peuvent attendre du responsable de laudit interne quil contribue y
rpondre.
(a) Existe-t-il un environnement et une culture thiques solides ?

Les membres du Conseil et la direction gnrale montrent-ils lexemple dun
haut niveau dintgrit ?
Les objectifs de performance et les objectifs fixs pour le calcul des primes sont-
ils ralistes ou engendrent-ils une pression excessive incitant ne considrer
que les rsultats court terme ?
Le code de conduite de lorganisation est-il renforc par des sances de forma-
tion et par une communication partant du sommet ? Le message parvient-il jus-
quaux salaris sur le terrain ?
Les canaux de communication de lorganisation sont-ils ouverts ? Les cadres,
tous les chelons de la hirarchie, obtiennent-ils les informations dont ils ont
besoin ?
Applique-t-on un degr de tolrance zro tous les niveaux en cas dinformation
financire mensongre ?
(b) Comment lorganisation identifie-t-elle et gre-t-elle les risques ?

Existe-t-il un processus de management des risques, et est-il efficace ?
Les risques sont-ils grs dans lensemble de lorganisation ?
Les risques importants sont-ils examins ouvertement avec le Conseil ?
JUIN 2004
63
(c) Le dispositif de contrle est-il efficace ?

Les contrles effectus par lorganisation sur le processus de reporting financier
sont-ils exhaustifs et incluent-ils llaboration des tats financiers, des notes
annexes et des autres informations obligatoires et facultatives qui font partie
intgrante des rapports financiers ?
La direction gnrale et les cadres oprationnels montrent-ils quils acceptent la
responsabilit des contrles ?
Les rsultats financiers ou les informations financires annexes publis par
lorganisation gnrent-ils un nombre croissant de surprises parmi les membres
de la direction gnrale, du Conseil ou au sein du public ?
La communication et le reporting sont-ils de qualit dans lensemble de lorga-
nisation ?
Les contrles sont-ils perus comme un moyen de mieux assurer la ralisation
des objectifs ou comme un mal ncessaire ?
Lorganisation recrute-t-elle rapidement des collaborateurs comptents, et reoi-
vent-ils une formation adquate ?
Les problmes sont-ils rsolus rapidement et intgralement ?
(d) Existe-t-il un bon pilotage ?

Le Conseil est-il indpendant du management, bien inform et soucieux de se
tenir inform ? Ses membres sont-ils libres de tout conflit dintrt ?
Laudit interne bnficie-t-il du soutien de la direction gnrale et du comit
daudit ?
Les auditeurs internes et externes peuvent-ils communiquer et communiquent-
ils ouvertement avec tous les membres de la direction gnrale et du comit
daudit ? Y ont-ils un accs priv ?
Les cadres oprationnels pilotent-ils le processus de contrle ?
Existe-t-il un programme de suivi des processus externaliss ?
7. Les contrles internes ne peuvent garantir le succs. Les mauvaises dcisions, le

manque de comptence des managers ou certains facteurs lis lenvironnement
peuvent annihiler les contrles. Par ailleurs, des dirigeants malhonntes peuvent
outrepasser les contrles et ignorer ou neutraliser les communications de leurs
subordonns. Un Conseil actif et indpendant avec lequel tous les membres du mana-
gement communiquent de faon ouverte et sincre, et qui bnficie de lassistance
de services financiers, juridiques et daudit interne comptents, est en mesure
didentifier les problmes et dassurer une supervision efficace.
JUIN 2004
64
Missions de lauditeur interne

8. Le responsable de laudit interne doit examiner lvaluation des risques ralise par
laudit interne et le plan annuel daudit, en particulier lorsque les ressources
engages pour assister la direction gnrale, le comit daudit et lauditeur externe
remplir leurs missions, en matire de reporting financier de lanne venir, ne sont
pas suffisantes. Le processus de reporting financier englobe la prparation des
informations et llaboration des tats financiers, des notes annexes et des autres
informations publies dans les rapports financiers de lorganisation.
9. Le responsable de laudit interne doit sappuyer sur lvaluation des risques de

lorganisation pour allouer les ressources de laudit interne aux processus de reporting
financier, de gouvernement dentreprise et de contrle. Les procdures quil met en
uvre doivent donner la direction gnrale et au comit daudit une assurance que
les contrles relatifs aux processus dlaboration des rapports financiers sont bien
conus et efficaces. Ces contrles doivent tre suffisants pour assurer la prvention
et la dtection des erreurs significatives, des irrgularits, des hypothses et estima-
tions fausses, et de tout autre vnement pouvant entraner la prsentation dtats
financiers, de notes annexes ou dautres informations inexactes ou trompeuses.
10. La liste suivante propose des sujets que le responsable de laudit interne pourra exa-
miner, dans le cadre du soutien apport au processus de gouvernement dentreprise
de lorganisation et aux fonctions de supervision du Conseil ou organe dlibrant et
de son comit daudit (ou de tout autre comit) afin dassurer la fiabilit et lintgrit
des rapports financiers.
(a) Reporting financier
apport dinformations concernant la dsignation des experts-comptables ind-
pendants ;
coordination des plans daudit, de la couverture des travaux et du calendrier
daudit avec les auditeurs externes ;
discussion des rsultats des audits avec les auditeurs externes ;
change dobservations pertinentes avec les auditeurs externes et le comit
daudit sur les procdures et mthodes comptables, sur les dcisions prises dans
ce domaine (notamment celles concernant les lments discrtionnaires et les
oprations hors bilan), sur certains aspects du processus de reporting financier,
ainsi que sur les oprations et les vnements financiers inhabituels ou
complexes (par exemple oprations entre parties lies, fusions et acquisitions,
joint-ventures, et transactions conclues dans le cadre de partenariats) ;
participation au processus dexamen des rapports financiers et de linformation
financire avec le comit daudit, les auditeurs externes et la direction gnrale ;
valuation de la qualit des rapports financiers, notamment de ceux qui sont
dposs auprs dinstances rglementaires ;
JUIN 2004
65
valuation de ladquation et de lefficacit des contrles internes de lorganisa-

tion, en particulier des contrles affrents au processus de reporting financier ;
cette valuation doit tenir compte de la vulnrabilit de lorganisation au risque
de fraudes et de lefficacit des programmes et des contrles destins attnuer
ou liminer ces risques ;
contrle du respect par les managers du code de conduite de lorganisation, des
rgles dthique et des autres procdures visant promouvoir un comportement
thique ; le fait que la direction gnrale montre lexemple en matire dthique
et instaure un mode de communication ouvert et sincre avec les salaris, le
Conseil et les parties prenantes extrieures, constitue un facteur important pour
linstauration dune relle culture thique dans lorganisation.
(b) Gouvernement dentreprise

examen des procdures relatives au respect des lois et rglements, lthique,
aux conflits dintrt et la ralisation denqutes approfondies, et dans des
dlais appropris, en cas de soupon de mfait et de fraude ;
examen des litiges ou des procdures judiciaires en cours en rapport avec les
risques et le gouvernement dentreprise de lorganisation ;
communication dinformations sur les conflits dintrt des salaris, les mfaits,
les fraudes et les autres aspects ou lments des procdures dthique et du sys-
tme de reporting de lorganisation.
(c) Contrles de lorganisation

examen de la fiabilit et de lintgrit des informations financires et de gestion
rassembles et publies par lorganisation ;
analyse des contrles affrents aux procdures comptables les plus sensibles et
comparaison avec les meilleures pratiques (par exemple, en cas doprations
soulevant des questions concernant la comptabilisation du chiffre daffaires ou
le traitement comptable des lments hors bilan, il convient de vrifier la confor-
mit aux normes comptables gnralement admises en la matire) ;
valuation du caractre raisonnable des estimations et des hypothses retenues
pour llaboration des rapports financiers et des rapports de gestion ;
contrle de la cohrence des estimations et des hypothses incluses dans les
informations publies avec les donnes sous-jacentes et les pratiques de lorga-
nisation et, le cas chant, avec des lments similaires figurant dans les
rapports dautres socits ;
valuation du processus de prparation, dexamen, dapprobation et de compta-
bilisation des critures ;
valuation du caractre suffisant des contrles en place dans la fonction
comptable.
JUIN 2004
66
2120.A4
Des critres adquats sont ncessaires pour valuer le dispositif de contrle.

Les auditeurs internes doivent dterminer dans quelle mesure le management
a dfini des critres adquats pour apprcier si les objectifs et les buts ont t
atteints. Si ces critres sont adquats, les auditeurs internes doivent les utiliser
dans leur valuation. S'ils sont inadquats, les auditeurs internes doivent travailler
avec le management pour laborer des critres d'valuation appropris.
MPA 2120.A4-1
Critres de contrle
lorsquils valuent les critres de contrle. La prsente MPA na pas pour but de
1. Lvaluation des contrles suppose que la direction gnrale dtermine au pralable

le niveau de risque quelle est dispose prendre dans le domaine considr. Les
auditeurs internes doivent identifier ce niveau de risque. cette fin, il convient de
raisonner en termes de rduction de limpact potentiel des principaux risques sur la
ralisation des grands objectifs fixs pour le domaine considr.
2. Lorsque la direction gnrale na pas prcis les principaux risques ni le niveau de

risque quelle est dispose prendre, laudit interne peut lassister en organisant des
ateliers chargs didentifier les risques ou en mettant en uvre dautres techniques
utilises par lorganisation.
3. Une fois le niveau de risque prcis, les contrles en place peuvent tre valus : on
peut alors estimer leur capacit ramener les risques au niveau souhait.
JUIN 2004
67
2130
Gouvernement dentreprise
L'audit interne doit valuer le processus de gouvernement dentreprise et formuler
les recommandations appropries en vue de son amlioration. cet effet,
il dtermine si le processus rpond aux objectifs suivants :
promouvoir des rgles dthique et des valeurs appropries au sein de lorganisa-
tion ;
garantir une gestion efficace des performances de lorganisation, assortie dune
obligation de rendre compte ;
bien communiquer aux services concerns au sein de lorganisation les informa-
tions relatives aux risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination efficace de leurs activits.
2130.A1
Laudit interne doit valuer la conception, la mise en uvre et lefficacit

des objectifs, des programmes et des activits de l'organisation lis lthique.
MPA 2130-1
Le rle de laudit interne et de lauditeur interne en terme de culture thique
Les auditeurs internes doivent tenir compte des points suivants pour dfinir leur rle
en matire de culture thique au sein dune organisation. Ce rle varie selon quil existe
ou non une culture thique dans lorganisation et selon son degr de dveloppement.
La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre
pour raliser une mission complte dassurance ou de conseil sur la culture dune orga-
nisation en matire dthique.
1. La prsente MPA souligne limportance de la culture dentreprise dans linstauration

dun environnement thique et contient des suggestions quant au rle que les audi-
teurs internes peuvent jouer dans lamlioration de cet environnement. En particulier,
cette MPA :
JUIN 2004
68
dcrit la nature du processus de gouvernement dentreprise ;

tablit un lien entre ce processus et la culture de lentreprise en matire dthique ;
prcise que toute personne lie lorganisation, et en particulier les auditeurs internes,
doivent promouvoir et dfendre lthique ;
numre les caractristiques dune culture thique renforce.
2. Lorganisation peut adopter diverses formes juridiques, structures, stratgies et pro-

cdures pour sassurer :
quelle respecte la lgislation et la rglementation en vigueur ;
quelle rpond aux normes gnralement admises dans le monde des affaires, aux
principes dthique et aux attentes sociales de la socit civile ;
quelle opre conformment lintrt gnral et quelle renforce les intrts de ses
parties prenantes, tant long terme qu court terme ;
quelle informe ses actionnaires, les instances rglementaires, les autres parties
prenantes et le public de faon exhaustive et sincre et rend compte de ses dci-
sions, de ses actes, de sa gestion et de ses rsultats.
Les moyens mis en uvre par une organisation pour remplir ces quatre objectifs cor-
respondent ce que lon dsigne gnralement par lexpression processus de gouver-
nement dentreprise. Lefficacit du gouvernement dentreprise relve de la responsa-
bilit de lorgane dlibrant de lorganisation (tels que Conseil ou comit de direction)
et de la direction gnrale.
3. Les pratiques adoptes par une organisation en matire de gouvernement dentreprise

sont le rsultat dune culture unique et sans cesse volutive qui influe sur les rles,
conditionne les comportements, dtermine les objectifs et les stratgies, mesure les
performances et dfinit les responsabilits. Cette culture influe sur les valeurs, les
rles et les comportements dicts et tolrs par lorganisation et conditionne limpor-
tance, le soin ou lindiffrence quelle attache lexercice de ses responsabilits
envers la socit civile. Ainsi, lefficacit du processus de gouvernement dentreprise
dpend dans une large mesure de la culture de lorganisation.
4. Toutes les personnes lies lorganisation sont dans une certaine mesure responsa-
bles de sa culture thique. tant donn la complexit et la dispersion des processus
de dcision dans la plupart des organisations, chacun doit tre encourag promou-
voir et dfendre lthique, que ce rle lui soit dlgu officiellement ou de faon infor-
melle. Les codes de conduite, ainsi que les rapports sur la stratgie et les politiques
de lorganisation, constituent dimportantes dclarations dans lesquelles lorganisa-
tion prcise ses valeurs et ses buts, le comportement attendu de son personnel et les
stratgies adoptes pour instaurer une culture cohrente avec les responsabilits qui
OCTOBRE 2002
69
lui incombent sur le plan juridique, sur celui de lthique et vis--vis de la socit
civile. Un nombre croissant dorganisations ont dsign un responsable de lthique
charg de conseiller la direction gnrale, les cadres et les autres membres du per-
sonnel et de montrer lexemple au sein de lorganisation.
5. Les auditeurs internes et laudit interne doivent contribuer activement soutenir la

culture thique au sein de lorganisation. On leur accorde une confiance et une int-
grit leve au sein de lorganisation ; ils possdent galement les comptences
ncessaires pour promouvoir avec efficacit une conduite thique. Ils ont la capacit
dinciter les dirigeants, les cadres et les autres employs de lorganisation respec-
ter les obligations qui leur incombent tant sur le plan juridique quen termes d-
thique ou vis--vis de la socit civile.
6. Laudit interne peut promouvoir et dfendre lthique de diffrentes manires. Il peut,

notamment, compter parmi ses collaborateurs un responsable de lthique (mdia-
teur, Compliance officer, conseiller de la direction ou expert en matire dthique), un
membre du comit interne dthique, ou une personne charge dvaluer le climat
thique qui rgne dans lorganisation. Il peut arriver, dans certains cas, que lexercice
des fonctions de responsable de lthique nuise lindpendance de laudit interne.
7. Le service daudit interne doit, au minimum, valuer priodiquement le climat

thique qui rgne au sein de lorganisation et lefficacit des stratgies, des tactiques,
de la communication et des autres processus mis en uvre pour atteindre le niveau
souhait de conformit la loi et aux normes dthique. Les auditeurs internes doi-
vent apprcier la ralit des lments suivants, qui sont le signe dune culture forte
et efficace en matire dthique :
existence dun code de conduite officiel, clair et comprhensible, de rapports et de
procdures annexes (notamment de procdures couvrant la fraude et la corruption),
et dautres documents dcrivant les aspirations de lorganisation ;
frquentes dmonstrations et tmoignages de comportement exemplaire en termes
dthique manant de dirigeants influents de lorganisation ;
stratgies explicites visant soutenir et renforcer la culture thique par des pro-
grammes rguliers permettant dactualiser et de renouveler lengagement de lorga-
nisation en matire dthique ;
existence de plusieurs systmes faciles daccs permettant de rvler, en toute
confidentialit, les manquements prsums au code de conduite et aux procdures,
et dautres actes de mauvaise conduite ;
dclarations rgulires des employs, des fournisseurs et des clients attestant quils
sont informs des rgles dthique respecter dans le cadre de transactions avec
lorganisation ;
OCTOBRE 2002
70
dfinition claire des responsabilits permettant de sassurer que les implications en

termes dthique sont values, que des conseils sont prodigus en toute confiden-
tialit, que les fautes prsumes font lobjet dune enqute et que ces anomalies
sont correctement rapportes ;
facilit daccs une formation permettant tous les collaborateurs de promouvoir
et de dfendre lthique,
pratiques positives du personnel, qui incitent chacun contribuer linstauration
dun climat thique dans lorganisation ;
enqutes rgulires auprs des employs, des fournisseurs et des clients afin dap-
prcier le climat thique qui rgne au sein de lorganisation ;
examens rguliers des processus formels et informels de lorganisation susceptibles
dengendrer des pressions et des drives peu propices une culture thique ;
vrification rgulire des rfrences et du parcours professionnel du personnel en
cours de recrutement, notamment tests dintgrit, contrles concernant la consom-
mation de drogues et autres mesures similaires.
On rappellera que le droit franais et la jurisprudence nautorisent la pratique

de tests de dpistage sur le lieu de travail que pour les salaris occups des tra-
vaux dangereux ou la conduite de vhicules, ou pour faire cesser immdiate-
ment une situation juge dangereuse.
OCTOBRE 2002
71
MPA SRIE 2200
Planification de la mission
2200 PLANIFICATION DE LA MISSION
LES AUDITEURS INTERNES DOIVENT CONCEVOIR ET FORMALISER

UN PLAN POUR CHAQUE MISSION. CE PLAN PRCISE LE CHAMP
DINTERVENTION, LES OBJECTIFS, LA DATE ET LA DURE
DE LA MISSION, AINSI QUE LES RESSOURCES ALLOUES
2201
Considrations relatives la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
les objectifs de lactivit soumise l'audit et la manire dont elle est matrise ;
Activit : Le texte originel parle de activity lentit soumise un audit nest

pas ncessairement un service au sens strict du terme. Ce peut tre un processus
complet (qui peut donc concerner plusieurs services, ex : laudit du processus
achat va concerner le service achat, le service logistique, le service comptable),
un systme, un thme etc.
les risques significatifs lis lactivit, ses objectifs, les ressources mises en uvre et
ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu un niveau acceptable ;
la pertinence et l'efficacit des systmes de management des risques et de contrle de
lactivit en rfrence un cadre ou modle de contrle appropri ;
les opportunits damliorer de manire significative les systmes de management des
risques et de contrle de lactivit.
2201.A1
Lorsquils planifient une mission pour des tiers extrieurs lorganisation, les auditeurs internes
doivent laborer avec eux un accord crit sur les objectifs et le champ de la mission, les respon-
sabilits et les attentes respectives, et prciser les restrictions observer en matire de diffusion
des rsultats de la mission et daccs aux dossiers.
JUIN 2004 3
MPA 2200-1
Planification de la mission

quils planifient les missions. La prsente MPA na pas pour but de prsenter toutes
les procdures mettre en uvre dans le cadre dune mission daudit ou de conseil
concernant le respect de la rglementation.
1. Lauditeur interne est responsable de la planification et de la conduite des missions

qui lui sont confies, sous rserve du contrle et de lapprobation par son superviseur.
Le programme de la mission doit :
documenter les procdures permettant l'auditeur interne de collecter, analyser,
interprter et documenter les informations pendant la mission ;
dfinir les objectifs de la mission ;
tablir le champ dintervention et le degr d'approfondissement ncessaire des
tests pour atteindre les objectifs de chaque phase de la mission ;
identifier les aspects techniques, les risques, les procds et les transactions qui
doivent tre audits,
tablir la nature et l'tendue ncessaire des tests ;
tre prpar avant le dmarrage de la mission et modifi, si ncessaire, au cours de
la mission.
2. Le responsable de l'audit interne a la responsabilit de dterminer comment, quand et

qui les rsultats de l'audit seront communiqus. Ces prcisions seront documentes et
communiques au management autant que possible, pendant la phase de planification
de la mission. Les changements ultrieurs qui affectent les dlais et la diffusion des
rsultats de l'audit devront tre galement communiqus au management, si ncessaire.
3. D'autres exigences telles que la dure de la mission et les dates estimes de sa ralisa-
tion, devront tre dtermines. La structure du rapport d'audit final devra tre envisa-
ge, puisqu'une planification correcte ce stade facilite la prparation du rapport final.
Rapport daudit final : le terme anglais est plus gnral final engagement commu-
nication, ceci indique que le produit fini dune mission ne se matrialise pas nces-
sairement sous forme de rapport au sens traditionnel du terme. La prsentation des
rsultats dune mission peut se faire sur diffrents supports et suivant diffrents for-
mats (prsentation de type power point, rapport classique ). Par contre, si le for-
mat a t dfini au moment de la lettre de mission, il est impratif de sy conformer. La
forme et le mdia sont laisss lapprciation du dpartement daudit interne.
OCTOBRE 2002
4
SRIE 2200 - PLANIFICATION DE LA MISSION
4. Une information devra tre donne au management concern. Des runions doivent
se tenir avec le management responsable de l'activit tudie. Un rsum des sujets
discuts pendant les runions et des conclusions doit tre prpar, distribu aux per-
sonnes concernes et conserv dans le dossier de la mission.
Dans certaines circonstances, pour assurer le succs de la mission et la fiabilit

des rsultats attendus, la communication pralable la mission peut tre res-
treinte ou soumise un niveau de confidentialit plus important. Dans certains
cas mme, le responsable de lentit audite peut ne pas tre averti de la mission,
avec laccord de la direction gnrale.
Les sujets de discussion peuvent tre les suivants :
les objectifs et le champ d'intervention de la mission d'audit planifie ;

le calendrier de la mission ;
la liste des auditeurs internes affects la mission ;
le processus de communication en cours de mission, y compris les mthodes, le
calendrier, et les personnes responsables ;
les conditions de gestion et les oprations de l'activit audite, y compris les chan-
gements rcents au niveau du management et des systmes les plus importants ;
les proccupations et les demandes du management ;
les sujets particuliers ou les proccupations de l'auditeur interne ;
la description des procdures de l'audit interne pour rendre compte et assurer le
suivi de la mission.
OCTOBRE 2002
5
2210
Les objectifs doivent tre prciss pour chaque mission
MPA 2210-1
lorsquils tablissent les objectifs de la mission. La prsente MPA na pas pour but de
1. Cette planification doit faire lobjet de documents crits. Les objectifs de la mission
et le champ dintervention doivent tre dfinis. Les objectifs d'audit mis au point par
les auditeurs internes dfinissent les ralisations attendues de la mission en termes
gnraux. Les procdures de la mission sont les moyens pour atteindre les objectifs
de la mission. L'ensemble des objectifs et des procdures de la mission dfinissent
le champ d'intervention de l'auditeur interne.
2. Les objectifs et les procdures de la mission doivent tenir compte des risques lis
l'activit audite. Le mot risque est la probabilit que se produise un vnement
susceptible davoir un impact sur la ralisation des objectifs. Le risque se mesure en
termes de consquences et de probabilit. Le but de l'valuation des risques, pendant
la phase de planification de l'audit, est d'identifier les secteurs importants de
l'activit quil convient dexaminer comme objectifs potentiels de la mission.
JUIN 2004
6
2210.A1
L'auditeur interne doit procder une valuation prliminaire des risques
lis lactivit soumise l'audit. Les objectifs de la mission doivent tre
dtermins en fonction des rsultats de cette valuation.
MPA 2210.A1-1
valuation des risques dans la planification de la mission
lorsquils valuent les risques lors de la planification de la mission. La prsente MPA
lement pour objet de recommander la prise en compte dun ensemble dlments. Il
appartient aux auditeurs internes dapprcier quels sont les lments ncessaires
pour acqurir une assurance suffisante que les risques appropris sont identifis pour
une mission donne.
1. Lauditeur interne doit tenir compte de lvaluation des risques effectue par le mana-
gement pour lactivit examine, et notamment des lments suivants :
fiabilit de cette valuation des risques ;
suivi des risques et diffusion dinformations sur les risques par le management ;
comptes-rendus du management sur les vnements qui ont dpass les limites
fixes en matire de tolrance des risques ;
existence de risques identifis par le management au sein de lorganisation dans des
activits lies lactivit examine, ou dans des systmes support ;
valuation par le management lui-mme des contrles relatifs aux risques.
2. Des informations de base sur lactivit auditer doivent tre obtenues. Un examen de ces
informations devra tre effectu pour dterminer leur impact sur la mission. Elles peu-
vent porter notamment sur :
les objectifs et les buts de lactivit ;
les rgles, plans, procdures, lois, rglementations et contrats qui peuvent avoir un
impact significatif sur les oprations, et les rapports ;
JUIN 2004
7
l'organisation, par exemple, le nombre et le nom des salaris, les collaborateurs

occupant des postes cl, la description des postes, ainsi que les dtails relatifs aux
derniers changements de l'organisation, y compris les changements importants des
systmes informatiques ;
le budget, les rsultats dexploitation et les donnes financires sur l'activit
auditer ;
les papiers de travail de la mission prcdente ;
les rsultats d'autres missions, y compris ceux des auditeurs externes, termins ou
en cours ;
les dossiers de correspondance afin de dtecter dventuelles problmatiques
importantes ;
la littrature technique faisant autorit pour l'activit concerne.
3. Ralisation, si ncessaire, dun examen prliminaire sur place pour se familiariser

avec les activits, les risques et les contrles, pour identifier les domaines o la mis-
sion devra tre approfondie et pour inviter les clients de la mission fournir leurs
commentaires et suggestions. Un examen prliminaire est un procd permettant de
rassembler des informations sur l'activit tudie, sans vrification dtaille. Les prin-
cipaux buts sont :
comprendre l'activit tudie ;
identifier les secteurs importants ncessitant une analyse plus approfondie ;
obtenir des informations utiles pour raliser la mission ;
dterminer s'il est ncessaire de continuer la mission.
4. Un examen prliminaire permet une approche documente pour planifier et raliser

la mission. C'est un moyen efficace pour affecter les ressources de l'audit interne aux
secteurs o elles peuvent tre utilises le plus efficacement.
Suivant la nature de l'audit, l'examen prliminaire sera plus ou moins approfondi.
Ltendue et la dure de l'examen prliminaire varieront en fonction de l'exprience
et de la formation de l'auditeur, sa connaissance de l'activit tudie, le type de
mission et le fait que ce soit une mission rcurrente ou une mission de suivi de mise
en place des recommandations. La dure sera aussi influence par la dimension et la
complexit de l'activit tudie ainsi que par la dispersion gographique de cette acti-
vit.
5. Un examen prliminaire peut entraner l'utilisation des procdures suivantes :

discussions avec le client de la mission ;
entretiens avec les personnes concernes par l'activit, par exemple, les utilisateurs
des produits dlivrs par l'activit ;
JUIN 2004
8
observations sur place ;

revue des rapports et des tudes du management ;
procdures d'audit analytiques ;
diagrammes de circulation ;
walk-through fonctionnels (tests sur tches dun travail spcifique du dbut jus-
qu la fin) ;
documentation des activits de contrle cl.
6. Lauditeur interne doit tablir un rsum des rsultats obtenus suite lexamen de
lvaluation des risques effectue par le management, des informations de base, et
des conclusions des revues prliminaires. Ce rsum doit identifier :
les problmes importants et les raisons pour poursuivre une tude plus approfondie ;
les informations pertinentes provenant de diffrentes sources ;
les objectifs et les procdures de la mission, ainsi que les approches particulires
telles que les techniques d'audit assist par ordinateur ;
les points de contrles potentiellement dlicats, les manques ou les excs de
contrle apparents ;
les premires estimations en matire de dlai et de besoin en ressources ;
les dates actualises pour les phases dmission du rapport et de fin de mission ;
si ncessaire, les raisons pour ne pas continuer la mission.
JUIN 2004
9
2230
Ressources affectes la mission

Les auditeurs internes doivent dterminer les ressources appropries pour atteindre
les objectifs de la mission. La composition de lquipe doit sappuyer
sur une valuation de la nature et de la complexit de chaque mission,
des contraintes de temps et des ressources disponibles.
MPA 2230-1
Ressources affectes la mission

Il est conseill aux auditeurs internes de tenir compte des recommandations suivan-
tes lorsquils affectent des ressources la mission. La prsente MPA na pas pour but
de procder un expos exhaustif des points examiner. Elle a seulement pour objet
de recommander la prise en compte dun ensemble dlments.
1. Pour dterminer les ressources ncessaires la ralisation de la mission, il est impor-

tant dvaluer les points suivants :
les exigences quant au nombre d'auditeurs internes et au niveau d'exprience de
l'quipe d'audit doivent sappuyer sur une valuation de la nature et de la complexit
de la mission confie, les contraintes de temps et les ressources disponibles ;
les connaissances, le savoir-faire et autres comptences des auditeurs internes sont
prendre en considration pour leur affectation chaque mission d'audit ;
les besoins de formation des auditeurs doivent tre pris en compte pour chaque
mission : c'est partir de l que se constitue la base des connaissances ncessaires
de laudit interne ;
Besoins de formation : Cette recommandation nimplique pas ncessairement

que lauditeur suive une formation ad hoc avant de commencer une mission
(comptences pr-requises abordes au 2e point) mais qu'une mission peut tre
aussi une opportunit pour un auditeur dapprofondir la connaissance de
lentreprise et de ses processus tout en lui permettant de dvelopper ses propres
comptences.
l'utilisation de ressources externes doit tre envisage dans les cas o des connais-
sances, un savoir-faire ou des comptences supplmentaires sont ncessaires.
OCTOBRE 2002
10
2240
Programme de travail de la mission

Les auditeurs internes doivent laborer un programme de travail permettant
d'atteindre les objectifs de la mission. Ce programme de travail doit tre formalis.
MPA 2240-1
Programme de travail de la mission
Il est conseill aux auditeurs internes de tenir compte des recommandations

suivantes lorsquils laborent les programmes de travail de la mission. La prsente
MPA na pas pour but de procder un expos exhaustif des points examiner. Elle
a seulement pour objet de recommander la prise en compte dun ensemble
dlments.
1. Les procdures daudit, y compris les techniques de sondage et dchantillonnage uti-

lises, doivent tre fixes lavance si possible, et dveloppes ou modifies si les
circonstances le justifient. Des lignes directrices plus dtailles sont prsentes dans
la MPA 2210.A1-1.
2. Le processus de collecte, danalyse, dinterprtation et de documentation de

linformation doit tre supervis afin dobtenir une assurance raisonnable que
lobjectivit de lauditeur est maintenue et que les objectifs daudit sont atteints.
OCTOBRE 2002
11
2240.A1
Le programme de travail doit dfinir les procdures appliquer pour trouver,

analyser, valuer et documenter les informations lors de la mission.
Le programme de travail doit tre approuv avant sa mise en uvre.
Les ajustements ventuels doivent tre approuvs rapidement.
MPA 2240.A1-1
Approbation des programmes de travail
lorsquils approuvent les programmes de travail. La prsente MPA na pas pour but de
1. Le programme de travail de la mission doit tre approuv par crit par le responsable
de l'audit interne ou son dlgu avant le dmarrage de la mission, dans toute la
mesure du possible. L'approbation peut tre d'abord obtenue oralement s'il n'est pas
possible de l'obtenir par crit avant le dmarrage de la mission. Les modifications
apportes au programme de la mission doivent tre approuves temps.
Par crit : la formalisation de lapprobation nest pas ncessairement lourde. Le

document programme de travail peut faire apparatre le nom du crateur du
document et mnager un espace revu par _ que le Directeur de laudit inter-
ne ou son dlgu pourront marger une fois la revue du document acheve.
JUIN 2004
12
MPA SRIE 2300
Accomplissement de la mission
2300 A C C O M P L I S S E M E N T DE LA MISSION
LES AUDITEURS INTERNES DOIVENT IDENTIFIER,

ANALYSER, VALUER ET DOCUMENTER LES INFORMATIONS
NCESSAIRES POUR ATTEINDRE LES OBJECTIFS DE LA MISSION
MPA 2300-1
Lutilisation dinformations caractre personnel
par lauditeur interne dans le cadre des audits
Interprtation de la norme n 2300 extraite des Normes internationales

pour la Pratique Professionnelle de lAudit Interne
Nature de cette recommandation :
lorsquils envisagent dutiliser des informations caractre personnel dans le cadre
dune mission dassurance ou de conseil. La prsente MPA na pas pour but de dresser
une liste exhaustive de recommandations relatives lutilisation de donnes caractre
personnel. Elle a seulement pour objet de rappeler limportance dune utilisation appro-
prie de ces informations conformment aux lois et procdures du pays concern,
savoir celui dans lequel laudit est ralis et o lorganisation exerce une activit.
1. La protection de la vie prive et des informations caractre personnel fait lobjet

dune attention accrue dans la mesure o les avances en matire de technologies
de linformation et de moyens de communication introduisent de nouveaux risques et
menaces pour la vie prive. Dans la plupart des pays, la lgislation contraint les orga-
nisations se doter dun dispositif de contrle visant protger la vie prive.
2. Les informations caractre personnel correspondent gnralement des informa-

tions que lon peut associer un individu donn, soit en tant que telles soit en les
regroupant avec dautres informations1. Il peut sagir dinformations factuelles ou
subjectives, enregistres ou non, et ce quels quen soient la forme ou le support.
JUIN 2004
3-1
titre dexemple, les informations1 caractre personnel incluent notamment :

le nom, ladresse, les numros didentification, le revenu ou le groupe sanguin ;
les valuations, les commentaires, le statut social ou les mesures disciplinaires ;
les dossiers des salaris, les informations relatives aux crdits et aux prts accords.
3. Dans la plupart des cas, la lgislation stipule que les organisations doivent identifier
lobjectif de la collecte dinformations caractre personnel, au plus tard la date de
celle-ci, et que ces informations ne doivent pas tre utilises ni divulgues des fins
autres que celles pour lesquelles elles ont t collectes, sauf accord de lintress
ou prescription lgale.
4. Il est important que lauditeur interne comprenne et respecte les lois concernant
lutilisation dinformations caractre personnel tant dans leur pays que dans ceux
o leur organisation exerce une activit.
5. Lauditeur interne ne doit pas perdre de vue quil peut tre inopportun, voire illgal,
daccder des informations caractre personnel dans le cadre de certaines mis-
sions daudit interne, ou de rcuprer ce type dinformations, de les examiner, mani-
puler ou de les exploiter.
6. Lauditeur interne doit tudier avec soin tout problme avant denclencher un audit et
consulter les juristes de lorganisation en cas de question ou de doute dans ce
domaine.
1. Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim
Hargraves, Susan B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal
Auditors Research Foundation.
JUIN 2004
3-2
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2310
Identification des informations

Les auditeurs internes doivent identifier les informations ncessaires,
fiables, pertinentes et utiles pour atteindre les objectifs de la mission.
MPA 2310-1
Identification des informations
Nature de cette modalit pratique dapplication :
lorsquils recueillent des informations. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recom-
mander la prise en compte dun ensemble dlments.
1. Des informations doivent tre rassembles sur tous les lments en relation avec les
objectifs et le champ dapplication de la mission. Les auditeurs internes utilisent des
procdures analytiques lors de l'examen et de l'identification des informations. Les
procdures d'audit analytiques sont mises en uvre en tudiant et en comparant les
relations entre les informations financires et les autres. Les procdures d'audit ana-
lytiques pour identifier les informations analyser se fondent sur l'hypothse, qu'en
absence de conditions connues contraires, on s'attend raisonnablement ce que des
rapports entre certaines informations existent et se maintiennent. Des exemples de
conditions contraires sont des transactions ou des vnements inhabituels ou ne se
reproduisant pas : des modifications de principes comptables, d'organisation,
d'oprations, d'environnement, ainsi que des changements technologiques ; des
insuffisances ; des facteurs d'inefficacit ; des erreurs ; des irrgularits ou des frau-
des.
2. Ces informations doivent tre suffisantes, concluantes, pertinentes et utiles, de

manire fournir une base solide aux constatations de laudit et ses recommanda-
tions.
Une information est suffisante si elle est fonctionnelle, approprie et probante, de
sorte quune personne prudente et informe aboutisse aux mmes conclusions que
OCTOBRE 2002
4-1
lauditeur.
Une information concluante est fiable et facilement accessible par lutilisation de
techniques daudit appropries.
Une information est pertinente si elle conforte les constatations et recommandations
de laudit, et rpond aux objectifs de la mission.
Une information est utile si elle aide lorganisation atteindre ses objectifs.
OCTOBRE 2002
4-2
2320
Les auditeurs internes doivent fonder leurs conclusions et
les rsultats de leur mission sur des analyses et valuations appropries.
MPA 2320-1
lorsquils utilisent des analyses et des valuations pour fonder leurs conclusions. La
prsente MPA na pas pour but de procder un expos exhaustif des points exami-
ner. Elle a seulement pour objet de recommander la prise en compte dun ensemble
dlments.
1. Les procdures d'audit analytiques fournissent aux auditeurs des moyens efficaces et
efficients pour valuer et juger les informations collectes durant une mission.
L'valuation est le rsultat de la comparaison de ces informations avec les rsultats
attendus, identifis ou dvelopps par l'auditeur interne.
Les procdures d'audit analytiques sont utiles pour identifier, par exemple :
des diffrences inattendues ;
l'absence de diffrences attendues ;
des erreurs potentielles ;
des irrgularits ou des fraudes potentielles ;
d'autres transactions ou vnements inhabituels ou non rcurrents.
2. Les procdures d'audit analytiques comportent par exemple :

la comparaison entre les informations de la priode en cours et les informations
similaires des priodes prcdentes ;
la comparaison entre les informations de la priode en cours et les budgets ou les
prvisions ;
l'tude des rapports existants entre des informations financires et des informations
non financires appropries (par exemple, les montants de la paie comptabiliss
compars avec lvolution du nombre moyen de collaborateurs) ;
OCTOBRE 2002
5
l'tude des rapports existants entre divers lments d'information (par exemple, les
fluctuations des montants d'intrt comptabiliss, compares aux volutions des
soldes des dettes correspondantes) ;
la comparaison entre les informations concernant plusieurs units oprationnelles ;
la comparaison avec des informations sectorielles de mme nature.
3. Les procdures d'audit analytiques peuvent utiliser des valeurs montaires, des quan-
tits physiques, des ratios ou des pourcentages. Des procdures d'audit analytiques
spcifiques peuvent comporter, par exemple, des ratios, des tendances et des ana-
lyses de rgression, des tests de vraisemblance, des comparaisons entre priodes, des
comparaisons avec les budgets, les prvisions, et des informations conomiques ext-
rieures. Les procdures d'audit analytiques aident l'auditeur interne identifier les
conditions qui peuvent entraner des procdures d'audit complmentaires. Les audi-
teurs internes doivent utiliser des procdures d'audit analytiques pour planifier la mis-
sion dans le respect des instructions contenues dans la section 2200 des normes
(MPA 2210-1)
4. Les procdures d'audit analytiques doivent galement tre utilises pendant la mis-
sion pour examiner et valuer les informations qui supportent les rsultats d'audit.
Les auditeurs internes doivent prendre en considration les facteurs suivants pour
dterminer dans quelle mesure des procdures d'audit analytiques doivent tre utili-
ses. Aprs avoir valu ces facteurs, les auditeurs internes doivent prendre en consi-
dration et utiliser, si ncessaire, d'autres procdures d'audit pour atteindre l'objectif
de la mission, savoir :
l'importance du secteur tudi ;
la validit du systme de contrle interne ;
la disponibilit et la confiance dans les informations financires et non financires ;
la prcision attendue des rsultats des procdures daudit analytiques ;
la disponibilit et la possibilit de faire des comparaisons sectorielles ;
la validit d'autres procdures d'audit pour tayer les rsultats de la mission.
5. Quand les procdures d'audit analytiques mettent jour des rapports ou des rsultats
inattendus, les auditeurs internes doivent examiner et valuer ces rsultats et rap-
ports. L'examen et l'valuation des rapports ou des rsultats inattendus obtenus par
des procdures d'audit analytiques doivent conduire interroger le management ou
utiliser d'autres procdures d'audit jusqu' ce que les auditeurs internes obtiennent
des explications satisfaisantes. Les rsultats ou les rapports, obtenus par des proc-
dures d'audit analytiques, et qui ne sont pas expliqus, peuvent tre le signe de faits
importants tels qu'une erreur, une irrgularit, une fraude possibles. Les rsultats ou
les rapports, fournis par des procdures d'audit analytiques, qui ne sont pas suffi-
samment expliqus, doivent tre communiqus au niveau appropri du management.
Les auditeurs internes peuvent recommander que des actions appropries soient
prises, en fonction des circonstances.
OCTOBRE 2002
6
2330
Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes
pour tayer les conclusions et les rsultats de la mission.
MPA 2330-1
Documentation des informations
lorsquils enregistrent les informations obtenues. La prsente MPA na pas pour but de
1. Les papiers de travail qui servent documenter les travaux daudit doivent tre ta-
blis par lauditeur interne et revus par le management de laudit interne. Ces docu-
ments doivent consigner les informations obtenues et les analyses faites, et doivent
conforter les constatations et les recommandations daudit qui seront diffuses.
Les papiers de travail servent gnralement :

fournir le principal document dappui au rapport de la mission ;
aider la planification, lexcution et la rvision des missions ;
documenter la ralisation des objectifs daudit ;
faciliter la revue par des tiers ;
fournir une base dvaluation du programme qualit de laudit interne ;
apporter les lments probants en cas de rclamations des compagnies dassurance,
de fraude et de poursuites judiciaires ;
aider au dveloppement professionnel de lquipe daudit interne ;
dmontrer que laudit interne respecte les Normes pour la pratique professionnelle
de laudit interne.
2. Lorganisation, la conception et le contenu des dossiers de travail de laudit sont fonc-

tion de la mission. Les dossiers de travail doivent toutefois comprendre les lments
suivants du processus :
la planification de la mission ;
OCTOBRE 2002
7
lexamen et lvaluation de la validit et de lefficacit du systme de contrle

interne ;
les procdures suivies pour effectuer la mission, les informations obtenues et les
conclusions tires ;
la rvision des dossiers de travail ;
la communication des rsultats ;
le suivi de la mission.
3. Les dossiers de travail doivent tre complets et doivent appuyer les conclusions tires
de la mission. Les dossiers d'audit peuvent inclure entre autres :
les documents de planification et les programmes de la mission ;
les questionnaires de contrle, les diagrammes de circulation de linformation, les
listes de contrle et les memorandums de synthse ;
les notes et les comptes rendus des entretiens ;
des donnes sur lorganisation, comme les organigrammes et les dfinitions de
postes ;
une copie des contrats importants ;
des informations sur les politiques oprationnelles et financires ;
les rsultats des valuations du processus de contrle interne ;
les lettres de confirmation et de reprsentation ;
lanalyse et les sondages effectus sur des transactions, des processus et les soldes
comptables ;
les rsultats des procdures d'audit analytiques ;
le rapport final de la mission et les commentaires du management ;
la correspondance change, si elle documente les conclusions tires de la mission.
4. Le dossier de travail peut tre prsent sous forme papier, de cassette, de disquette,
dun film ou de tout autre moyen denregistrement. Lorsque le dossier de travail nest
pas sous forme papier, une copie de sauvegarde doit tre tablie.
5. En cas daudit portant sur les tats financiers, les papiers de travail doivent montrer
quils sont en accord ou rconcilis avec la comptabilit.
6. Le responsable de l'audit interne doit dfinir les rgles suivre en matire de papiers
de travail, adaptes chaque type de mission. La normalisation des dossiers de tra-
vail comme celle des questionnaires et des programmes daudit peut amliorer
lefficacit dune mission et faciliter la dlgation du travail. Certains dossiers de tra-
vail peuvent tre considrs comme des dossiers permanents. Ces dossiers contien-
nent les informations importantes caractre permanent.
OCTOBRE 2002
8
7. Voici des techniques typiques de la prparation dun dossier de travail :

chaque papier de travail doit porter le nom de la mission et dcrire le contenu ou
lobjet du papier de travail ;
chaque papier de travail doit tre sign (ou paraph) et dat par lauditeur interne
ralisant le travail ;
chaque papier de travail doit porter un index ou un numro de rfrence ;
les symboles de vrification ( tick marks ) doivent tre expliqus ;
les sources des donnes doivent tre prcises.
OCTOBRE 2002
9
2330.A1
Le responsable de l'audit interne doit contrler laccs aux dossiers de

la mission. Il doit, si ncessaire, obtenir laccord de la direction gnrale et/ou
lavis dun juriste avant de communiquer ces dossiers des parties extrieures.
MPA 2330.A1-1
Contrle des dossiers daudit
Il est conseill aux auditeurs internes de tenir compte des recommandations sui-
vantes qui concernent le contrle des dossiers daudit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner. Elle a seulement pour
1. Les papiers de travail de la mission sont la proprit de lorganisation. Ils doivent

gnralement demeurer sous le contrle de laudit interne et ne doivent tre accessi-
bles quau personnel autoris.
2. Le management et les autres membres de lorganisation peuvent demander laccs

aux papiers de travail de la mission. Un tel accs peut tre ncessaire pour corrobo-
rer ou expliquer les constatations et recommandations de la mission ou pour utiliser
les documents dune mission dautres fins. Le responsable de l'audit interne doit
autoriser pralablement ces demandes.
3. Il est de pratique courante pour les auditeurs internes et externes de se communiquer

leurs dossiers de travail respectifs. Laccs accord aux auditeurs externes doit tre
approuv par le responsable de l'audit interne.
4. Il y a des cas o les demandes daccs aux dossiers de travail et aux rapports sont faites
par des personnes extrieures lorganisation, autres que les auditeurs externes.
Avant daccepter de fournir la documentation demande, le responsable de l'audit
interne doit obtenir lapprobation de la direction gnrale et/ou, le cas chant, du
conseiller juridique.
OCTOBRE 2002
10
En France, les rapports daudit interne doivent tre communiqus, leur

demande, aux Commissaires aux comptes et la justice. Pour le secteur bancaire,
le rglement 97-02 du CRBF, remplac par le rglement 2000-01, prcise en outre
que les rapports sur le contrle interne et la surveillance des risques sont adres-
ss chaque anne aux Commissaires aux comptes et au secrtariat gnral de la
Commission Bancaire. Il convient donc de prsenter les faits dont ont eu
connaissance les auditeurs internes avec discernement, prudence et circonspec-
tion. Nous renvoyons ici aux commentaires formuls propos du code de don-
tologie.
MPA 2330.A1-2
Accs aux dossiers daudit aspects juridiques

Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes avant
daccorder laccs aux dossiers daudit des personnes extrieures laudit interne.
La prsente MPA na pas pour but de procder un expos exhaustif de tous les points
examiner.
Remarque pralable Les auditeurs internes sont invits consulter un conseiller juridique
sur toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier
considrablement selon les pays. Les directives contenues dans la prsente MPA reposent
principalement sur le systme juridique amricain mais peuvent tout aussi bien sappliquer
dans le contexte franais.
1. Les dossiers daudit interne incluent les rapports, les documents justificatifs les notes
de revue et la correspondance change, et ce quel que soit le support utilis. Les
auditeurs internes constituent ces dossiers avec lappui du management et des organes
dlibrants pour lesquels ils effectuent leurs prestations. Lon estime gnralement
que le contenu de ces dossiers est confidentiel et quil peut reposer la fois sur des
faits et sur des opinions. Or, les personnes qui nont pas une parfaite connaissance
de lorganisation ou de ses mthodes daudit interne sont susceptibles de mal inter-
prter ces faits et ces opinions. Laccs aux dossiers daudit peut tre sollicit par des
tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les pour-
suites pnales, les litiges, les vrifications fiscales, les contrles des instances rgle-
mentaires, lexamen des marchs publics et les contrles effectus dans le cadre de
professions habilites sauto-rglementer. La quasi totalit des dossiers non cou-
verts par le secret professionnel liant lavocat son client peuvent tre communiqus
en cas de poursuites pnales. Pour les autres procdures, la question de laccs aux
dossiers est moins vidente.
OCTOBRE 2002
11
2. Linsertion de procdures explicites dans les documents de laudit interne numrs

ci-dessous peut permettre de renforcer le contrle de laccs aux dossiers daudit. Ces
suggestions sont analyses dans les paragraphes ci-dessous :
Charte ;
Dfinitions de postes ;
Procdures internes du service ;
Procdures sur le droulement des enqutes effectues avec le Conseiller juridique.
3. La charte de laudit interne doit traiter la question de laccs aux dossiers et aux infor-
mations appartenant lorganisation et de leur contrle et ce, quel que soit le sup-
port utilis pour conserver les documents.
4. Les membres de laudit interne doivent disposer de dfinitions de postes crites pr-
cisant la nature des tches complexes et varies quils accomplissent. Ces dfinitions
de postes pourront aider les auditeurs internes en cas de demande de transmission
des dossiers. En outre, elles les aideront mieux cerner ltendue de leurs travaux
tout en permettant galement aux tiers de mieux apprhender les dossiers des audi-
teurs internes
5. Il convient dtablir des procdures spcifiques au service daudit interne afin de pr-
ciser le mode de fonctionnement de laudit interne. Ces procdures crites devront
couvrir notamment les points suivants : contenu des dossiers daudit, dlai de conser-
vation des dossiers du service, modalits de traitement des demandes daccs aux
dossiers et procdures particulires suivre en cas denqute effectue avec le
conseiller juridique. Ces points sont examins ci-dessous.
6. Une procdure concernant les divers types de missions doit prciser le contenu et la
forme des dossiers daudit ainsi que le mode de traitement des notes de revue
(conservation lappui des questions souleves et rsolues ultrieurement ou des-
truction afin dempcher les tiers dy accder). Par ailleurs, il convient de prciser
dans une procdure le dlai de conservation des dossiers daudit. Ces dlais seront
fixs en fonction des besoins de lorganisation et des exigences lgales. (Il est impor-
tant de vrifier ce point avec le conseiller juridique).
7. Les procdures de laudit interne doivent prciser lidentit des personnes charges
dassurer le contrle et la scurit des dossiers du service et de celles qui peuvent
tre autorises accder aux dossiers daudit, ainsi que les modalits de traitement
des demandes daccs ces dossiers. Ces procdures peuvent varier en fonction des
pratiques suivies dans le secteur ou du droit applicable lorganisation. Le respon-
sable de l'audit interne et les autres membres de laudit interne doivent suivre avec
attention lvolution de la jurisprudence et des pratiques du secteur. Ils doivent ga-
lement anticiper les demandes ventuelles daccs aux rsultats de leurs travaux.
OCTOBRE 2002
12
6. La procdure qui dfinit les conditions daccs aux dossiers daudit doit galement
couvrir les points suivants :
processus suivre pour rsoudre les problmes daccs ;
dlai de conservation pour chaque type de document de travail ;
programme de formation et dactualisation des connaissances de lquipe daudit
interne sur les risques et les problmes daccs leurs dossiers ;
et ncessit de procder priodiquement une tude du secteur afin danticiper
dventuelles demandes daccs aux dossiers.
9. Une procdure doit permettre lauditeur interne de dterminer si un audit justifie

une enqute ou, en dautres termes, si un audit doit donner lieu une enqute
effectue en liaison avec un avocat et quelles sont les procdures particulires suivre
en terme de communication avec le Conseiller juridique. Elle doit galement aborder
la question de la signature dun engagement de confidentialit concernant toute infor-
mation confie lavocat.
10. Les auditeurs internes doivent par ailleurs sensibiliser le Conseil et le management
aux risques daccs aux dossiers daudit. Les procdures concernant le droit daccs
aux dossiers, les modalits de traitement des demandes daccs et la dmarche suivre
lorsquun audit justifie la conduite dune enqute doivent tre revues par le comit
daudit (ou par un organe dlibrant quivalent). Ces procdures varieront selon les
caractristiques de lorganisation et selon les dispositions de la loi en matire de secret
professionnel.
11. Il est important de bien prparer les dossiers daudit qui doivent tre divulgus. A cet
gard, il convient de suivre les tapes suivantes :
seuls les documents demands doivent tre divulgus. En rgle gnrale, les dos-
siers daudit contenant des avis et des recommandations ne sont pas communiqus.
Les documents qui dvoilent largumentation ou les stratgies des avocats sont
gnralement couverts par le secret professionnel et leur communication nest pas
obligatoire ;
seules des copies doivent tre transmises, lexemplaire original devant tre conserv,
en particulier si les documents ont t rdigs au crayon. Si le tribunal exige
loriginal, laudit interne doit conserver une copie ;
apposer sur chaque document la mention confidentiel ainsi quune annotation
prcisant que toute diffusion autrui doit faire lobjet dune autorisation pralable.
OCTOBRE 2002
13
2330.A2
Le responsable de l'audit interne doit arrter des rgles en matire de conservation

des dossiers de la mission. Ces rgles doivent tre cohrentes avec les orientations
dfinies par l'organisation et avec toute exigence rglementaire ou autre.
MPA 2330.A2-1
Conservation des dossiers
dfinir les modalits de conservation des dossiers daudit. La prsente MPA na pas
1. Les modalits de conservation des dossiers daudit doivent tre conues de faon
couvrir tous les dossiers, quelle que soit la forme sous laquelle ils sont conservs.
OCTOBRE 2002
14
2340
Supervision de la mission
Les missions doivent faire l'objet d'une supervision approprie afin de
garantir que les objectifs sont atteints, la qualit assure et
le dveloppement professionnel du personnel effectu.
MPA 2340-1
Supervision de la mission
au moment de superviser la mission. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recomman-
der la prise en compte dun ensemble dlments.
1. Le responsable de l'audit interne a la responsabilit dassurer une supervision ad-

quate des audits. La supervision commence la planification de la mission et se pour-
suit avec les vrifications, les valuations, le rapport et le suivi de la mission. La
supervision consiste :
1) sassurer que les auditeurs choisis possdent les connaissances, le savoir-faire et
les autres comptences requises pour raliser la mission ;
2) donner des instructions appropries durant la planification de la mission et
approuver le programme de la mission ;
3) vrifier que le programme approuv est correctement excut sous rserve des
modifications justifies et autorises ;
4) contrler que les papiers de travail contiennent les lments probants justifiant les
constatations, conclusions et recommandations de la mission ;
5) sassurer que le rapport est exact, objectif, clair, concis, constructif et tabli dans
les dlais fixs ;
6) sassurer que les objectifs daudit ont t atteints ;
7) saisir toutes les occasions pour dvelopper les connaissances, le savoir-faire et les
autres comptences des auditeurs internes.
2. La trace de la supervision doit tre documente et conserve dans les papiers de tra-
vail. Ltendue de la supervision est fonction de la comptence et de lexprience des
OCTOBRE 2002
15
auditeurs internes, ainsi que de la complexit de la mission. Le responsable de l'audit

interne a lentire responsabilit de la supervision des missions mais il peut dsigner
une autre personne lexprience et la comptence requises pour raliser cette
supervision. Des auditeurs internes possdant lexprience requise peuvent tre
employs superviser le travail dautres auditeurs internes moins expriments.
3. Le responsable de l'audit interne est en charge de toutes les missions daudit quelles
soient effectues par ou pour le compte de laudit interne. Il est galement respon-
sable de toutes les opinions professionnelles significatives formules lors de la plani-
fication, des vrifications, des valuations, du rapport et du suivi de la mission. Le
responsable de l'audit interne doit mettre en place les moyens appropris pour assu-
mer cette responsabilit. Les moyens appropris concernent les rgles et procdures
destines :
minimiser le risque que des opinions professionnelles formules par des auditeurs
internes ou autres personnes ralisant des travaux pour laudit interne soient en ds-
accord avec lopinion professionnelle du responsable de l'audit interne ce qui aurait
un effet dfavorable sur la mission ;
rgler les conflits dopinion entre le responsable de l'audit interne et les auditeurs
internes sur les points importants concernant la mission. Les moyens utiliser peu-
vent tre :
a) le dbat sur les constats pertinents ;
b) des enqutes et recherches complmentaires ;
c) la mention dans les papiers de travail des diffrents points de vue, avec documents
lappui.
En cas dopinions contraires sur une question dthique, les moyens appropris doi-
vent faire appel aux personnes qui, dans lorganisation, ont des responsabilits dans
ce domaine.
4. La supervision inclut la formation et le dveloppement du personnel, lvaluation des

performances, le suivi des dpenses et du temps pass, et toutes autres matires
administratives de mme nature.
5. Tous les papiers de travail doivent tre revus afin de sassurer quils supportent le rap-
port daudit et que toutes les procdures daudit ncessaires ont t effectues. Cette
revue doit tre matrialise par lapposition, sur chaque papier de travail revu, des
initiales du superviseur et de la date. Dautres techniques de rvision qui fournissent
une preuve de la revue incluent une checklist de rvision ou un mmorandum prci-
sant la nature, ltendue et les rsultats de la revue.
6. Les superviseurs peuvent prparer une liste crite des questions (notes de revue) sou-
leves au cours de la revue. Au moment de la leve des points de revue, on doit pren-
dre soin de sassurer que le dossier de travail contient dornavant les lments
OCTOBRE 2002
16
dmontrant que les questions souleves lors de la revue ont t rsolues. Les alter-
natives acceptables, en ce qui concerne la conservation des feuilles de notes, sont les
suivantes :
garder les notes de revue en tant qu'enregistrement des questions souleves par le
superviseur et des actions prises pour les rsoudre ;
liminer les notes de revue aprs que les problmes soulevs aient t rsolus et
que les documents de travail ncessaires aient t modifis pour fournir les infor-
mations supplmentaires exiges.
OCTOBRE 2002
17
MPA SRIE 2400
Communication des rsultats
2400 C O M M U N I C A T I O N DES R S U LTAT S
LES AUDITEURS INTERNES DOIVENT COMMUNIQUER

LES RSULTATS DE LA MISSION
MPA 2400-1
Communication des rsultats Aspects juridiques
de la communication des rsultats de la mission. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner lors de la communication des
rsultats.
Remarque Les auditeurs internes sont invits consulter un conseiller juridique sur
toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier
considrablement selon les pays. Les directives contenues dans la prsente Modalit
Pratique dApplication reposent principalement sur le systme juridique amricain.
1. Les auditeurs internes doivent prendre toutes les prcautions ncessaires avant de
mentionner dans leurs rapports ou leurs documents de travail des conclusions et des
opinions concernant des infractions la loi et la rglementation ou toute autre ques-
tion dordre juridique. Il est vivement recommand de mettre en place des procdures
sur ce point et de travailler en troite collaboration avec les responsables comptents
(conseiller juridique, Compliance Officer / dontologue, etc.).
2. Les auditeurs internes doivent rassembler des lments probants, mettre des juge-
ments fonds sur des analyses, rendre compte des rsultats de leurs travaux et
sassurer que des mesures correctives sont prises. Les impratifs de lauditeur inter-
ne, tenu de documenter les dossiers daudit, peuvent tre difficiles concilier avec
ceux du conseiller juridique, soucieux de ne pas conserver les lments susceptibles
de compromettre les moyens de dfense de lorganisation. En effet, mme si
lauditeur interne mne une enqute dans les rgles de lart, les faits divulgus peuvent
JUIN 2004
3
remettre en cause largumentation du conseiller juridique. Une planification et des

procdures appropries sont donc essentielles pour viter quune rvlation soudaine
des faits ne provoque un dsaccord entre le conseiller juridique (de la socit) et
lauditeur interne. Il convient de prciser, dans les procdures, le rle de chacun et le
mode de communication. Par ailleurs, lauditeur interne et le conseiller juridique doi-
vent favoriser au sein de lorganisation une culture thique et un comportement pr-
ventif en sensibilisant le management aux procdures. Les auditeurs internes doivent
prendre les points suivants en considration, en particulier dans le cadre de missions
dont les rsultats sont susceptibles dtre divulgus ou communiqus des person-
nes extrieures lorganisation.
3. Quatre lments sont ncessaires pour prserver le secret professionnel auquel est
tenu lavocat. Il faut quil existe :
une communication,
faite en toute confidentialit,
entre des personnes protges par le secret professionnel,
en vue de fournir une assistance juridique au client.
Le secret professionnel, dont le principal objet est de protger les informations

communiques aux avocats, peut galement sappliquer aux informations communi-
ques des tiers travaillant avec lavocat.
4. Certaines juridictions ont admis lexistence dun droit dauto-analyse critique qui
permet de prserver la confidentialit de documents dauto-critique tels que les dos-
siers daudit. En rgle gnrale, la reconnaissance de ce droit repose sur le postulat
selon lequel la confidentialit des analyses effectues dans les cas examins prime
sur lintrt gnral, comme en tmoigne largumentation suivante extraite dun juge-
ment :
Le droit danalyse auto-critique a t admis sous certaines conditions afin de prser-

ver la confidentialit de certaines auto-valuations critiques. Il permet aux personnes
physiques ou aux organisations de sassurer quelles respectent les rgles lgales et
rglementaires sans pour autant gnrer de preuves susceptibles dtre retenues
leur encontre par la partie adverse en cas de litige ultrieur. Cette doctrine est fonde
sur lide quune telle auto-valuation critique encourage limportance accorde par
le public au respect du droit.
5. En rgle gnrale, la protection par le secret professionnel implique le respect de trois

conditions :
il faut que les informations protges par le secret proviennent dune analyse auto-
critique entreprise par la partie qui invoque le secret ;
il faut que la protection des informations contenues dans lanalyse critique soit
manifestement dicte par lintrt gnral ;
OCTOBRE 2002
4
SRIE 2400 - COMMUNICATION DES RSULTATS
il faut quil sagisse dinformations dont la divulgation ventuelle aurait pour effet
den restreindre le flux.
Dans certains cas, les tribunaux ont galement recherch si lanalyse critique a
prcd ou provoqu le prjudice caus au plaignant, ou si elle est intervenue aprs
les vnements qui sont lorigine de la plainte, auquel cas le maintien du secret est
parfaitement justifi.
6. Dune faon gnrale, les tribunaux ont t plus rticents admettre lexistence dun
droit au secret fond sur lauto-valuation lorsque la demande de transmission des
documents mane dune administration publique au lieu dune personne prive ;
cette attitude est vraisemblablement lie au fait que le respect du droit revt un plus
grand intrt pour ltat. Le secret fond sur lauto-valuation est particulirement
adapt aux fonctions et aux activits qui ont mis en place des procdures dauto-
rglementation telles que, par exemple, les hpitaux, les agents de change et les cabi-
nets dexpertise comptable. La plupart de ces procdures sont associes des pro-
cdures dassurance qualit qui viennent complter une activit oprationnelle telle
que laudit financier.
7. Pour bnficier de la protection par le secret, les documents doivent, selon la doctrine,
satisfaire trois conditions. Il faut que ces documents aient t tablis :
dans le cadre de travaux (il peut sagir de mmos, programme informatique par
exemple) ;
en prvision dun litige ;
et par un reprsentant de lavocat.
8. Les documents tablis avant toute relation entre lavocat et son client ne sont pas pro-
tgs en vertu de cette doctrine qui ne prvoit aucune protection en cas de remise de
tels documents lavocat. En outre, lapplication de la doctrine est soumise des
conditions. En effet, les documents ne sont pas protgs si la transmission des infor-
mations rpond un besoin substantiel et si ces informations ne peuvent tre obte-
nues autrement sans effort excessif. Ainsi, dans laffaire Grand Jury, le comit daudit
de la socit avait conduit des entretiens en vue de dterminer si des paiements dou-
teux avaient t effectus ltranger. Son rapport a bnfici de la protection par le
secret en vertu de la doctrine ci-dessus, lexception des extraits correspondant aux
entretiens mens avec des personnes dcdes.
OCTOBRE 2002
5
2410
Contenu de la communication
La communication doit inclure les objectifs et le champ de la mission,
ainsi que les conclusions, recommandations et plans d'actions.
Les prcdentes Normes s'arrtaient, en ce qui concerne le contenu de la com-

munication, aux recommandations. L'incorporation dans le rapport des plans
d'actions des audits tait nanmoins la pratique de certains Services d'audit
interne (les autres demandaient ces plans d'actions en rponse aux recomman-
dations contenues dans le rapport). C'est maintenant dans les Normes : l'audit
interne n'apporte rellement de la valeur ajoute que si ses recommandations
dclenchent des plans d'actions (qui sont mis en uvre... D'o la ncessit d'un
contrle de l'avancement des suites donnes) : le rapport n'est pas complet, et la
mission non termine, s'il ne les comporte pas.
MPA 2410-1
Contenu de la communication

de la communication des rsultats de la mission. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner lors de la communication des
rsultats.
1. Le format et le contenu des rapports daudit peuvent varier dune organisation lautre
ainsi que dun type de mission lautre. Cependant, ces rapports doivent contenir, au
minimum, les objectifs, le champ et les rsultats de laudit.
2. Les rapports daudit peuvent comporter des informations sur le contexte et des syn-
thses. Les informations sur le contexte peuvent prsenter les units et activits exa-
mines et fournir des explications utiles. L'tat des observations, conclusions et
recommandations des rapports prcdents peut aussi tre repris ; on peut aussi indi-
quer si cet audit est une mission inscrite au plan daudit ou rpondant une demande
particulire. Si des synthses sont incluses, elles doivent constituer un expos pro-
portionn du contenu du rapport.
3. L'expos de l'objet de la mission doit dcrire les objectifs et peut, si ncessaire, infor-
mer le lecteur des motifs de la mission et des rsultats escompts.
OCTOBRE 2002
6
4. Lexpos du champ de la mission doit prciser les activits audites et comporter, au

besoin, des informations complmentaires telles que la priode couverte, la nature et
l'tendue des travaux. Les activits connexes non examines doivent tre mention-
nes, si cela est ncessaire, pour prciser les limites de lintervention.
5. Les rsultats doivent comprendre les observations, les conclusions (opinions), les
recommandations et les plans d'actions.
6. Les observations sont des exposs pertinents des faits. Les observations servant dappui
aux conclusions et recommandations ou permettant dviter un malentendu doivent
tre incluses dans le rapport. Les informations ou observations moins importantes
peuvent tre communiques de manire informelle.
7. Les observations et recommandations sont le rsultat dun processus de comparaison

entre ce qui devrait tre et ce qui est. Lorsque les situations sont conformes au rf-
rentiel, il peut tre appropri de faire tat dans le rapport daudit dun fonctionne-
ment satisfaisant. Les observations et recommandations doivent tre fondes sur les
caractristiques suivantes :
des rfrentiels : les normes, mesures ou standards utiliss pour valuer ou vrifier
(ce qui devrait exister) ;
des faits : les preuves factuelles identifies par lauditeur interne au cours de son
examen (ce qui existe rellement) ;
des causes : lexplication de la diffrence entre les situations concrtes attendue et
existante (la raison de cette diffrence) ;
des consquences : le risque ou le danger encouru par lorganisation ou d'autres,
du fait que les situations diffrent du rfrentiel (limpact de la diffrence). Pour
dterminer l'importance du risque ou de l'enjeu, les auditeurs internes doivent pren-
dre en considration les consquences de leurs observations et recommandations
sur le fonctionnement et les tats financiers de l'organisation ;
les observations et recommandations peuvent aussi inclure les amliorations de
lentit, des questions connexes et des informations destines tayer les conclu-
sions, si elles ne figurent nulle part ailleurs.
8. Les conclusions (opinions) sont les valuations par lauditeur interne des consquences
des observations et recommandations sur les activits audites. Habituellement, elles
situent les observations et recommandations dans la perspective de leurs implications
globales. Les conclusions, lorsquelles sont incluses dans le rapport daudit, doivent
tre clairement exposes comme telles. Elles peuvent porter sur l'ensemble du champ
audit ou sur des aspects particuliers. Elles peuvent exposer, tout en n'tant pas
limites cela, dans quelle mesure les objectifs oprationnels et les programmes sont
conformes ceux de lorganisation, les buts et objectifs de l'organisation sont
atteints, et lactivit examine fonctionne comme prvu.
OCTOBRE 2002
7
9. Les rapports doivent comprendre des recommandations sur les amliorations possibles
et faire tat des fonctionnements satisfaisants et des mesures correctives. Les recom-
mandations sont fondes sur les observations et conclusions de lauditeur interne.
Elles appellent des actions destines corriger les situations existantes ou amlio-
rer le fonctionnement. Les recommandations peuvent suggrer des approches visant
corriger ou amliorer le fonctionnement, approches que le management peut uti-
liser comme guide pour atteindre les rsultats voulus. Les recommandations peuvent
tre de nature gnrale ou spcifique. Par exemple, dans certains cas il peut tre
opportun de recommander une ligne de conduite gnrale et des propositions spci-
fiques de mise en uvre. Dans dautres cas, il peut tre prfrable de suggrer seu-
lement un examen ou une tude complmentaires.
10. Les ralisations effectues par laudit, qu'il s'agisse d'amliorations apportes
depuis le dernier audit, ou de la mise en place dun fonctionnement bien contrl,
peuvent figurer dans le rapport. Cette information peut tre ncessaire pour repr-
senter fidlement la situation actuelle, offrir une perspective approprie et assurer un
quilibre convenable dans le rapport daudit.
11. Le point de vue de laudit sur les conclusions ou les recommandations de laudit
peut figurer dans le rapport daudit.
12. Dans le cadre des discussions entre lauditeur interne et laudit, lauditeur interne
doit tenter dobtenir laccord de l'audit sur les rsultats de laudit et sur un plan
daction visant amliorer le fonctionnement si ncessaire. Si lauditeur interne et
laudit ne sentendent pas sur les rsultats de laudit, le rapport d'audit peut men-
tionner les deux positions ainsi que les raisons du dsaccord. Les commentaires crits
de laudit peuvent tre inclus en annexe au rapport ; ou bien les opinions de laudit
peuvent tre prsentes dans le corps du rapport ou dans une lettre de couverture.
13. Parfois, certains renseignements ne peuvent tre dvoils tous les destinataires du
rapport, parce quil sagit de renseignements couverts par le secret professionnel, pro-
tgs ou relatifs des actes irrguliers ou illgaux. Ces informations peuvent, toute-
fois, tre incluses dans un rapport distinct. Si les faits dont lauditeur interne fait tat
impliquent la direction gnrale, le rapport doit tre adress au Prsident du comit
daudit.
14. Des rapports intermdiaires peuvent tre utiliss pour communiquer des informations
ncessitant une attention immdiate, pour signaler un changement dans le champ de
la mission ou pour informer le management de lavancement des travaux lorsque la
mission est de longue dure. Les rapports intermdiaires peuvent tre crits ou oraux,
et peuvent tre transmis d'une manire officielle ou informelle. Lemploi de rapports
intermdiaires ne rduit ni nlimine la ncessit d'un rapport dfinitif.
15. Un rapport sign doit tre mis la fin des travaux. Une note de synthse faisant res-
sortir les rsultats de laudit peut tre indique pour des niveaux de management
OCTOBRE 2002
8
suprieurs celui de laudit. Cette note peut tre mise conjointement avec le
rapport dfinitif, ou sparment mais avec les mmes destinataires (sauf exception).
Le terme sign signifie que l'auditeur autoris doit signer manuellement le rapport ;
la signature d'une lettre de couverture est une alternative possible. L'auditeur autoris
signer le rapport doit tre dsign par le responsable de l'audit interne. Si les rap-
ports d'audit sont diffuss par des moyens lectroniques, un exemplaire sign
manuellement doit tre archiv l'audit interne.
OCTOBRE 2002
9
2420
Qualit de la communication
La communication doit tre exacte, objective, claire, concise,
constructive, complte et mise en temps utile.
MPA 2420-1
Qualit de la communication
quils prparent leurs communications. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner lors de la communication des rsultats.
1. Une communication exacte ne contient pas derreurs ou de dformations et est fidle

aux faits sous-jacents. Les donnes et les preuves doivent tre collectes, values et
synthtises puis prsentes avec soin et prcision.
2. Une communication objective est juste, impartiale, non biaise et rsulte dune va-
luation quitable et mesure de tous les faits et circonstances pertinents. Les cons-
tats, conclusions et recommandations doivent tre dvelopps et exprims sans pr-
jug, esprit partisan, intrt personnel ni influence inapproprie.
3. Une communication claire est logique et facilement comprhensible. La clart peut

tre amliore en vitant lutilisation dun langage excessivement technique et en
fournissant toute linformation significative et pertinente.
4. Une communication concise va droit lessentiel et vite tout dtail superflu, tout
dveloppement non ncessaire, toute redondance ou verbosit. Elle rsulte de rvi-
sions et corrections permanentes des communications. Lobjectif est dexprimer la
pense compltement, avec le minimum de mots possible.
Les besoins et donc les critres de concision diffrent selon les publics cibles : les
audits et leur hirarchie immdiate veulent un document complet, dtaill et
ventuellement technique pour adhrer aux raisonnements de l'auditeur ; la
direction gnrale, qui veut tre informe mais n'a pas rsoudre les problmes,
veut seulement l'essentiel, une contraction de texte sans dmonstration.
OCTOBRE 2002
10
5. Une communication constructive aide laudit et lorganisation, et conduit des am-

liorations lorsquelles sont ncessaires. Le contenu et le ton du discours doivent tre
utiles, motivants et bienveillants, et aider lorganisation atteindre ses objectifs.
La direction gnrale est habitue aux rapports d'audit, mais de nombreux

audits ne le sont pas. Il est alors utile de leur donner des indications de lecture
sous la forme de remarques liminaires. A titre dexemples :
Ce document est un rapport d'audit interne. Il vous est demand de ne pas le
diffuser car il contient des informations confidentielles. Un rapport d'audit
interne analyse une situation et met l'accent sur les risques et dysfonctionne-
ments pour faire dvelopper des actions de progrs mais il noublie pas de
noter, en quelques phrases, ce qui fonctionne correctement.
Il contient des recommandations. Une recommandation est une solution pro-
pose au responsable habilit mener l'action. Celui-ci est en charge de dve-
lopper et mettre en place une solution au problme soulev : celle propose ou
une meilleure.
6. Une communication complte n'omet rien qui soit essentiel aux destinataires cibles.
Elle intgre toute linformation significative et pertinente, ainsi que les observations
permettant dtayer les recommandations et conclusions. Son contenu comporte les
objectifs et le champ de la mission, ainsi que les conclusions, recommandations et
plans d'actions (cf. Norme 2410).
7. Une communication opportune est mise en temps utile pour prise en considration
attentive par ceux qui sont susceptibles dagir la suite des recommandations. La
prsentation des rsultats de la mission doit tre tablie sans dlai excessif et avec
lurgence ncessaire pour permettre une action prompte et efficace.
OCTOBRE 2002
11
2440
Diffusion des rsultats

Le responsable de l'audit interne doit diffuser les rsultats
aux destinataires appropris.
2440.A1
Le responsable de l'audit interne est charg de communiquer

les rsultats dfinitifs aux personnes mme dassurer que
ces rsultats recevront l'attention ncessaire.
2440.A2
Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable de

laudit doit accomplir les tches suivantes avant de diffuser les rsultats des destinataires
ne faisant pas partie de lorganisation :
valuer les risques potentiels pour lorganisation ;
consulter la direction gnrale et/ou, selon les cas, un conseil juridique ;
matriser la diffusion en imposant des restrictions quant lutilisation des rsultats.
MPA 2440-1
Destinataires des rsultats de la mission
au moment de diffuser les rsultats. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recommander
1. Les auditeurs internes doivent dbattre leurs conclusions et recommandations avec

les responsables appropris avant d'mettre leur rapport dfinitif.
JUIN 2004
12
Ceci sera facilit si le management audit a t considr tout au long de la

mission comme un partenaire.
2. Le dbat sur les conclusions et les recommandations seffectue habituellement

durant la mission daudit ou lors des runions de fin de mission (runions de clture).
Une autre technique est lexamen, par le management de l'activit audite, des pro-
blmes, observations et recommandations prvus. Ces dbats et examens contribuent
donner lassurance quil ny a pas eu de malentendus ni de fausses interprtations
des faits et offrent lentit audite loccasion de clarifier certains points particuliers
et dexprimer son opinion sur les observations, les conclusions et les recomman-
dations.
3. Le niveau hirarchique des participants aux discussions et aux examens peut varier
dune organisation lautre et dun rapport un autre ; toutefois, les participants
comprendront gnralement les personnes qui connaissent prcisment les opra-
tions audites et celles qui sont en mesure dautoriser la mise en uvre de mesures
correctrices.
4. Le responsable de l'audit interne ou son dlgu doivent revoir, approuver et signer le

rapport dfinitif avant son mission, et dcider qui il sera adress. Si des circons-
tances particulires le justifient, il peut tre envisag que lauditeur concern, le Chef
de mission ou le superviseur signent le rapport en tant que reprsentant du respon-
sable de l'audit interne.
5. Les rapports doivent tre adresss aux membres de lorganisation qui peuvent
sassurer que les rsultats de laudit recevront lattention ncessaire. Le rapport doit
donc tre envoy aux personnes qui se trouvent dans une position leur permettant
dentreprendre les actions correctives qui simposent ou dassurer que de telles mesu-
res seront prises. Le rapport dfinitif doit tre adress au management de lunit audi-
te. Les membres de lorganisation occupant un poste plus lev dans la hirarchie
peuvent ne recevoir qu'une note de synthse. Quand les rapports doivent tre
communiqus dautres personnes intresses ou concernes, par exemple les audi-
teurs externes, il faut sassurer quelles sont rellement astreintes au secret profes-
sionnel sur les points mentionns dans le rapport.
Rappelons quen France, dans le secteur bancaire, les rapports daudit sont tenus
la disposition des Commissaires aux comptes en application de larticle 41 du
Rglement 97/ 02 du CRBF, remplac par le Rglement 2000-01.
JUIN 2004
13
MPA 2440-2
Diffusion des rsultats lextrieur de l'organisation

sils sont amens diffuser des informations en dehors de lorganisation. Ce cas peut
se produire lorsque les auditeurs internes sont invits adresser un rapport ou dautres
informations un tiers extrieur lorganisation pour lequel les travaux daudit interne
ont t effectus. La prsente MPA contient une srie dlments prendre en compte
et na pas pour but de procder un expos exhaustif de tous les points examiner.
1. Les auditeurs internes doivent examiner les directives contenues dans la lettre de mis-
sion ou dans les procdures relatives la diffusion dinformations en dehors de lorga-
nisation. La charte de l'audit interne et celle du comit daudit peuvent galement
contenir des directives concernant la diffusion dinformations en dehors de
lorganisation. A dfaut de telles directives, lauditeur interne doit faciliter ladoption
de procdures appropries par lorganisation. Voici quelques exemples dinformations
qui peuvent figurer dans les procdures :
autorisation requise pour diffuser des informations en dehors de lorganisation ;
processus dautorisation en cas de diffusion dinformations en dehors de
lorganisation ;
directives concernant la nature des informations dont la diffusion est ou nest pas
autorise ;
personnes extrieures autorises recevoir des informations et nature des informa-
tions qui peuvent leur tre communiques ;
rgles relatives la confidentialit, obligations prvues par la rglementation, et
points juridiques examiner avant toute diffusion dinformations en dehors de
lorganisation ;
nature des conclusions, conseils, recommandations, opinions, directives, et autres
informations pouvant figurer dans les messages destins tre diffuss en dehors
de lorganisation.
2. Les demandes peuvent concerner des informations qui existent dj, par exemple un
rapport daudit interne dj diffus. Elles peuvent galement porter sur des informa-
tions qui restent obtenir ou produire dans le cadre dune nouvelle mission daudit
interne. Dans le premier cas, lauditeur interne doit examiner les informations et
dcider si elles peuvent tre diffuses en dehors de lorganisation.
3. Dans certains cas, des informations ou un rapport existants peuvent tre rviss pour
les rendre aptes tre diffuss en dehors de lorganisation. Dans d'autres cas il est
OCTOBRE 2002
14
possible quun nouveau rapport soit tabli sur la base de travaux dj raliss. La rvi-
sion, ladaptation ou la cration dun rapport partir de travaux prcdents doivent
tre effectues avec conscience professionnelle.
4. Avant toute diffusion dinformations en dehors de lorganisation, il convient

dexaminer les points suivants :
ncessit dobtenir un accord crit sur les informations diffuser ;
identification des sources dinformation, des signataires du rapport, des destina-
taires des informations et des personnes ayant un lien avec le rapport ou les infor-
mations diffuses ;
identification des objectifs, des limites et des procdures respecter pour produire
les informations concernes ;
nature du rapport ou des autres informations communiques, notamment opinions,
recommandations, impossibilit de se prononcer, limitations, et type de certifica-
tion ou de dclaration fournir ;
droits de reproduction et restrictions concernant la diffusion ou l'utilisation ult-
rieures des informations.
5. Les missions ayant pour objet de produire des rapports daudit interne ou des docu-
ments destins tre diffuss en dehors de lorganisation doivent tre conduites
conformment aux Normes pour la Pratique Professionnelle de lAudit Interne, et
mention de ces Normes doit tre faite dans le rapport ou dans les autres documents.
6. Sil vient dcouvrir, au cours dune mission dont lobjet est de diffuser des infor-
mations en dehors de lorganisation, des informations dont il est cens rendre compte
la Direction ou au Comit dAudit, lauditeur interne doit fournir toutes les infor-
mations appropries aux personnes concernes.
Des informations dlicates destines a priori la direction gnrale ou au

comit daudit tant susceptibles dtre connues lextrieur de lorganisation, il
convient de prsenter les faits dont ont eu connaissance les auditeurs internes
avec intelligence, prudence et circonspection.
OCTOBRE 2002
15
MPA 2440-3
La communication dinformations sensibles par la voie hirarchique
ou en marge de celle-ci
Interprtation des Normes 2440 Diffusion des rsultats , et 2600

Acceptation des risques par la direction gnrale, et des rgles de conduite
figurant dans le Code de dontologie Intgrit et confidentialit
Il peut arriver quun auditeur interne dcouvre des informations concernant des risques,
menaces, incertitudes, fraudes, gaspillages, fautes de gestion, activits illgales, abus
de pouvoir, fautes portant atteinte la sant ou la scurit publiques, ou dautres
mfaits. Dans certains cas, ces informations nouvelles ont des consquences impor-
tantes et doivent tre tayes par des lments probants substantiels et crdibles.
Lauditeur interne est alors confront un dilemme complexe, dans lequel entrent sou-
vent en jeu les disparits culturelles, les diffrences lies aux pratiques du monde des
affaires, les structures juridiques, les lois nationales et rgionales, ainsi que les normes
professionnelles, les codes dthique et les valeurs personnelles. La dmarche adopte
par lauditeur interne pour rsoudre la situation peut entraner des reprsailles et,
le cas chant, engager sa responsabilit. Compte tenu de ces risques et de leurs rper-
cussions, lauditeur interne doit prendre soin de bien peser le caractre probant et
raisonnable de ses conclusions. Il doit examiner les diverses mesures envisageables
pour communiquer les informations sensibles aux personnes qui sont habilites
rsoudre le problme et mettre un terme aux oprations irrgulires. Dans certains
pays, des mesures spcifiques peuvent tre prescrites par la lgislation ou la rglemen-
tation locale.
La prsente MPA vise stimuler la rflexion sur les nombreux problmes et dfis
auxquels lauditeur interne peut tre confront dans ce type de situation. Elle contient
des informations, ainsi que des suggestions concernant les facteurs qui peuvent tre
pris en compte par lauditeur, mais elle na pas pour objet de procder un examen
exhaustif de la question, ni de fournir lauditeur des conseils juridiques ou un avis
dexpert. Les auditeurs internes doivent consulter un conseiller juridique lorsque la
situation est sensible et a des consquences significatives. La prsente MPA a t la-
bore avec le plus grand soin et aprs mre rflexion. Toutefois, lIIA et lIFACI ne sont
pas responsables de lusage qui est fait des informations contenues dans la prsente
MPA, ni de son application dans la pratique des situations particulires. Ils ne garan-
tissent nullement que les mesures prconises seront couronnes de succs.
1. Les auditeurs internes ont souvent connaissance dinformations trs sensibles et
JUIN 2004
16
importantes pour lorganisation et qui peuvent avoir des consquences significatives.

Ces informations peuvent concerner des risques, incertitudes, fraudes, gaspillages,
fautes de gestion, activits illgales, abus de pouvoir, fautes portant atteinte la
sant ou la scurit publiques, ou dautres mfaits. Ces diffrents lments peuvent
porter prjudice la rputation de lorganisation, son image, sa comptitivit, sa
russite, sa viabilit, sa valeur boursire, ses investissements et ses actifs incorporels
ou ses bnfices. Ils sont susceptibles daccrotre son exposition aux risques.
Communication des informations sensibles par la voie hirarchique et fonctionnelle

2. Sil estime que les informations nouvelles sont importantes et crdibles, lauditeur
interne les communique en principe, dans des dlais appropris, aux membres du
management qui sont en mesure dagir. Dans la plupart des cas, ces communications
rsoudront la question du point de vue de laudit interne, dans la mesure o le mana-
gement prendra des mesures appropries pour grer les risques en cause. Sil savre,
suite ces communications, que le management expose lorganisation un degr de
risque inacceptable en raison de mesures inappropries ou insuffisantes, le respon-
sable de laudit interne doit envisager dautres mesures afin daboutir une solution
satisfaisante.
3. Parmi les mesures envisageables, figure la possibilit pour le responsable de laudit

interne dinformer la direction gnrale, par voie hirarchique normale, de ses craintes
quant aux risques encourus. Le responsable de laudit interne tant en principe
rattach fonctionnellement aux membres du comit daudit manant du Conseil (ou
de tout autre comit en tenant lieu), ceux-ci seront normalement informs de ses
craintes. Si, lissue de ses entretiens avec la direction gnrale, le responsable de
laudit interne na toujours pas obtenu satisfaction et en conclut quelle expose
lorganisation un degr inacceptable de risque et quelle ne prend pas les mesures
appropries pour mettre un terme ou remdier la situation, la direction gnrale et
le responsable de laudit interne doivent alors rendre compte des informations essen-
tielles et de leurs divergences dopinion au Conseil ou un comit manant de
celui-ci.
4. Ce scnario classique de communication peut tre acclr, pour certains types

dvnements sensibles, en vertu de dispositions lgales nationales, de rglementa-
tions ou de pratiques courantes. Par exemple, en cas de publication de fausses infor-
mations financires par une socit cote aux tats-Unis, la rglementation prvoit
lobligation dinformer sans dlai le comit daudit des circonstances entourant le
risque de publication de rapports financiers trompeurs et ce, mme si la direction
gnrale et le responsable de laudit interne sont daccord, pour lessentiel, sur les
mesures prendre. Les lois et rglements dans plusieurs pays prvoient lobligation
dinformer les membres du Conseil ou le comit qui en mane de la dcouverte dune
infraction aux lois pnales, aux lois relatives aux titres de socits, aux denres ali-
JUIN 2004
17
mentaires, aux stupfiants ou la pollution, ou de tout autre acte illgal, tel que la
corruption ou toute autre forme de versement irrgulier effectu en faveur de fonc-
tionnaires ou dagents de fournisseurs ou de clients.
Communications en marge de la voie hirarchique et fonctionnelle

5. Lauditeur interne peut, dans certains cas, tre amen envisager de communiquer
les informations dcouvertes des personnes qui il nest pas rattach, ou mme
lextrieur de lorganisation. Le fait de divulguer des informations ngatives une per-
sonne de lorganisation en marge de la voie hirarchique et fonctionnelle habituelle
de lintress, ou une administration ou une autre instance entirement extrieure
lorganisation, est communment dsign par lexpression droit dalerte ( whist-
leblowing , soit littralement tirer la sonnette dalarme).
6. La plupart des tudes relatives au droit dalerte indique que la majorit des personnes
donnant lalerte divulgue les informations sensibles en interne, si ncessaire en marge
de leur ligne de rattachement, en particulier si elles ont confiance dans la capacit
des procdures et des dispositifs en place dans lorganisation dclencher une
enqute et les mesures appropries en cas dallgation dopration illgale ou irrgu-
lire. Toutefois, il peut arriver que certaines personnes en possession dinformations
sensibles dcident de les divulguer en dehors de lorganisation, en particulier si elles
redoutent des reprsailles de la part de leur employeur ou de salaris, si elles dou-
tent que laffaire fasse lobjet dune enqute approprie, si elles pensent quelle sera
dissimule ou si elles dtiennent la preuve dune opration illgale ou irrgulire met-
tant en pril la sant, la scurit ou le bien-tre de membres de lorganisation ou de
la communaut. La principale motivation des personnes qui donnent lalerte et qui
agissent en toute bonne foi, est de mettre un terme aux agissements illgaux,
dommageables ou irrguliers.
7. Lauditeur interne, lorsquil est confront ce type de dilemme et quil doit envisager
toutes les options possibles, doit valuer les diffrents moyens de communiquer le
risque une personne ou un groupe qui ne fait pas partie de sa voie hirarchique
et fonctionnelle. tant donn les rpercussions et les risques lis ces approches,
lauditeur interne doit prendre soin de bien peser le caractre probant et raisonnable
de ses conclusions et dexaminer les avantages et inconvnients de chacune des
mesures envisageables. Une dmarche de ce type peut savrer approprie pour
lauditeur si elle doit aboutir ladoption de mesures responsables par la direction
gnrale ou les personnes impliques dans le gouvernement dentreprise, tels que les
membres du Conseil ou de lun de ses comits. Il est probable que lauditeur interne
nenvisagera quen dernier ressort de communiquer ces informations lextrieur du
dispositif de gouvernement dentreprise de lorganisation. Il nagira ainsi que dans les
rares cas o il est convaincu de la gravit du risque et de ses consquences ven-
tuelles, et sil estime quil existe de fortes probabilits pour que la direction gnrale de
JUIN 2004
18
lorganisation, et son dispositif de gouvernement dentreprise, naient pas la capacit

ou la volont de grer efficacement le risque.
8. De nombreux pays membres de lOCDE (Organisation de Coopration et de

Dveloppement conomiques) ont adopt des lois ou des rglements administratifs
en vertu desquels les fonctionnaires qui ont connaissance dactes illgaux ou contraires
lthique sont tenus dinformer un Inspecteur gnral, un autre fonctionnaire, ou un
mdiateur. Certaines lois nationales relatives aux actions du type droit dalerte
protgent les citoyens qui sapprtent divulguer certains types dirrgularits. Les
irrgularits numres par les lois et rglements de ces pays comprennent notam-
ment :
les infractions criminelles et les autres infractions la loi ;
les actes assimils des dnis de justice ;
les actes mettant en pril la sant, la scurit ou le bien-tre des personnes ;
les actes dommageables pour lenvironnement ;
les oprations destines dissimuler ou couvrir les actes ci-dessus.
Dautres pays ne disposent daucune directive ni daucun systme de protection.

Lauditeur interne doit tre inform des lois et rglements des divers pays dans les-
quels opre lorganisation, et il doit prendre des mesures conformes ces obliga-
tions lgales. Il doit envisager de consulter un conseiller juridique en cas de doute
sur les dispositions lgales en vigueur.
En France, la Loi (article 40 du code de procdure pnale) impose tout fonc-

tionnaire de signaler au Parquet des dlits ou faits susceptibles de constituer des
dlits. Cette obligation est d'autant plus imprative que le fonctionnaire a une
position de responsabilit lui permettant d'avoir une vue complte du problme.
Le non-signalement volontaire est bien entendu sanctionn, et peut d'ailleurs
tre constitutif d'une complicit.
noter que, depuis 1996, les infractions au code des marchs publics sont
des dlits. Ceci a donc trs fortement augment le champ effectif d'application
de l'article 40.
La Fonction publique est d'abord rgie par le principe de lgalit quel que soit le
principe d'obissance hirarchique. L'arrt du Conseil d'tat Commissaires de
police Algrie , rendu en 1959, reconnat aux fonctionnaires le droit de refuser
un ordre manifestement illgal . En outre, ces piliers sont conforts par le
dveloppement de rgles de dontologie , par le renforcement des contrles
internes et externes, et enfin par le dveloppement de la transparence (sponta-
ne ou impose : mdiateur).
9. De nombreuses associations professionnelles imposent leurs membres lobligation

de divulguer les agissements illgaux ou contraires lthique. Le caractre distinc-
JUIN 2004
19
tif dune profession rside dans le fait quelle accepte des responsabilits ten-
dues envers le public et quelle entend prserver le bien-tre gnral. Outre lexamen
des obligations lgales, les membres de lInstitut, ainsi que tous les auditeurs
internes CIA doivent suivre les rgles prescrites par le Code de dontologie de lIIA en
matire dagissements illgaux ou contraires lthique.
LIFACI, sollicit par la Commission Bancaire sur son document consultatif sur
laudit interne dans les organisations bancaires (juillet 2000), a pris ce sujet une
position trs claire : la mission dalerte des auditeurs internes doit concerner
exclusivement les organes de dcision internes, Direction Gnrale, Conseil
dAdministration et, sil existe, le Comit dAudit. LIFACI prconise que le
responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit
pour des faits minemment graves commis par la Direction Gnrale et pouvant
mettre en danger la continuit dexploitation, condition que ces faits soient
avrs et que le rle de laudit interne en la matire soit dment explicit dans
une charte dthique. En revanche, pour ce qui est du rle dalerte que laudit
interne pourrait jouer auprs des superviseurs bancaires et des Commissaires
aux comptes, cette ventualit ne parat pas approprie.
La Commission Bancaire a adopt le mme point de vue. Elle considre en effet
que le fait dimposer aux auditeurs internes une obligation dalerte auprs des
tiers (Commission Bancaire, Commissaires aux comptes, ) pourrait tre de
nature affaiblir leur position et leur crdibilit au sein des entreprises, ce qui
nuirait lefficacit de leurs contrles .
Dcision de lauditeur interne

10. Lauditeur interne est tenu, par devoir professionnel et par souci dthique, de peser
avec soin le caractre probant et raisonnable de ses conclusions, puis de dcider si
dautres mesures sont ncessaires pour prserver les intrts de lorganisation, de ses
parties prenantes, de la communaut extrieure ou des institutions de la socit. En
outre, lauditeur doit tenir compte de lobligation de confidentialit impose par le
Code de dontologie de lIIA, respecter la valeur et le caractre confidentiel des infor-
mations et sabstenir de les divulguer sans y tre dment habilit, sauf en cas
dobligation lgale ou professionnelle. Lauditeur doit consulter un conseiller juri-
dique et, le cas chant, dautres experts durant ce processus dvaluation. Ces
consultations peuvent savrer utiles, notamment parce quelles permettent de
connatre un autre point de vue sur les circonstances de laffaire et de recueillir un
avis sur lincidence et les consquences ventuelles des diverses mesures envisa-
geables. La dmarche adopte par lauditeur interne pour rsoudre ce type de
situation complexe et sensible peut donner lieu des reprsailles et, le cas chant,
engager sa responsabilit.
JUIN 2004
20
11. Lauditeur interne doit, en dfinitive, dcider en son me et conscience. La dcision

de communiquer en marge de la voie hirarchique et fonctionnelle doit tre prise en
connaissance de cause. Elle doit tre motive par des preuves suffisantes et crdi-
bles concernant les agissements en cause, et par la ncessit de prendre dautres
mesures en vertu dune obligation lgale, rglementaire, professionnelle ou dune
rgle dthique. Le comportement de lauditeur doit tre dict par la volont de
mettre un terme aux agissements illicites, dommageables ou irrguliers.
JUIN 2004
21
2440.C2
Au cours des missions de conseil, il peut arriver que des problmes

relatifs aux processus de management des risques, de contrle et
de gouvernement dentreprise soient identifis. Chaque fois que ces
problmes sont significatifs pour lorganisation, ils doivent tre
communiqus la Direction Gnrale et au Conseil.
Pour que le client d'une mission de conseil n'ait pas l'impression que sa
confiance a t trahie, cette communication possible la direction gnrale et au
Conseil doit figurer dans la charte (Norme 1000.C1) et avoir t rappele avant
le dbut de la mission : lors de son acceptation et de sa planification.
OCTOBRE 2002
22
MPA SRIE 2500
Surveillance des actions de progrs
2500 S URVEILLANCE DES ACTIONS DE PROGRS
LE RESPONSABLE DE L'AUDIT INTERNE DOIT METTRE EN PLACE

ET TENIR JOUR UN SYSTME PERMETTANT DE SURVEILLER
LA SUITE DONNE AUX RSULTATS COMMUNIQUS AU MANAGEMENT
Cette surveillance est plus aise, et partant plus efficace, quand l'activit
d'audit interne est effectue par un Service interne l'entreprise. Elle reste obli-
gatoire quand l'activit est externalise.
MPA 2500-1
Surveillance des actions de progrs

suivantes lorsquils valuent la suite donne aux rsultats communiqus au manage-
ment. La prsente Modalit Pratique dApplication na pas pour but de procder un
1. Le responsable de laudit interne doit tablir des procdures couvrant les aspects sui-
vants :
un dlai dans lequel le management doit rpondre aux observations et recomman-
dations de l'audit ;
une apprciation de la rponse du management ;
une vrification de la rponse (si ncessaire) ;
une mission de suivi (si ncessaire) ;
une procdure pour porter, lattention du niveau appropri de management, les
rponses/actions non satisfaisantes et lacceptation du risque qui en rsulte.
2. Certaines observations et recommandations de l'audit peuvent tre dune importance
telle quelles ncessitent une action immdiate de la part du management. Ces situa-
OCTOBRE 2002
3
tions doivent tre surveilles par l'audit interne jusqu leur correction, en raison des
consquences quelles peuvent avoir sur lorganisation.
3. Moyens utiliss pour rellement surveiller les progrs :
notifier les observations et recommandations de l'audit aux niveaux appropris du

management responsables dentreprendre les actions correctives ;
collecter et valuer les rponses du management aux observations et recommanda-
tions de l'audit, pendant la mission ou dans un dlai raisonnable aprs la diffusion
du rapport. Les rponses sont dautant plus utiles quelles comportent des infor-
mations suffisantes pour que le responsable de laudit interne puisse en apprcier
la pertinence et le calendrier de mise en uvre ;
obtenir du management des mises jour priodiques permettant dapprcier l'tat
davancement de ses actions pour corriger les situations signales ;
obtenir et apprcier les informations en provenance dautres entits de lorganisa-
tion ayant une responsabilit dans les procdures de suivi ou de correction ;
rendre compte la Direction Gnrale ou au Conseil de lavancement des rponses
aux observations et recommandations de l'audit.
2500.A1
Le responsable de l'audit interne doit mettre en place un processus de suivi

permettant de surveiller et de garantir que des mesures ont t effectivement
mises en uvre par le management ou que la Direction Gnrale a accept
de prendre le risque de ne rien faire.
MPA 2500.A1-1
Processus de suivi de la mission

suivantes lorsquils mettent en place un processus de suivi. La prsente MPA na pas
1. Les auditeur internes doivent sassurer quune action corrective a t entreprise et

quelle atteint les rsultats escompts, ou que la Direction Gnrale ou le Conseil ont
OCTOBRE 2002
4
SRIE 2500 - SURVEILLANCE DES ACTIONS DE PROGRS
accept le risque de ne pas engager dactions correctives sur des observations figu-
rant dans le rapport.
2. Le suivi par les auditeurs internes se dfinit comme un procd suivant lequel ils
apprcient si les actions entreprises par le management, en rponse aux observations
et recommandations, y compris celles de l'audit externe ou d'autres intervenants, sont
appropries, relles et entreprises temps.
3. La responsabilit du suivi doit tre dfinie par crit dans la charte de laudit interne.
La nature, le calendrier et l'tendue du suivi doivent tre fixs par le responsable de
laudit interne. Les facteurs prendre en considration pour dterminer les proc-
dures de suivi appropries sont :
limportance des observations et recommandations ;

le niveau deffort et de cot ncessaire pour corriger les situations ;
limpact que pourrait avoir lchec de laction corrective ;
la complexit de la correction ;
les dlais.
4. Il peut y avoir des cas o le responsable de laudit interne juge que la rponse crite
ou orale du management montre que l'action dj entreprise est suffisante en regard
de limportance relative de l'observation et de la recommandation de l'audit. Dans de
tels cas, le suivi peut tre fait au cours de la mission suivante.
Ceci implique que, dans les autres cas, l'audit interne doit effectuer un suivi sp-
cifique.
5. Les auditeurs doivent sassurer que les actions prises suite aux observations et recom-
mandations corrigent les situations sous-jacentes.
6. Le responsable de laudit interne a la charge de planifier les activits de suivi comme

faisant partie de la planification des missions. La planification du suivi doit tre
fonde sur les risques encourus, ainsi que sur le niveau de difficult et le dlai de
mise en place des actions de correction.
OCTOBRE 2002
5
MPA SRIE 2600
Acceptation des risques par la Direction Gnrale
2 6 0 0 A C C E P TAT I O N D E S R I S Q U E S
PA R L A D I R E C T I O N G N R A L E
LORSQUE LE RESPONSABLE DE L'AUDIT INTERNE ESTIME QUE LA

DIRECTION GNRALE A ACCEPT UN NIVEAU DE RISQUE RSIDUEL QUI
POURRAIT SAVRER INACCEPTABLE POUR L'ORGANISATION, IL DOIT
EXAMINER LA QUESTION AVEC ELLE. S'ILS NE PEUVENT ARRTER UNE
DCISION CONCERNANT LE RISQUE RSIDUEL, ILS DOIVENT SOUMETTRE
LA QUESTION AU CONSEIL AUX FINS DE RSOLUTION.
lvidence, la mise en uvre de cette norme savre particulirement dlicate
pour le responsable de laudit interne. Elle devra tre en consquence applique
avec sagesse et prudence. Sa mise en uvre devrait tre facilite si, comme le
prvoit la loi du 15 mai 2001 relative aux Nouvelles Rgulations Economiques,
le Conseil dadministration de lorganisation a choisi de nommer un directeur
gnral diffrent du prsident du Conseil dadministration et si le responsable
de laudit interne entretient une relation forte et suivie avec le comit daudit et
son prsident. Mais l aussi, les rgles du jeu devront tre trs claires pour tous
les acteurs ce qui signifie quelles devront tre explicites tant dans la Charte
daudit interne que dans celle du comit daudit.
MPA 2600-1
Acceptation des risques par la direction gnrale

concernant lacceptation des risques par le management. La prsente MPA na pas
1. Le management a la responsabilit de dcider laction adquate engager en rponse

aux observations et recommandations signifies lissue de la mission. Le respon-
JUIN 2004
3
sable de laudit interne a la responsabilit dvaluer si cette action apportera temps

une solution aux problmes relevs dans les observations et recommandations de
l'audit. Pour dcider de l'tendue du suivi, les auditeurs doivent prendre en consid-
ration les autres procdures de suivi de lorganisation.
2. Comme dcrit dans la Modalit Pratique dApplication 2060-1 de ces Normes, la

direction gnrale peut dcider daccepter le risque de ne pas corriger la situation
constate, pour des raisons de cot ou dautres considrations. Le Conseil doit tre
inform de la dcision de la direction gnrale sur toutes les observations et recom-
mandations importantes de l'audit.
OCTOBRE 2002
4

Normes Professionnelles Audit Interne

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Normes Professionnelles Audit Interne

Transféré par

Droits d'auteur :

Formats disponibles

NORMES

En annexe : version en anglais des normes publies par lIIA,

II. La dfinition de laudit interne et le code de dontologie

III. Les Normes

IV. Les modalits pratiques dapplication

Annexes : The IIA Professional Practices Framework (PPF)

Le cadre de rfrence professionnel de laudit interne nest pas fig. De

tre un lieu de rflexion sur la profession et son volution (activit recherche) ;

contribuer la professionnalisation des acteurs de laudit interne (activit formation) ;

tre un lieu dchanges professionnels (runions mensuelles, colloques) ;

tre un vecteur de promotion de laudit interne (revue audit et ouvrages) ;

tre, enfin, le porte parole de la profession auprs des organismes institutionnels et

Ce cadre de rfrence sert de base la prparation dun diplme professionnel de porte

Cadre de rfrence des Pratiques Professionnelles

Normes de mise en uvre

Dfinition de lAudit Interne

Modalits pratiques dapplication

Le cadre de rfrence comprend :

la dfinition de laudit interne adopte en juin 1999 par le Conseil dAdministration de

laccompagnement au dveloppement professionnel, constitu notamment des ouvrages

La connaissance et lapplication de ce cadre de rfrence donnent aux organisations et

Quant aux documents classs dans la rubrique accompagnement au dveloppement

Le prsent classeur contient la traduction de tous les documents du Professional

Nos remerciements sadressent plus particulirement

Florence Bergeret, Responsable de la Recherche, IFACI

Jos Bouaniche, Auditeur Interne, Caisse des Dpts et Consignations

Franoise Caradec, Superviseur de lAudit du Sige et des Filiales, La Poste

Marc Chambault, Directeur Audit et Contrle des Risques, France Tlcom

Mireille Cuny, Head of Business, Planning and Operations, Crdit Commercial de

Philippe Deregel, Auditeur Interne, SNECMA

Florence Fradin, Responsable de la Recherche, IFACI

Franoise Giron, Directeur Technique Missions, France Tlcom

Olivier Lemant, Consultant, Amorce

Jacques Renard, Consultant

Dominique Vincenti, Directeur de lAudit Interne, Conforama Management Service

pour leur forte et permanente implication, et pour la pertinence et la richesse de leurs

PRAMBULE : POURQUOI UN CODE DE DONTOLOGIE

La diversit des situations dabord, ne permet pas denvisager raisonnable-

La nature mme de lactivit daudit interne, ensuite, impose des exigences

Communiqu au sein de lorganisation, le code de dontologie accrot la

Nous souhaitons que la traduction du code de dontologie de lIIA que nous

1. des principes fondamentaux pertinents pour la profession et pour la pratique de laudit

Le Code de Dontologie associ au Cadre de Rfrence des Pratiques

Champ dapplication et caractre obligatoire

Il convient de prciser que la notion de dshonneur est culturelle,

Cette rgle de conduite appelle la question suivante : quentend-on par objectif

Commissaires aux comptes et la justice sils en font la demande. Pour le sec-

Il est important de prciser que la confidentialit et les rgles de conduite y aff-

Les auditeurs internes :

Est assimilable bnfice personnel non seulement le bnfice procur un

Les auditeurs internes :

4.3. Doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de

Traduction du Code of Ethics adopt par le Conseil dAdministration de lIIA le 17 juin

Normes de qualification .......................................................... 7

Normes de fonctionnement ...................................................... 15

Les Normes ont pour objet :

Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement

Alors qu'il existe un seul ensemble de Normes de Qualification et de Normes de

Institute of Internal Auditors

Des orientations complmentaires relatives aux modalits d'application des Normes

1000 Mission, pouvoirs et responsabilits

1100 Indpendance et objectivit

1110 Indpendance dans l'organisation

1120 Objectivit individuelle