Académique Documents
Professionnel Documents
Culture Documents
PROFESSIONNELLES
DE LAUDIT INTERNE
Inclus :
la dfinition
le code de dontologie
les normes
les modalits pratiques dapplication
accompagnes
des commentaires de lIFACI
I. Avant-propos et remerciements
OCTOBRE 2002
1
AVERTISSEMENT
OCTOBRE 2002
2
Avant-Propos
AVANT-PROPOS
Laudit interne est une profession, une profession qui sest modele au fil des ans, en
sefforant de toujours rpondre aux besoins changeants des organisations. Laudit interne,
centr ses origines sur les problmes comptables, est devenu, aujourdhui, un outil
puissant de dtection des principaux risques des organisations. Proche, il y a quelques
annes, de la fonction comptable et financire, il est, prsent, rattach aux dirigeants
et entretient une relation forte et continue avec le comit daudit. Lun et lautre sont
dailleurs parfaitement complmentaires : le comit daudit, en effet, garantit et consacre
lindpendance de laudit interne ; de son ct, laudit interne apporte au comit daudit
un regard impartial et professionnel sur les risques de lorganisation, et contribue am-
liorer son information et celle du Conseil sur le niveau de scurit de lorganisation. Tous
deux participent, leur faon, la bonne gouvernance des organisations.
Laudit interne est une profession bien organise, linfluence croissante. Porte par plus
de 80 instituts nationaux, fdrs lInstitute of Internal Auditors (IIA) dont le sige est
Orlando aux tats-Unis, la profession regroupe plus de 77 000 membres rpartis dans
plus de 120 pays. LIFACI (Institut Franais de lAudit et du Contrle Internes) est lun
des instituts nationaux les plus importants et les plus dynamiques. Fort de ses quelque
2 000 adhrents, il poursuit cinq objectifs :
Laudit interne est une profession qui sappuie sur un cadre de rfrence vocation mon-
diale mme si du fait de la varit denvironnements dans lequel il se pratique, il doit
sadapter pour tenir compte des particularits lgislatives et rglementaires de chaque
pays, des rgles spcifiques qui rgissent certains secteurs dactivit (bancaire par exemple)
ou tout simplement de la taille et de la culture des organisations.
OCTOBRE 2002 1
AVANT-PROPOS
Code de Dontologie
Normes de qualification
Dfinition de lAudit Interne
Activit de conseil
Normes de fonctionnement
le code de dontologie qui fournit aux auditeurs internes les principes et les valeurs leur
permettant de guider leur pratique professionnelle dans le contexte particulier qui est
le leur ;
les normes professionnelles pour la pratique de laudit interne qui guident les auditeurs
internes dans la ralisation de leur mission et la gestion de leur activit ;
OCTOBRE 2002
2
AVANT-PROPOS
les modalits pratiques dapplication (MPA) qui commentent et expliquent les normes
et mettent en avant les meilleures pratiques ;
Les principes et rgles dicts par le code de dontologie et les normes ont un caractre
obligatoire. Ne pas les respecter, cest non seulement se mettre en dehors de la profes-
sion, mais cest aussi et surtout se priver dun moyen dtre plus efficace et, partant, plus
crdible. Lamateurisme en audit interne na plus cours, seule une approche systmatique
et mthodique est source de valeur ajoute pour les organisations.
Les modalits pratiques dapplication nont pas la mme force excutoire. Elles font
cependant autorit, et il est fortement recommand de les mettre en uvre tout en
admettant que certaines adaptations aux lois et rglements nationaux peuvent tre justi-
fies.
* *
*
Normes et MPA ne sont pas figes car la profession continue et continuera dvoluer.
Certaines MPA relatives notamment au Gouvernement dEntreprise manquent, elles sont
en cours dlaboration et ne seront disponibles que dans quelques mois. Dautres normes
verront le jour et seront suivies de leur cortge de MPA. Cest pour cette raison, quau
lieu de diffuser un ouvrage, nous avons prfr publier un classeur permettant son actua-
lisation rgulire, selon des modalits qui vous seront communiques en temps oppor-
tun.
OCTOBRE 2002
3
AVANT-PROPOS
Que ce cadre de rfrence vous fasse prendre conscience de votre appartenance une
vritable profession, toujours en tat de veille et soucieuse en permanence de vous sen-
sibiliser sur les mthodes et pratiques les plus mme de rpondre vos besoins et aux
attentes de vos organisations. Reportez-y-vous souvent et appliquez le toujours.
Louis Vaurs
Dlgu Gnral
OCTOBRE 2002
4
REMERCIEMENTS
LIFACI remercie chaleureusement toutes les personnes qui ont apport leur contribution
la traduction et lanalyse du cadre de rfrence de notre profession.
Philippe Christelle, Director of Group Internal Audit, Cap Gemini Ernst & Young
Louis Vaurs
Dlgu Gnral
JUIN 2004
5
Dfinition
et Code de dontologie
DFINITION DE LAUDIT INTERNE (1)
Laudit interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations,
lui apporte ses conseils pour les amliorer, et contribue crer de la
valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management
des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit.
(1) Version franaise de la dfinition internationale, approuve le 21 mars 2000 par le Conseil
dAdministration de lIFACI.
OCTOBRE 2002 1
CODE DE DONTOLOGIE
Allons mme plus loin : sil apparat indispensable de joindre un code de don-
tologie un corpus de normes professionnelles, nest-ce pas reconnatre explici-
tement que les normes sont insuffisantes, quelles ne couvrent pas lensemble du
champ de la pratique de laudit interne et quen certaines situations il faudra
donc, par dfaut de normes, faire appel des principes gnraux pour laborer
une solution pratique ? Et dans ce cas, naurait-il pas t plus utile dajouter cer-
taines normes, plutt que de faire appel des grands principes ?
Ces questions sont lgitimes, et les rponses quelles appellent, ou les justifica-
tions auxquelles elles obligent, permettent de prciser la porte des
normes et le rle dun code de dontologie :
OCTOBRE 2002
3
CODE DE DONTOLOGIE
Lexistence dun code de dontologie de laudit interne, sign par les audi-
teurs internes et annex la Charte dAudit constitue, notre sens, le tmoi-
gnage dun engagement de rigueur et le signal visible dun niveau lev
dintgrit, favorisant le maintien dun climat dhonntet et dintgrit au
sein mme de lorganisation.
Il permet aux auditeurs internes, face une situation pouvant mettre en cause
leur objectivit et leur indpendance, dobtenir conseil de leur suprieur hi-
rarchique.
OCTOBRE 2002
4
CODE DE DONTOLOGIE
INTRODUCTION
Le Code de Dontologie de lInstitut a pour but de promouvoir une culture de lthique
au sein de la profession daudit interne.
Laudit interne est une activit indpendante et objective qui donne une organisation
une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour
les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche syst-
matique et mthodique, ses processus de management des risques, de contrle, et de
gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit.
Compte tenu de la confiance place en laudit interne pour donner une assurance objec-
tive sur les processus de management des risques, de contrle et de gouvernement
dentreprise, il tait ncessaire que la profession se dote dun tel code. Le code de don-
tologie va au-del de la dfinition de laudit interne et inclut deux composantes essen-
tielles :
2. des rgles de conduite dcrivant les normes de comportement attendues des auditeurs
internes. Ces rgles sont une aide la mise en uvre pratique des principes fonda-
mentaux et ont pour but de guider la conduite thique des auditeurs internes.
Toute violation du Code de Dontologie par des membres de lInstitut, des titulaires de
certifications professionnelles de lIIA ou des candidats celles-ci, fera lobjet dune va-
luation et sera traite en accord avec les Statuts de lInstitut et ses Directives
OCTOBRE 2002
5
CODE DE DONTOLOGIE
Administratives. Le fait quun comportement donn ne figure pas dans les Rgles de
Conduite ne lempche pas dtre inacceptable ou dshonorant et peut donc entraner
une action disciplinaire lencontre de la personne qui sen est rendu coupable.
Principes Fondamentaux
Il est attendu des auditeurs internes quils respectent et appliquent les principes fonda-
mentaux suivants :
Intgrit
Lintgrit des auditeurs internes est la base de la confiance et de la crdibilit accor-
des leur jugement.
Objectivit
Les auditeurs internes montrent le plus haut degr dobjectivit professionnelle en col-
lectant, valuant et communiquant les informations relatives lactivit ou au processus
examin. Les auditeurs internes valuent de manire quitable tous les lments perti-
nents et ne se laissent pas influencer dans leur jugement par leurs propres intrts ou
par autrui.
Confidentialit
Les auditeurs internes respectent la valeur et la proprit des informations quils reoi-
vent ; ils ne divulguent ces informations quavec les autorisations requises, moins
quune obligation lgale ou professionnelle ne les oblige le faire.
Comptence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et exp-
riences requis pour la ralisation de leurs travaux.
Rgles de Conduite
1. Intgrit
Les auditeurs internes :
1.1. Doivent accomplir leur mission avec honntet, diligence et responsabilit.
1.2. Doivent respecter la loi et faire les rvlations requises par les lois et les rgles de
la profession.
En France, la loi ne sapplique en ce sens que pour les crimes. En revanche, cer-
tains secteurs peuvent tre rglements. Ainsi, le secteur bancaire est soumis
des dispositions fortes du Rglement Gnral du CMF, Conseil des Marchs
Financiers, en ce qui concerne la dontologie des collaborateurs.
OCTOBRE 2002
6
CODE DE DONTOLOGIE
1.3. Ne doivent pas sciemment prendre part des activits illgales ou sengager dans
des actes dshonorants pour la profession daudit interne ou leur organisation.
1.4. Doivent respecter et contribuer aux objectifs thiques et lgitimes de leur organisa-
tion.
2. Objectivit
Les auditeurs internes :
2.1. Ne doivent pas prendre part des activits ou tablir des relations qui pourraient
compromettre ou risquer de compromettre le caractre impartial de leur jugement.
Ce principe vaut galement pour les activits ou relations daffaires qui pourraient
entrer en conflit avec les intrts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3. Doivent rvler tous les faits matriels dont ils ont connaissance et qui, sils
ntaient pas rvls, auraient pour consquence de fausser le rapport sur les acti-
vits examines.
Cest donc en interne, dans le cadre du rapport daudit, que ces faits matriels
doivent tre rvls. Il convient toutefois dtre bien conscient que des informa-
tions dlicates destines a priori la Direction Gnrale et/ ou au Comit
dAudit sont susceptibles dtre connues lextrieur de lorganisation. Cest
ainsi que les rapports daudit interne doivent tre communiqus aux
OCTOBRE 2002
7
CODE DE DONTOLOGIE
3. Confidentialit
OCTOBRE 2002
8
CODE DE DONTOLOGIE
3.2. Ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou
dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux
objectifs thiques et lgitimes de leur organisation.
4. Comptence
4.1. Ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances,
le savoir-faire et lexprience ncessaires.
4.2. Doivent raliser leurs travaux daudit interne dans le respect des Normes pour la
Pratique Professionnelle de lAudit Interne (Standards for the Professional Practice
of Internal Auditing).
OCTOBRE 2002
9
Normes
LES NORMES
Pages
Introduction ........................................................................ 1
Glossaire ............................................................................ 27
JUIN 20O4
INTRODUCTION
INTRODUCTION
L'Audit Interne est une activit indpendante et objective qui donne une organisation
une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour
les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche syst-
matique et mthodique, ses processus de management des risques, de contrle, et de
gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacit.
Les activits d'audit interne sont conduites dans diffrents environnements juridiques et
culturels, dans des organisations dont l'objet, la taille, la complexit et la structure sont
divers, ainsi que par des professionnels de l'audit, internes ou externes l'organisation.
Bien que ces diffrences peuvent influencer la pratique de l'audit interne dans chaque
environnement, le respect des Normes internationales pour la pratique professionnelle de
l'audit interne (ci-aprs les Normes ) est essentiel pour que les auditeurs internes puis-
sent s'acquitter de leurs responsabilits. Lorsque certaines dispositions des Normes sont
contraires la lgislation ou la rglementation en vigueur, les auditeurs internes
doivent respecter les autres dispositions et communiquer les informations appropries.
Dans le cadre des missions d'assurance, l'auditeur interne procde une valuation
objective en vue de formuler en toute indpendance une opinion ou des conclusions sur
un processus, un systme ou tout autre sujet. Il dtermine la nature et l'tendue de ses
missions qui comportent gnralement trois types d'intervenants : (1) la personne ou le
groupe directement impliqu dans le processus, le systme ou le sujet examin autre-
ment dit le propritaire du processus, (2) la personne ou le groupe ralisant l'valuation
l'auditeur interne, et (3) la personne ou le groupe qui utilise les rsultats de l'valuation
l'utilisateur.
Les missions de conseil sont gnralement entreprises la demande d'un client. Leur
nature et leur primtre font l'objet d'un accord avec ce dernier. Elles comportent gn-
ralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en
l'occurrence l'auditeur interne, et (2) la personne ou le groupe donneur d'ordre auquel ils
sont destins le client. Lors de la ralisation de missions de conseil, l'auditeur interne
doit faire preuve d'objectivit et n'assumer aucune fonction de management.
JUIN 2004 3
INTRODUCTION
Les Normes font partie du Cadre de Rfrence des Pratiques Professionnelles. Il comprend
la Dfinition de l'Audit Interne (l), le Code de Dontologie (2), les Normes (3) et d'autres
orientations. Les orientations lies la mise en uvre des Normes figurent dans les
Modalits Pratiques d'Application (MPAs), labores par The Professional Issues
Committee (Comit des Questions Professionnelles).
Le glossaire contient des termes qui sont utiliss dans des acceptions particulires au
sein des Normes.
L'laboration et la diffusion des Normes est un processus continu. The Internal Auditing
Standards Board mne une large consultation et concertation avant la publication des
(1) Traduction franaise approuve le 21 mars 2000 par le Conseil d'Administration de l'IFACI.
(2) Traduction franaise approuve le 27 fvrier 2001 par le Conseil d'Administration de l'IFACI.
(3) Normes pour la Pratique Professionnelle de l'Audit Interne.
JUIN 2004
4
INTRODUCTION
Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires
publics. Ils sont consultables sur le site internet de l'IIA et sont distribus tous les instituts
affilis. Des suggestions et commentaires peuvent tre adresss :
Les dernires mises jour des Normes ont t publies en dcembre 2003 et entreront
en vigueur au 1er janvier 2004.
JUIN 2004
5
NORMES DE QUALIFICATION
NORMES DE QUALIFICATION
JUIN 2004
9
NORMES DE QUALIFICATION
1210 Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les
autres comptences ncessaires l'exercice de leurs responsabilits individuelles.
L'audit interne doit possder ou acqurir collectivement les connaissances, le
savoir-faire et les autres comptences ncessaires l'exercice de ses responsabi-
lits.
1210.A1 Le responsable de l'audit interne doit obtenir l'avis et
l'assistance de personnes qualifies si les auditeurs internes ne poss-
dent pas les connaissances, le savoir-faire et les autres comptences
ncessaires pour s'acquitter de tout ou partie de leur mission.
1210.A2 L'auditeur interne doit possder des connaissances suffisantes
pour identifier les indices d'une fraude, mais il n'est pas cens possder
l'expertise d'une personne dont la responsabilit premire est la dtec-
tion et l'investigation des fraudes.
1210.A3 Les auditeurs internes doivent possder une bonne connais-
sance des principaux risques et contrles lis aux technologies de
l'information et des techniques d'audit informatises susceptibles d'tre
mises en uvre dans le cadre des travaux qui leur sont confis. Toutefois,
chaque auditeur interne n'est pas cens possder l'expertise d'un audi-
teur dont la responsabilit premire est l'audit informatique.
JUIN 2004
10
NORMES DE QUALIFICATION
JUIN 2004
11
NORMES DE QUALIFICATION
SEPTEMBRE 2006
12
NORMES DE QUALIFICATION
JUIN 2004
13
NORMES DE FONCTIONNEMENT
NORMES DE FONCTIONNEMENT
2010 Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les
risques afin de dfinir les priorits cohrentes avec les objectifs de l'organisation.
2010.A1 Le plan des missions d'audit interne doit s'appuyer sur une
valuation des risques ralise au moins une fois par an et tenir compte
du point de vue de la Direction Gnrale et du Conseil.
2010.C1 Lorsqu'on lui propose une mission de conseil, le responsable
de l'audit interne, avant de l'accepter, doit considrer dans quelle mesure
elle est susceptible de crer de la valeur ajoute, d'amliorer le manage-
ment des risques et le fonctionnement de l'organisation. Les missions de
conseil qui ont t acceptes doivent tre intgres dans le plan d'audit.
JUIN 2004
17
NORMES DE FONCTIONNEMENT
2050 Coordination
Le responsable de l'audit interne doit partager les informations et coordonner les
activits avec les autres prestataires internes et externes de services d'assurance
et de conseil, de manire assurer une couverture adquate des travaux et
viter dans toute la mesure du possible les doubles emplois.
JUIN 2004
18
NORMES DE FONCTIONNEMENT
2120 Contrle
L'audit interne doit aider l'organisation maintenir un dispositif de contrle
appropri en valuant son efficacit et son efficience et en encourageant son
amlioration continue.
2120.A1 Sur la base des rsultats de l'valuation des risques, l'audit
interne doit valuer la pertinence et l'efficacit du dispositif de contrle
portant sur le gouvernement d'entreprise, les oprations et les systmes
d'information de l'organisation. Cette valuation doit porter sur les
aspects suivants :
la fiabilit et l'intgrit des informations financires et oprationnelles ;
l'efficacit et l'efficience des oprations ;
la protection du patrimoine ;
le respect des lois, rglements et contrats.
2120.A2 Les auditeurs internes doivent dterminer dans quelle mesure
des buts et objectifs concernant les oprations et les projets ont t dfinis
et si ces buts et objectifs sont conformes ceux de l'organisation.
2120.A3 Les auditeurs internes doivent passer en revue les oprations
et les projets afin de dterminer dans quelle mesure les rsultats suivent
les buts et objectifs tablis et si ces oprations et projets sont mis en
uvre ou raliss comme prvu.
2120.A4 Des critres adquats sont ncessaires pour valuer le dispo-
sitif de contrle. Les auditeurs internes doivent dterminer dans quelle
mesure le management a dfini des critres adquats pour apprcier si
les objectifs et les buts ont t atteints. Si ces critres sont adquats, les
auditeurs internes doivent les utiliser dans leur valuation. S'ils sont
inadquats, les auditeurs internes doivent travailler avec le management
pour laborer des critres d'valuation appropris.
2120.C1 Au cours des missions de conseil, les auditeurs internes
examinent le processus de contrle interne en accord avec les objectifs
de la mission et sont attentifs l'existence de toute faiblesse de contrle
significative.
2120.C2 Les auditeurs internes doivent prendre en compte dans le pro-
cessus d'identification et d'valuation des risques significatifs de
l'organisation le dispositif de contrle interne dont ils ont eu connais-
sance lors de leurs missions de conseil.
JUIN 2004
19
NORMES DE FONCTIONNEMENT
JUIN 2004
20
NORMES DE FONCTIONNEMENT
JUIN 2004
21
NORMES DE FONCTIONNEMENT
JUIN 2004
22
NORMES DE FONCTIONNEMENT
JUIN 2004
23
NORMES DE FONCTIONNEMENT
JUIN 2004
24
NORMES DE FONCTIONNEMENT
2500.C1 L'audit interne doit surveiller la suite donne aux rsultats des
missions de conseil conformment l'accord pass avec le client
donneur d'ordre.
JUIN 2004
25
GLOSSAIRE
GLOSSAIRE
Activits d'assurance II s'agit d'un examen objectif d'lments probants, effectu en vue
de fournir l'organisation une valuation indpendante des processus de management
des risques, de contrle ou de gouvernement d'entreprise. Par exemple, des audits finan-
ciers, oprationnels, de conformit, de scurit des systmes et de due diligence.
Activit d'audit interne Assure par un service, une division, une quipe de consultants
ou tout autre praticien, c'est une activit indpendante et objective qui donne une orga-
nisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils
pour les amliorer, et contribue crer de la valeur ajoute. L'activit d'audit interne aide
cette organisation atteindre ses objectifs en valuant, par une approche systmatique
et mthodique, ses processus de management des risques, de contrle, et de gouverne-
ment d'entreprise, et en faisant des propositions pour renforcer leur efficacit.
Activits de conseil Conseils et services y affrents rendus au client donneur d'ordre,
dont la nature et le champ sont convenus au pralable avec lui. Ces activits ont pour
objectifs de crer de la valeur ajoute et d'amliorer les processus de gouvernement
d'entreprise, de management des risques et de contrle d'une organisation sans que
l'auditeur interne n'assume aucune responsabilit de management. Quelques exemples :
avis, conseil, assistance et formation.
Atteintes Parmi les atteintes l'objectivit individuelle et l'indpendance dans
l'organisation peuvent figurer les conflits d'intrts personnels, les limitations du champ
d'un audit, les restrictions d'accs aux dossiers, aux biens et au personnel, ainsi que les
limitations de ressources.
Charte La charte de l'audit interne est un document officiel qui dfinit la mission, les
pouvoirs et les responsabilits de cette activit. La charte doit (a) dfinir la position de
l'audit interne dans l'organisation ; (b) autoriser l'accs aux documents, aux biens et aux
personnes ncessaires la bonne ralisation des missions ; (c) dfinir le champ des acti-
vits d'audit interne.
Code de Dontologie Le Code de Dontologie de l'Institut comprend les principes appli-
cables la profession et la pratique de l'audit interne, ainsi que les rgles de conduite
dcrivant le comportement attendu des auditeurs internes. Le Code de Dontologie
s'applique la fois aux personnes et aux organismes qui fournissent des services d'audit
interne. Il a pour but de promouvoir une culture de l'thique au sein de la profession
d'audit interne.
JUIN 2004
29
GLOSSAIRE
Conflit d'intrts Toute relation qui n'est pas ou ne semble pas tre dans l'intrt de
l'organisation. Un conflit d'intrts peut nuire la capacit d'une personne assumer de
faon objective ses devoirs et responsabilits.
Conseil Le conseil est l'organe de direction d'une organisation. Il peut s'agir d'un conseil
d'administration, d'un conseil de surveillance, de leur comit d'audit, de l'instance diri-
geante d'un organisme public ou d'une association ou de tout autre organe auquel le
responsable de l'audit interne est rattach sur le plan fonctionnel.
Contrle Toute mesure prise par le management, le Conseil et d'autres parties afin de
grer les risques et d'accrotre la probabilit que les buts et objectifs fixs seront atteints.
Les managers planifient, organisent et dirigent la mise en uvre de mesures suffisantes
pour donner une assurance raisonnable que les buts et objectifs seront atteints.
Doit Traduction de should , il implique une obligation induite par les Normes.
JUIN 2004
30
GLOSSAIRE
JUIN 2004
31
GLOSSAIRE
Risque Possibilit que se produise un vnement qui aura un impact sur la ralisation
des objectifs. Le risque se mesure en termes de consquences et de probabilit.
Risques rsiduels Les risques qui subsistent aprs les mesures prises par le manage-
ment pour rduire l'impact et la probabilit d'occurrence d'un vnement dfavorable et,
notamment, aprs les dispositifs de contrle mis en place en rponse un risque.
Valeur ajoute Les missions d'assurance comme de conseil apportent de la valeur ajoute
en augmentant les chances de raliser les objectifs de l'organisation, en identifiant les
amliorations possibles sur le plan oprationnel, et/ou en rduisant l'exposition aux
risques.
Remerciements
The Institute of Internal Auditors (IIA) exprime toute sa reconnaissance aux instances
publiques et professionnelles, aux auditeurs internes et externes, aux dirigeants, aux
administrateurs et aux universitaires qui l'ont conseill et assist dans l'laboration et
l'interprtation des Normes. L'IIA doit beaucoup toutes celles et tous ceux qui sont
intervenus au fil des ans dans le cadre du Internal Auditing Standards Board et de ses
sous-comits.
JUIN 2004
32
Modalits pratiques
dapplication
LES MODALITS PRATIQUES DAPPLICATION
Pages
SEPTEMBRE 2006
TABLEAU DE CORRESPONDANCE
TABLEAU DE CORRESPONDANCE
NORMES/MODALITS PRATIQUES DAPPLICATION
SEPTEMBRE 2006
3
TABLEAU DE CORRESPONDANCE
(*) La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
SEPTEMBRE 2006
4
TABLEAU DE CORRESPONDANCE
(*) La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
SEPTEMBRE 2006
5
TABLEAU DE CORRESPONDANCE
SEPTEMBRE 2006
6
TABLEAU DE CORRESPONDANCE
SEPTEMBRE 2006
7
TABLEAU DE CORRESPONDANCE
SEPTEMBRE 2006
8
TABLEAU DE CORRESPONDANCE
2430 Indications de
non conformit aux normes
2440 Diffusion des rsultats 2440-1
Destinataires des rsultats de la mission
2440-2
Diffusion des rsultats l'extrieur de
l'organisation
2440-3
La communication d'informations sensibles
par la voie hirarchique ou en marge de celle-ci
2440.A1
2440.A2
2440.C1
2440.C2
2500 Surveillance des actions 2500-1
de progrs Surveillance des actions de progrs
2500.A1 2500.A1-1
Processus de suivi de la mission
2500.C1
2600 Acceptation des risques 2600-1
par la Direction Gnrale Acceptation des risques par la Direction Gnrale
Ce tableau le met en exergue : toutes les normes ne sont pas accompagnes de MPA. Dans les
pages suivantes, nous navons repris que les normes associes des MPAs. Pour avoir le texte
complet des normes, nous vous invitons vous reporter la partie III du prsent ouvrage.
SEPTEMBRE 2006
9
TABLEAU RCAPITULATIF
DES MISES JOUR
TABLEAU RCAPITULATIF DES MISES JOUR 2004-2006
RELATIVES AUX MPAs SRIE 1000
La formulation Les Normes pour la Pratique Professionnelle de lAudit Interne a t
remplace dans lensemble des MPAs par les Normes Internationales pour la Pratique
Professionnelle de lAudit Interne (les Normes ) .
MPA 1000.C1-2 :
Proccupations supplmentaires Aucun changement
pour les missions de conseil
formelles
SEPTEMBRE 2006
3
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
4
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
5
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
6
TABLEAU RCAPITULATIF
MPA 1312-3 : Certification Avril 2004 Nouvelle MPA ddie aux Pratiques
des directions daudit interne Professionnelles franaises
SEPTEMBRE 2006
7
TABLEAU RCAPITULATIF TABLEAU RCAPITULATIF
SEPTEMBRE 2006
8
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
9
TABLEAU RCAPITULATIF
MPA 2050-3 : Acquisition de Avril 2004 Nouvelle MPA ddie aux Pratiques
services proposs par les Professionnelles franaises
cabinets daudit externe
(*) La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
SEPTEMBRE 2006
10
TABLEAU RCAPITULATIF
MPA 2100-2 : Scurit de Avril 2004 Suppression du comit daudit ou tout autre
linformation organe de direction dans l'ensemble des
paragraphes. Seuls, le management et le Conseil
ont la responsabilit de la scurit de
linformation.
SEPTEMBRE 2006
11
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
12
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
13
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
14
TABLEAU RCAPITULATIF
MPA 2330.A1-2 : Accs aux Avril 2004 Paragraphe 1 : Il a t rajout : pour les
dossiers daudit autres procdures, la question de laccs aux
aspects juridiques dossiers est moins vidente et les solutions sont
susceptibles de varier en fonction du droit
national applicable lorganisation .
SEPTEMBRE 2006
15
TABLEAU RCAPITULATIF
SEPTEMBRE 2006
16
MPA SRIE 1000
Missions, pouvoirs et responsabilits
1000 M ISSION , POUVOIRS ET RESPONSABILITS
MPA 1000-1
Charte daudit interne
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au
moment dadopter la charte daudit interne. La prsente MPA na pas pour but de pas-
ser en revue lensemble des points examiner avant dadopter une charte mais de
recommander la prise en compte dun ensemble dlments.
1. La mission, les pouvoirs et les responsabilits de laudit interne doivent tre dfinis
dans une Charte. Le responsable de l'audit interne doit chercher obtenir
lapprobation de la Charte par la direction gnrale ainsi que son acceptation par le
Conseil, le comit d'audit ou tout organe dlibrant appropri.
La Charte doit :
tablir la position du service daudit interne dans lorganisation ;
autoriser laccs aux documents, aux personnes et aux biens physiques, ncessaire
la bonne ralisation des missions ;
dfinir le champ de laudit interne.
2. La Charte du service daudit interne doit tre crite. Un document crit permet une
soumission officielle la direction gnrale pour examen et approbation, et au Conseil
pour acceptation. Il facilite en outre lvaluation priodique de la pertinence de la
mission, des pouvoirs et des responsabilits de laudit interne. La diffusion dun docu-
OCTOBRE 2002 3
NORMES DE QUALIFICATION
ment crit et officiel contenant la Charte de laudit interne est un lment essentiel
pour la russite de laudit interne au sein de lorganisation. La mission, les pouvoirs
et les responsabilits doivent tre dfinis et communiqus dans le but de prciser le
rle de laudit interne et de fournir la direction gnrale et au Conseil une base dans
lvaluation des activits de la fonction. En cas dinterrogation, la Charte est la rf-
rence crite officielle de l'accord pass avec la direction gnrale et le Conseil sur le
rle et les responsabilits de laudit interne au sein de lorganisation.
1000.C1
La nature des missions de conseil doit tre dfinie dans la Charte daudit.
MPA 1000.C1-1
Principes directeurs de la ralisation des missions de conseil des auditeurs internes
Selon la dfinition de laudit interne, Laudit interne est une activit indpendante
et objective qui donne une organisation une assurance sur le degr de matrise de
ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la
valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une approche sys-
tmatique et mthodique, ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions pour renforcer leur effi-
cacit . Rappelons aux auditeurs internes que les Normes de qualification et de
fonctionnement sappliquent aussi bien aux missions dassurance quaux missions de
conseil.
La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans
toutes les missions de conseil. Les prestations de conseil vont des missions officielles,
dfinies par un accord crit, aux activits telles que la participation des quipes
charges de projets ou des comits de direction permanents ou temporaires. Il
appartient aux auditeurs internes dexercer leur jugement professionnel pour appr-
cier, au cas par cas, dans quelle mesure les directives contenues dans la prsente
MPA peuvent tre appliques. Certaines missions de conseil, comme la participation
OCTOBRE 2002
4
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
Il est recommand aux auditeurs internes de tenir compte des principes directeurs
suivants lors des missions de conseil. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner dans le cadre dune mission de conseil.
Il appartient aux auditeurs internes de prendre toutes les prcautions ncessaires
pour sassurer que les membres de la direction gnrale et du Conseil comprennent
et adhrent au principe, aux rgles directrices et aux procdures de communication
ncessaires la ralisation des missions de conseil.
1. Lapport de valeur Lapport de valeur de laudit interne est ralis au sein dune orga-
nisation lorsque les auditeurs internes interviennent selon des modalits bien adap-
tes sa culture et ses ressources. Cet apport de valeur, indiqu dans la dfinition
de laudit interne, sapplique aux activits dassurance et de conseil, dont lobjet est
dapporter de la valeur ajoute lorganisation par la mise en uvre dune approche
systmatique et mthodique dans les domaines du gouvernement dentreprise, du
management des risques et du contrle.
3. Activits qui vont au-del de lassurance et du conseil Les missions daudit interne
peuvent prendre des formes multiples. De mme que lassurance et le conseil ne sont
pas incompatibles, ils nexcluent pas la ralisation dautres missions telles que des
enqutes ou autres prestations ne relevant pas proprement parler de laudit. Notons
que de nombreuses prestations daudit auront la fois des dimensions dassurance
et de conseil.
5. Prvoir les missions de conseil dans la Charte Les auditeurs internes effectuent
traditionnellement diffrents types de missions de conseil allant de lanalyse des
contrles intgrs dans le dveloppement de systmes, ltude des dispositifs de
OCTOBRE 2002
5
NORMES DE QUALIFICATION
7. Le fondement des missions de conseil au sein de laudit interne La plupart des pres-
tations de conseil sinscrivent dans le prolongement naturel des missions dassurance
et dinvestigations et peuvent consister en des recommandations, tudes ou valua-
tions, formelles ou informelles. Laudit interne est idalement plac pour effectuer ce
type de prestations tant donn (a) son adhsion aux critres les plus levs
dobjectivit, et (b) ltendue de ses connaissances en matire de processus organi-
sationnels, de risques et de stratgies.
10. Missions de conseil formelles Il arrive frquemment que la direction confie des
consultants externes des missions de conseil formelles dune dure significative.
Toutefois, certaines entits peuvent estimer que le service daudit interne est le plus
comptent pour accomplir ces missions de conseil. Lorsque laudit interne entreprend
une telle mission, il doit la conduire selon une approche systmatique et mthodique.
OCTOBRE 2002
6
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
12. Rsolution des conflits ou situations imprvues Lauditeur interne demeure avant
tout un auditeur interne. A ce titre, tous ses travaux sont rgis par le Code de
Dontologie de lIIA et par les Normes de Qualification et de Fonctionnement figurant
dans les Normes pour la Pratique Professionnelle de laudit interne. Tout conflit ou
activit imprvus doivent tre rsolus conformment au Code de Dontologie et aux
Normes.
MPA 1000.C1-2
Proccupations supplmentaires pour les missions de conseil formelles
Il aide cette organisation atteindre ses objectifs en valuant, par une approche sys-
tmatique et mthodique, ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions pour renforcer leur effi-
cacit .
OCTOBRE 2002
7
NORMES DE QUALIFICATION
La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans
toutes les missions de conseil formelles. Les prestations de conseil vont des missions
explicitement dfinies par un accord crit, aux activits telles que la participation
des quipes charges de projets ou des comits de direction permanents ou tem-
poraires. Il appartient aux auditeurs internes dexercer leur jugement professionnel
pour apprcier, au cas par cas, dans quelle mesure les lignes directrices contenues
dans la prsente MPA doivent tre appliques. Certaines missions de conseil, comme
la participation un projet de fusion ou dacquisition ou la gestion de circonstances
imprvues (mise en uvre de plans de secours par exemple), peuvent ncessiter des
drogations aux procdures qui rgissent habituellement les missions de conseil.
Il est recommand aux auditeurs internes de tenir compte des suggestions suivantes
lors des missions de conseil formelles. La prsente recommandation na pas pour but
de procder un expos exhaustif des points examiner dans le cadre dune mission
de conseil formelle. Il appartient aux auditeurs internes de prendre toutes les pr-
cautions ncessaires pour sassurer que les membres de la direction gnrale et du
Conseil comprennent et adhrent au concept, aux rgles directrices et aux procdures
de communication ncessaires la ralisation des missions de conseil formelles.
1. Le glossaire annex aux Normes dfinit les activits de conseil comme suit :
Conseils et services y affrents rendus au client donneur dordre dont la nature et
le champ sont convenus au pralable avec lui. Ces activits ont pour objectifs de crer
de la valeur ajoute et damliorer le fonctionnement dune organisation. Quelques
exemples : consultation, conseil, facilitation, conception de processus et formation .
3. Les auditeurs internes peuvent effectuer des prestations de conseil soit dans le cadre
de leurs activits courantes, soit en rponse des demandes du management. Il
appartient chaque organisation dexaminer le type dactivits de conseil proposer
et de dterminer sil y a lieu dadopter des procdures ou des rgles spcifiques
chaque type dactivits. Les diverses catgories concernes sont :
les missions de conseil formelles planifies et faisant lobjet daccords crits ;
OCTOBRE 2002
8
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
4. Dune faon gnrale, les auditeurs doivent sabstenir deffectuer une mission de
conseil dans le seul but de se soustraire ou de permettre autrui de se soustraire
aux normes habituellement applicables aux missions dassurance lorsque ces dernires
sont plus appropries pour les services en cause. Cette rgle nexclut pas dadapter
les mthodologies lorsquil savre que les prestations effectues antrieurement dans
le cadre de missions dassurance relvent plutt dune mission de conseil.
5. Il peut arriver que les auditeurs internes soient sollicits pour effectuer des presta-
tions de conseil relatives des activits dont ils ont pu tre prcdemment respon-
sables ou pour lesquelles ils ont ralis des missions dassurance. Avant de proposer
de telles prestations, le responsable de l'audit interne doit sassurer que le Conseil
comprend et approuve les principes de la ralisation de prestations de conseil. Une
fois ces principes acquis, il convient de mettre jour la Charte daudit interne pour y
inclure les rgles relatives aux pouvoirs et aux responsabilits en matire de conseil.
Laudit interne doit en outre rdiger des procdures appropries la conduite de ces
missions.
6. Les auditeurs internes doivent rester objectifs lorsquils tirent des conclusions ou pro-
posent des conseils lattention du management. Celui-ci doit tre inform sans dlai
de toute situation susceptible daltrer lindpendance ou lobjectivit des auditeurs,
que cette situation soit antrieure la mission de conseil ou quelle survienne durant
celle-ci.
OCTOBRE 2002
9
NORMES DE QUALIFICATION
9. Lauditeur interne doit conduire les missions de conseil formelles avec la conscience
professionnelle requise. A cet effet, il convient de bien apprhender les lments sui-
vants :
besoins des managers de lentit, notamment en ce qui concerne la nature, la
communication et les dlais dmission des rsultats de la mission ;
motivations ventuelles et raisons ayant pu conduire la demande de mission ;
tendue des travaux ncessaires latteinte des objectifs de la mission ;
comptences et ressources ncessaires pour effectuer la mission ;
incidence sur ltendue du plan daudit prcdemment approuv par le comit
daudit ;
impact ventuel sur les futures missions daudit ;
bnfices potentiels, en termes dorganisation, retirer de la mission.
OCTOBRE 2002
10
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
11. Comme indiqu ci-dessus, les auditeurs internes doivent dfinir les objectifs et
ltendue de la mission de conseil dun commun accord avec les bnficiaires des
prestations.
Ces derniers doivent tre informs de toute rserve concernant lintrt, les avantages
ou, le cas chant, les rpercussions ngatives de la mission de conseil. Les auditeurs
internes doivent fixer ltendue des travaux de faon assurer ou prserver le pro-
fessionnalisme, lintgrit, la crdibilit et la bonne rputation de laudit interne.
12. Dans le cadre de la planification des missions de conseil formelles, les auditeurs
internes doivent dfinir les objectifs de faon rpondre aux besoins des managers
bnficiaires des prestations. En cas de demandes particulires du management, les
auditeurs internes peuvent envisager les mesures suivantes sils estiment que les
objectifs atteindre dpassent les demandes exprimes par le management :
convaincre le management dintgrer les objectifs complmentaires dans la mission
de conseil ;
ou consigner le fait que ces objectifs nont pas t poursuivis et mentionner cette
observation dans la communication finale des rsultats de la mission de conseil ;
et intgrer ultrieurement ces objectifs dans une mission dassurance distincte.
13. Les programmes de travail tablis dans le cadre de missions de conseil formelles doi-
vent prciser et documenter les objectifs et ltendue de la mission ainsi que la
mthodologie mettre en uvre pour atteindre ces objectifs. La forme et le contenu
du programme sont susceptibles de varier selon la nature de la mission. Les auditeurs
internes peuvent largir ou restreindre ltendue de la mission en fonction des demandes
du management. Toutefois, ils doivent conserver lassurance que ltendue des tra-
OCTOBRE 2002
11
NORMES DE QUALIFICATION
vaux, telle quelle est prvue, permettra datteindre les objectifs de la mission. Les
objectifs, ltendue et les modalits de la mission doivent faire lobjet dun examen
et dune actualisation priodiques durant les travaux.
14. Au cours des missions de conseil formelles, les auditeurs internes doivent veiller
lefficacit des processus de management des risques et de contrle. Les risques ou
les faiblesses significatives des processus de contrle doivent tre ports la connais-
sance du management. Dans certains cas, lauditeur interne devra galement en
informer la direction gnrale, le comit daudit et/ou le Conseil. Les auditeurs doi-
vent sappuyer sur leur jugement professionnel (a) pour dterminer limportance des
risques ou des faiblesses et les mesures prises ou envisages pour les attnuer ou y
remdier, et (b) rpondre aux attentes de la direction gnrale, du comit daudit et
du Conseil en ce qui concerne la communication de leurs observations.
16. Il peut arriver, dans certains cas, que lauditeur interne juge opportun de communi-
quer ses conclusions dautres personnes que les bnficiaires des prestations ou les
commanditaires. Lorsquil procde une diffusion plus large de ses rsultats,
lauditeur doit adopter la dmarche suivante :
premirement, il examine les orientations qui dcoulent des termes de laccord aff-
rent la mission de conseil et les communications qui sy rapportent ;
deuximement, il sefforce dobtenir laccord des commanditaires ou des bnfi-
ciaires des prestations sur une communication plus large des conclusions aux per-
sonnes adquates ;
troisimement, il examine les recommandations figurant dans la Charte daudit
interne ou dans les rgles et procdures de laudit propos de la communication
dans le cadre des missions de conseil ;
quatrimement, il se rfre sur ce point aux dispositions du code de conduite ou du
code dthique de lorganisation, et aux autres rgles, procdures ou directives
administratives ;
OCTOBRE 2002
12
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
17. Les auditeurs internes doivent diffuser au management, au comit daudit, au Conseil
ou tout autre organe dlibrant de lorganisation, la nature, ltendue et les rsul-
tats des missions de conseil formelles. Ils informent la direction gnrale et le comit
daudit de laffectation des ressources daudit. La diffusion de comptes-rendus
dtaills sur ces missions de conseil et de lensemble des conclusions ou recom-
mandations nest pas requise. Nanmoins, une description approprie des missions
de ce type et des recommandations importantes doit tre communique ; il sagit l
dun aspect essentiel des responsabilits incombant aux auditeurs internes en vertu
de la Norme 2060, relative aux rapports adresss au Conseil et la direction gnrale.
18. Les auditeurs internes doivent documenter les travaux effectus pour rpondre aux
objectifs dune mission de conseil formelle et tayer leurs conclusions. Toutefois, en
matire de documentation, les rgles applicables aux missions dassurance ne sont
pas ncessairement transposables aux missions de conseil.
19. Les auditeurs sont invits adopter des procdures appropries en matire de conser-
vation des documents et rsoudre toute question sy rapportant, telle que la pro-
prit des dossiers relatifs aux missions de conseil, de faon assurer une protection
adquate de lorganisation et viter dventuels malentendus en cas de demandes
concernant ces dossiers. Certains dentre eux peuvent ncessiter un traitement parti-
culier, notamment lorsquune procdure judiciaire, des exigences rglementaires, ou
des questions dordre fiscal ou comptable sont en cause.
20. Laudit interne doit effectuer un suivi des rsultats des missions de conseil dans les
conditions convenues avec le client donneur dordre. Divers types de suivi peuvent
tre envisags selon le type de mission. Ces modalits de suivi dpendent, notam-
ment, de lintrt prt la mission par le management, ou de lvaluation, par
lauditeur interne, des risques lis au projet, ainsi que de son importance pour
lorganisation.
OCTOBRE 2002
13
NORMES DE QUALIFICATION
MPA 1000.C1-3
Points supplmentaires pour les missions de conseil dans des organismes publics
Interprtation de la norme 1000-C1 (et des autres Normes de mise en uvre relatives aux
missions de conseil) extraite des Normes internationales pour la pratique professionnelle de
laudit interne
SEPTEMBRE 2006
14
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
1. Contexte LIIA dfinit les activits de conseil comme suit : conseils et services y
affrents rendus au client donneur dordre, dont la nature et le champ sont convenus
au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et
damliorer les processus de gouvernement dentreprise, de management des risques
et de contrle dune organisation sans que lauditeur interne nassume aucune
responsabilit de management. Quelques exemples : avis, opinion, assistance et for-
mation.
(1) Ce principe a t formul par de nombreuses instances de normalisation. Il figure dans les recommanda-
tions publies par lIAASB/IFAC et notamment dans son Code dthique professionnelle, et dans un ouvrage
intitul Generally Accepted Government Auditing Standards publi par le Government Accountability
Office des tats-Unis (Normes gnralement admises pour laudit des organismes publics).
SEPTEMBRE 2006
15
NORMES DE QUALIFICATION
Par ailleurs, mme lorsque laudit interne nest pas soumis des rgles restrictives
pour ses activits de conseil, le responsable de laudit interne doit nanmoins
sassurer que le systme dassurance qualit permet de matriser ou de minimiser les
risques datteinte lindpendance ou lobjectivit des auditeurs. Dans le cas
contraire, les missions de conseil pourraient avoir pour effet, long terme, de
compromettre la capacit du service daudit assurer sa fonction daudit (assurance).
En outre, lexercice, par un service daudit, dune mission de conseil qui compromet
son indpendance peut empcher dautres auditeurs de sappuyer sur ces travaux.
(1) Ce risque est voqu dans le rapport Smith de janvier 2003 intitul Audit Committees Combined Code
Guidance (Comits daudit Recommandations pour lapplication du Combined Code), rdig par un
groupe dexperts dsigns par le Financial Reporting Council. Des solutions sont proposes, entre autres,
dans les recommandations publies par lICAEW (Institute of Chartered Accountants in England and
Wales).
(2) titre dexemples de restrictions spcifiques, on peut citer, au Royaume-Uni, la norme daudit interne du
secteur public n 2.4.2., aux termes de laquelle lobjectivit est prsume altre lorsquun auditeur pris
individuellement examine une activit dans laquelle il a exerc par le pass des fonctions de direction, ou
dans laquelle il a effectu une prestation de conseil. Cette norme est complte par des recommandations
sur les bonnes pratiques en matire de conseil, selon lesquelles il est important, dans le cadre de ce rle,
que lauditeur interne conseille la direction et nentreprenne pas les tches accomplir pour le compte de
la direction, ou en se substituant celle-ci. Lacceptation des conseils de lauditeur interne par la direc-
tion na pas pour effet de transfrer ni de rduire la responsabilit de ses membres dans leurs domaines
de comptences (3.5.3).
SEPTEMBRE 2006
16
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
Le service daudit doit mettre en place des contrles afin de rduire le risque que les
projets de conseil ne compromettent lobjectivit des auditeurs pris individuellement,
ou lindpendance du service daudit pris dans son ensemble. Les techniques uti-
liser cette fin sont notamment les suivantes :
a. Dfinition dans la charte de paramtres concernant les activits de conseil.
b. Politiques et procdures limitant le type et la nature des projets de missions de
conseil et/ou le degr de participation ces projets.
c. Mise en uvre dun processus dexamen des projets de conseil, de prslection
assorti de limites pour lacceptation des missions risquant daltrer lobjectivit.
d. Distinction des cellules conseil de celles ralisant les audits dassurance au
sein du mme service daudit.
e. Rotation des auditeurs dans le cadre des missions.
f. Recours des prestataires extrieurs pour accomplir les missions de conseil, ou
pour raliser les missions dassurance dans des activits pour lesquelles il a t
jug que la participation antrieure du service daudit des prestations de conseil
avait altr son objectivit/indpendance.
g. Mention dans les rapports daudit lorsque lobjectivit tait altre par la partici-
pation une mission de conseil antrieure.
SEPTEMBRE 2006
17
NORMES DE QUALIFICATION
Annexe A
Les dispositions de la charte prciseront les limites dans lesquelles le service daudit op-
rera. Toutefois, la charte nest pas cense numrer de faon dtaille les services sp-
cifiques qui seront ou non fournis. Par consquent, si des principes de base concernant
lindpendance figurent dj sous dautres rubriques de la charte, ou dans des normes
daudit expressment applicables et rfrences, il suffit dinsrer simplement dans la
charte un renvoi ces rgles en guise de paramtres pour les services fournir. Les trois
exemples ci-dessous concernent deux cas dans lesquels les activits de conseil sont limi-
tes celles pour lesquelles lindpendance ou lobjectivit ne devraient pas tre
compromises, et un cas dans lequel le service daudit peut tre sollicit pour effectuer
des travaux qui relvent normalement de la responsabilit de la direction.
Cas dans lesquels le service daudit limitera ses activits de conseil celles qui ne
compromettent pas son objectivit ou son indpendance :
Lauditeur peut galement assister le maire, le conseil municipal et le personnel
dencadrement dans lexercice de leurs fonctions, en leur communiquant en temps opportun
des informations objectives sur la conduite des oprations de la ville ou en les conseillant sur
les contrles de gestion appropris, conformment aux normes daudit intitules [intitul des
normes applicables].
Le service daudit interne peut exercer dautres fonctions en marge de laudit dassurance,
conformment aux autres dispositions de la prsente Charte, et rdiger puis prsenter
dautres rapports, conformment aux demandes de la Commission.
Cas dans lequel le service daudit fournira un large ventail de services en marge de
laudit, mme si certains de ces services risquent daltrer son objectivit ou son ind-
pendance pour les travaux daudit :
Lauditeur peut tre invit ponctuellement participer des activits de lAgence en marge
de laudit, afin dassister le directeur excutif et les cadres dans lexercice de leurs responsa-
bilits, conformment lautorisation donne par le comit daudit.
SEPTEMBRE 2006
18
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
Politiques et procdures visant limiter le type et la nature des projets de conseil et/ou le
degr de participation ces projets, ou mettre en place des contrles permettant de mini-
miser les risques datteinte lobjectivit ou lindpendance rsultant de la participation
des missions de conseil.
Ces interdictions peuvent tre assouplies en cas dvolution significative dans le domaine
en cause postrieurement la ralisation des prestations dassistance, ou si ces presta-
tions taient soumises une norme minimale, telle quun plafond de 40 heures .
SEPTEMBRE 2006
19
NORMES DE QUALIFICATION
Les exemples de procdures ci-aprs contiennent des dispositions qui prcisent les
mesures prendre lorsque le service daudit accepte des missions de conseil susceptibles
de compromettre son indpendance et son objectivit lors de futures missions
dassurance :
Lorsque le service daudit est sollicit par le comit daudit pour accomplir des missions de
conseil qui, selon le responsable de laudit interne, altreront lindpendance de son service
ou lobjectivit dun auditeur pris individuellement lors de travaux daudit ultrieurs, les
procdures suivre sont les suivantes :
1. Avant le dbut de la mission de conseil, le responsable de laudit interne informe par crit
le comit daudit que la mission demande portera atteinte lindpendance ou
lobjectivit des auditeurs, en dcrivant la nature de cette atteinte et en indiquant ses cons-
quences pour les futures missions daudit (par exemple, le service daudit devra refuser les
audits venir dans le domaine concern, ou le comit daudit devra en confier la ralisa-
tion un prestataire tiers). Le responsable de laudit interne doit demander au comit
daudit dindiquer par crit au service daudit sil doit effectuer la mission de conseil ou la
refuser.
SEPTEMBRE 2006
20
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
Si le comit daudit invite le service daudit raliser un audit dassurance couvrant des acti-
vits ou des oprations ayant fait lobjet, par le pass, dune mission de conseil conduite par
ce service, alors que le responsable de laudit interne estimait quelle compromettrait
lindpendance ou lobjectivit des auditeurs pour les travaux daudit venir, les procdures
appliquer sont les suivantes :
1. Avant le dbut de la mission daudit, le responsable de laudit interne communique par
crit avec le comit daudit, linforme de latteinte lindpendance/ lobjectivit, en donne
une description et indique les solutions permettant de raliser les travaux avec un maximum
dobjectivit (par exemple, en ayant recours un prestataire tiers, ou en demandant
lassistance adresse aux auditeurs dentits partenaires ou dinstances rglementaires).
2. Si le comit daudit invite le service daudit effectuer la mission daudit dassurance, le
responsable de laudit interne mentionne latteinte lindpendance/ lobjectivit dans les
documents suivants :
documents concernant la planification de la mission daudit ;
rapport final relatif la mission daudit.
3. En outre, le responsable de laudit interne informe les prestataires externes dassurance
qualit du service daudit de cet vnement et leur fournit toute la documentation y aff-
rente lors de la prochaine revue dassurance qualit.
SEPTEMBRE 2006
21
MPA SRIE 1100
Indpendance et objectivit
1100 I N D P E N D A N C E ET OBJECTIVIT
MPA 1100-1
Indpendance et Objectivit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils valuent leur indpendance et leur objectivit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner au moment de conduire
une telle valuation. Elle a seulement pour objet de recommander la prise en compte
dun ensemble dlments.
1. Les auditeurs internes sont indpendants lorsquils peuvent exercer leur activit libre-
ment et de faon objective. Lindpendance permet aux auditeurs internes de porter
des jugements sans partialit et sans prjug, ce qui est essentiel la bonne conduite
des audits. Cet objectif est atteint grce leur position dans lorganisation et leur
objectivit.
OCTOBRE 2002 3
NORMES DE QUALIFICATION
1110
Indpendance dans l'organisation
Le responsable de l'audit interne doit relever d'un niveau hirarchique
permettant aux auditeurs internes dexercer leurs responsabilits.
MPA 1110-1
Indpendance dans lorganisation
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour
apprcier leur indpendance au sein de lorganisation. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner lors dune telle valua-
tion. Elle a seulement pour objet de recommander la prise en compte dun ensemble
dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
3. Idalement, le responsable de l'audit interne doit tre rattach, sur le plan fonction-
nel, au comit d'audit, au Conseil ou tout autre organe dlibrant comptent et,
administrativement, au Directeur Gnral de lorganisation.
OCTOBRE 2002
4
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
MPA 1110-2
Rattachement du responsable de laudit interne
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors
de la mise en place ou de lvaluation du rattachement du responsable de laudit
interne et des relations quil entretient avec les personnes/organes dont il relve. La
prsente MPA na pas pour but de procder un expos exhaustif des points exa-
miner lors dune telle valuation. Elle a seulement pour objet de recommander la prise
en compte dun ensemble dlments.
1. Selon les Normes pour la Pratique Professionnelle de lAudit Interne (ci-aprs les
Normes ), le responsable de laudit interne doit relever dun niveau suffisamment
lev dans lorganigramme pour permettre au service daudit interne de remplir sa
mission. Selon lIIA, le respect du critre dindpendance suppose que le responsable
de laudit interne soit rattach fonctionnellement, au comit daudit ou un organe
quivalent. Hirarchiquement, le responsable de laudit interne sera, pour des raisons
dordre administratif, le plus souvent directement rattach au directeur gnral de
lorganisation. Afin dclairer la prsente MPA, lIIA explicite ce quil entend par
rattachement fonctionnel et rattachement administratif .
Le rattachement fonctionnel du service daudit interne conditionne son indpendance
et ses pouvoirs. ce titre, lIIA recommande que le responsable de laudit interne
relve, fonctionnellement, du comit daudit, du conseil dadministration ou de tout
autre organe dlibrant appropri. Sil en est ainsi, le rattachement fonctionnel
implique que lorgane dlibrant :
approuve la charte de laudit interne ;
approuve lvaluation des risques effectue par laudit interne et le plan daudit
correspondant ;
JUIN 2004
5
NORMES DE QUALIFICATION
soit destinataire des rsultats des travaux daudit interne ou de tout autre point
que le responsable de laudit interne estime ncessaire de communiquer, y compris
lors de runions prives sans la prsence des dirigeants ;
approuve toutes les dcisions relatives la nomination ou au remplacement du
responsable de laudit interne ;
approuve la rmunration annuelle et les augmentations de salaire du responsable
de laudit interne ;
senquiert, auprs du management et du responsable de laudit interne,
dventuelles limitations du champ dintervention ou du budget, susceptibles
dempcher laudit interne de mener bien ses missions.
2. La prsente MPA traite essentiellement des points prendre en compte pour dter-
miner ou valuer la position du responsable de laudit interne dans lorganigramme.
Un rattachement appropri est essentiel pour garantir au service daudit interne
lindpendance, lobjectivit et le statut ncessaires au bon accomplissement de sa
mission. Il est galement primordial pour assurer un flux dinformations appropri et
laccs aux principaux dirigeants et cadres sur lesquels repose lvaluation des
risques et qui sont communiqus les rsultats des travaux daudit. Inversement, le
responsable de laudit interne doit considrer que tout lien de nature compromettre
lindpendance et lefficacit de son activit est une entrave srieuse son champ
dintervention, et doit tre port la connaissance du comit daudit ou de lorgane
quivalent.
JUIN 2004
6
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
de lvolution des activits daudit interne qui, de plus en plus, fournissent des
services forte valeur ajoute et collaborent avec leurs clients sur les priorits et
ltendue des missions.
Par consquent, lIIA, sil estime que la structure idale consiste en un rattache-
ment fonctionnel au comit daudit et un rattachement hirarchique au directeur
gnral, admet nanmoins que dautres types de structure peuvent tre efficaces
ds lors quil existe une nette distinction entre les liens fonctionnels et les liens
administratifs et que des mesures appropries sont prises tous les niveaux pour
maintenir lindpendance et le champ dintervention. Il appartient aux auditeurs
internes dapprcier, avec leur professionnalisme et au cas par cas, dans quelle
mesure les orientations contenues dans la prsente MPA doivent tre suivies.
4. Les Normes soulignent combien il est important que le responsable de laudit interne
soit rattach une personne disposant de lautorit suffisante pour promouvoir son
indpendance et assurer une large couverture de lorganisation par laudit. Toutefois,
les Normes revtent volontairement un caractre quelque peu gnrique pour ce qui
est des liens administratifs, car elles sont destines tre appliques dans lensemble
des organisations, indpendamment de leur taille ou de tout autre facteur. Parmi les
facteurs qui rendent toute gnralisation impossible figurent la taille et le type de
lorganisation (non cote, publique, ou grand groupe). Le responsable de laudit interne
doit donc tenir compte des points suivants pour apprcier si les liens hirarchiques
en place sont appropris :
Son suprieur administratif possde-t-il une autorit et un niveau hirarchique suf-
fisants pour garantir lefficacit de la fonction ?
Possde-t-il une culture approprie en matire de contrle et de gouvernement
dentreprise pour assister le responsable de laudit interne dans ses fonctions ?
Est-il suffisamment disponible et intress pour assister activement le responsable
de laudit interne sur les questions daudit ?
Comment peroit-il et soutient-il la liaison fonctionnelle en place ?
JUIN 2004
7
NORMES DE QUALIFICATION
7. Quels que soient les rattachements mis en place dans lorganisation, plusieurs mesures
essentielles peuvent contribuer faire en sorte quils favorisent lefficacit et
lindpendance de lactivit daudit interne.
Rattachement fonctionnel :
il doit sagir dune liaison directe avec le comit daudit ou lorgane quivalent,
de faon garantir un niveau adquat dindpendance et de communication ;
le responsable de laudit interne et le comit daudit (ou lorgane quivalent)
doivent se runir parfois en priv sans la prsence des dirigeants, de faon
renforcer lindpendance et la nature de leur liaison fonctionnelle ;
JUIN 2004
8
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
JUIN 2004
9
NORMES DE QUALIFICATION
8. Les responsables de laudit interne doivent aussi envisager leurs relations avec les
autres services investis dune fonction de contrle et de surveillance (management
des risques, dontologie, scurit, juridique, thique, environnement, audit externe),
et faciliter la communication au comit daudit des risques significatifs et des pro-
blmes lis aux contrles.
1110.A1 1110.A1
MPA 1110.A1-1
Justification des demandes dinformations
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils sont invits justifier leurs demandes dinformations. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments.
Un auditeur interne est parfois invit par laudit ou par dautres parties expliquer
lintrt que prsente un document demand pour la conduite de sa mission. La ques-
tion de savoir sil faut ou non justifier durant la mission la ncessit de certains docu-
ments doit tre apprcie au cas par cas. La prsence dirrgularits significatives
peut se traduire par un environnement moins propice que celui permettant une coop-
ration normale entre auditeur et audit. Toutefois, il sagit l dun jugement quil
appartient au responsable de l'audit interne de former en fonction des circonstances.
OCTOBRE 2002
10
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
1120
Objectivit individuelle
Les auditeurs internes doivent avoir une attitude impartiale
et dpourvue de prjugs, et viter les conflits dintrts.
MPA 1120-1
Objectivit Individuelle
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour
apprcier leur degr dobjectivit. La prsente MPA na pas pour but de procder un
expos exhaustif des points examiner. Elle a seulement pour objet de recommander
la prise en compte dun ensemble dlments.
1. Lobjectivit est une attitude desprit marque par lindpendance que les auditeurs
doivent garder dans la ralisation de leurs missions. Les auditeurs internes ne doivent
pas subordonner leur propre jugement en matire daudit celui dautres personnes.
2. Lobjectivit ncessite que les auditeurs internes ralisent leurs missions de telle
manire quils aient sincrement confiance dans le rsultat de leur travail et dans le
fait quaucune concession significative nait t faite en matire de qualit. Les audi-
teurs internes ne doivent pas se trouver placs dans des situations o ils se sentiraient
incapables de porter des jugements professionnels objectifs.
3. Les affectations au sein de lquipe doivent tre effectues de manire viter tout
conflit dintrt ou manque dimpartialit potentiels ou rels. Le responsable de
l'audit interne doit priodiquement sassurer auprs des auditeurs quaucun conflit
dintrt ou aucune influence ne sont susceptibles daltrer cette indpendance. Une
rotation rgulire des auditeurs internes au sein de lquipe est souhaitable.
4. Les travaux daudit doivent tre revus avant la diffusion des conclusions de laudit,
afin de fournir une assurance raisonnable que le travail a t ralis avec objectivit.
OCTOBRE 2002
11
NORMES DE QUALIFICATION
OCTOBRE 2002
12
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
1130
MPA 1130-1
Atteintes lindpendance ou lobjectivit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au
moment dexaminer les atteintes lindpendance et lobjectivit. La prsente MPA
na pas pour but de procder un expos exhaustif des points examiner. Elle a seu-
lement pour objet de recommander la prise en compte dun ensemble dlments.
1. Les auditeurs internes doivent signaler au responsable de l'audit interne toutes les
situations dans lesquelles lexistence dun conflit d'intrt ou dun parti pris sont sus-
ceptibles daltrer leur indpendance et leur objectivit. Le responsable de l'audit
interne doit alors raffecter les auditeurs concerns.
2. Une limitation du champ dintervention est une restriction impose laudit interne
lempchant de raliser ses objectifs et son planning. Des limitations de ce type peu-
vent, entre autres, restreindre :
le domaine dintervention dfini dans la Charte ;
laccs de laudit interne aux dossiers, au personnel, et aux biens physiques nces-
saires la ralisation des missions ;
le plan daudit lorsqu'il a t approuv ;
la mise en uvre des procdures ncessaires la mission ;
le budget et les ressources humaines qui ont t approuvs.
OCTOBRE 2002
13
NORMES DE QUALIFICATION
1130.A1
MPA 1130.A1-1
Audit des oprations dont les auditeurs internes ont t auparavant responsables
OCTOBRE 2002
14
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
MPA 1130.A1-2
Responsabilits exerces par laudit interne au titre dautres fonctions
La Modalit Pratique dApplication qui suit sadresse aux auditeurs internes qui doi-
vent dcider sils acceptent ou non dexercer des fonctions oprationnelles autres que
laudit. Lacceptation de telles responsabilits peut compromettre lindpendance et
lobjectivit de lauditeur et doit tre vite dans la mesure du possible. La prsente
MPA na pas pour but de procder un expos exhaustif des points examiner pour
valuer ces responsabilits ou ces fonctions.
Le respect des Modalits Pratiques dApplication est facultatif.
OCTOBRE 2002
15
NORMES DE QUALIFICATION
1. Certains auditeurs internes se voient attribuer ou acceptent des fonctions autres que
laudit pour diverses raisons qui paraissent logiques au management de
lorganisation. Les auditeurs internes sont de plus en plus souvent sollicits pour
assumer des fonctions et des responsabilits susceptibles de compromettre leur ind-
pendance ou leur objectivit. Les organisations, quelles fassent ou non appel public
lpargne, doivent rpondre des exigences croissantes defficience et defficacit
et ceci tout en rduisant leurs ressources ; certains auditeurs internes sont donc ame-
ns, la demande du management de lorganisation, assumer des fonctions qui font
priodiquement lobjet dun audit interne.
2. Lindpendance et lobjectivit de lauditeur interne risquent dtre altres lorsque
laudit interne ou un auditeur interne assument une fonction quils sont susceptibles
dauditer, ou que le management envisage de leur attribuer. Pour apprcier limpact
sur son indpendance et son objectivit, lauditeur interne doit tenir compte des fac-
teurs suivants :
les principes noncs par le Code de Dontologie et les Normes pour la Pratique
Professionnelle de laudit interne ;
les attentes des parties prenantes de lorganisation, notamment de ses actionnaires,
du Conseil, du comit daudit, du management, du lgislateur, des instances
publiques et rglementaires et des associations dintrt gnral ;
les dispositions et/ou restrictions prvues par la charte de laudit interne ;
les informations dont la communication est obligatoire en vertu des Normes ;
la couverture ultrieure, dans le cadre du programme daudit, des fonctions ou
responsabilits acceptes par lauditeur interne.
3. Pour dterminer sils peuvent accepter la responsabilit dune fonction autre que
laudit, les auditeurs internes doivent tenir compte des facteurs suivants :
selon le Code de Dontologie et les Normes de lIIA, laudit interne doit tre ind-
pendant, et les auditeurs internes doivent accomplir leur mission avec objectivit ;
les auditeurs internes doivent, sils le peuvent, sabstenir dexercer des fonctions,
autres que laudit, qui font priodiquement lobjet dun audit interne ;
si ce nest pas possible, il convient dinformer les parties concernes que cette
situation est susceptible de porter atteinte lindpendance et lobjectivit de
lauditeur, la nature des informations communiquer tant fonction de la gravit de
cette atteinte ;
lobjectivit dun auditeur est prsume altre lorsquil ralise une mission dassu-
rance pour une activit dont il a eu la responsabilit au cours de lanne prc-
dente ;
lorsque le management confie ponctuellement aux auditeurs internes des travaux
ne relevant pas de laudit, il convient de bien prciser que les auditeurs internes
ninterviennent pas en leur qualit dauditeurs ;
OCTOBRE 2002
16
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
les attentes des parties prenantes de lorganisation, y compris les exigences lgales
ou rglementaires, doivent tre values en tenant compte du risque de non-objec-
tivit ;
si la charte de laudit interne contient des restrictions ou des clauses limitatives
concernant lattribution aux auditeurs internes de fonctions autres que laudit, il
convient de mentionner ces restrictions et den discuter avec le management. Si ce
dernier insiste pour confier ces fonctions un auditeur, celui-ci consultera le comit
daudit ou tout autre organe dlibrant appropri. A dfaut de disposition expresse
de la charte, il convient de se rfrer aux lignes directrices figurant ci-dessous, qui
sont subordonnes aux clauses de la charte.
OCTOBRE 2002
17
MPA SRIE 1200
Comptence et conscience professionnelle
1200 COMPTENCE ET CONSCIENCE PROFESSIONNELLE
MPA 1200-1
Comptence et conscience professionnelle
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors
de la ralisation des missions. La prsente MPA na pas pour but de procder un
expos exhaustif des points examiner. Elle a seulement pour objet de recommander
la prise en compte dun ensemble dlments.
OCTOBRE 2002
3
NORMES DE QUALIFICATION
1210
Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire
et les autres comptences ncessaires l'exercice de leurs responsabilits
individuelles. L'audit interne doit possder ou acqurir collectivement
les connaissances, le savoir-faire et les autres comptences ncessaires
l'exercice de ses responsabilits.
MPA 1210-1
Comptence
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au
moment dexaminer leur comptence. La prsente Modalit Pratique dApplication
na pas pour but de procder un expos exhaustif des points examiner. Elle a seu-
lement pour objet de recommander la prise en compte dun ensemble dlments.
JUIN 2004
4
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
3. Les auditeurs internes doivent tre capables de communiquer oralement et par crit,
de manire pouvoir exposer clairement et efficacement les objectifs, les apprcia-
tions, les conclusions et les recommandations de la mission.
7. Le responsable de laudit interne doit faire appel des experts extrieurs son service
afin de soutenir ou de complter les travaux des auditeurs lorsque ces derniers ne
possdent pas toutes les comptences requises dans un domaine donn (voir la
Modalit Pratique dApplication 1210.A1-1 pour des informations plus spcifiques
sur le recours des prestataires extrieurs au service audit).
JUIN 2004
5
NORMES DE QUALIFICATION
1210.A1
MPA 1210.A1-1
Recours des prestataires de services externes
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils envisagent de recourir des prestataires de services chargs dassister lactivit
daudit interne. La prsente Modalit Pratique dApplication na pas pour but de pro-
cder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
3. Laudit interne peut faire appel des prestataires de service notamment dans les cas
suivants :
missions daudit impliquant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de linformation, les statistiques, la fiscalit,
OCTOBRE 2002
6
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
OCTOBRE 2002
7
NORMES DE QUALIFICATION
Ces qualifications sont requises non seulement de lassoci qui signe le contrat
mais aussi du responsable quil dlgue sur place.
6. Le responsable de l'audit interne doit examiner les liens existant entre le prestataire
de service extrieur, lorganisation et son service daudit interne, et sassurer que
lindpendance et lobjectivit du prestataire de service seront garanties tout au long
de la mission. Pour procder cet examen, le responsable de l'audit interne doit
sassurer quaucun lien financier, professionnel ou personnel nempchera le presta-
taire de service de formuler un jugement et une opinion objectifs et impartiaux lors
de la ralisation de sa mission et de lmission de ses rapports.
Si la mission qui leur est confie les amenait agir ou donner lapparence dagir
comme des membres de la direction gnrale, du management ou des employs de
lorganisation, alors leur indpendance serait compromise. En outre, il peut arriver
que les auditeurs externes fournissent lorganisation dautres services, en matire
de fiscalit ou de conseil notamment. Lindpendance doit tre apprcie eu gard
la gamme complte des services rendus lorganisation.
OCTOBRE 2002
8
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
prciser ltendue de la mission et divers autres points dans une lettre de mission ou
dans un contrat. Le responsable de l'audit interne devra examiner les points suivants
avec le prestataire de service :
objectifs et tendue de la mission ;
points particuliers qui devront tre couverts dans les rapports remis au titre de la
mission ;
accs aux documents, aux personnes et aux biens corporels concerns ;
informations concernant les hypothses et les procdures utiliser ;
proprit et conservation des documents de travail tablis dans le cadre de la mis-
sion, le cas chant ;
confidentialit des informations obtenues au cours de la mission et restrictions les
concernant.
10. Lorsque le prestataire de service accomplit des travaux daudit interne, le responsable
de l'audit interne doit exiger et veiller ce que ces travaux soient raliss conform-
ment aux Normes pour la Pratique Professionnelle de laudit interne. Dans le cadre
de la revue des travaux dun prestataire de service, le responsable de l'audit interne
doit valuer la pertinence des travaux effectus. Cette valuation consiste notam-
ment sassurer que les informations obtenues sont suffisantes pour justifier les
conclusions formules et les solutions proposes et statuer sur les exceptions signi-
ficatives ou les autres points inhabituels.
OCTOBRE 2002
9
NORMES DE QUALIFICATION
1210.A2
MPA 1210.A2-1
Responsabilits de lauditeur interne en matire de prvention,
de dtection et dvaluation des risques de fraude
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en
matire de fraude. La prsente MPA na pas pour but de procder un expos
exhaustif des points examiner. Elle a seulement pour objet de recommander un
niveau minimum de connaissances sur la fraude et certaines mesures mettre en
uvre. Le niveau de formation et dexprience requis pour un service daudit interne
et pour ses membres variera en fonction des profils de poste et des prestations de
conseil et dassurance que la direction gnrale et le conseil dadministration atten-
dent du responsable de laudit interne. Ds lors, le niveau de comptences requis sera
dautant plus lev que les auditeurs seront trs impliqus.
Le respect des Modalits Pratiques dApplication est facultatif.
La prsente MPA doit tre lue conjointement avec la MPA 1210.A2-2, Responsabilits
de lauditeur interne en matire denqutes, de prsentation de rapports, de rsolution de
problmes et de communication relatives la fraude .
DFINITION DE LA FRAUDE
On entend par fraude lensemble des irrgularits et actes illgaux commis sciemment,
avec lintention de tromper ou de dformer. Certains actes, qualifis de
fraude dans la prsente MPA et dans la MPA 1210.A.2-2, sont susceptibles de rpon-
dre galement la dfinition juridique et/ou la dfinition courante de la corruption.
Lauteur de la fraude sait que celle-ci peut entraner un avantage irrgulier son profit,
au profit de lorganisation ou dautrui. La fraude peut tre perptre par des collabora-
teurs de lorganisation ou par des personnes extrieures celle-ci.
SEPTEMBRE 2006
10
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
SEPTEMBRE 2006
11
NORMES DE QUALIFICATION
carence dlibre alors que des mesures sont requises par lentreprise ou la lgis-
lation ;
erreurs intentionnelles dans les dclarations fiscales afin de rduire le montant des
impts ;
activits commerciales prohibes par les lois, rgles, rglements ou contrats en
cours.
Il existe, outre la dfinition ci-dessus, diffrentes typologies de la fraude. Lauditeur
a toute latitude pour examiner les informations publies par les cabinets et associa-
tions spcialiss dans lexpertise comptable ou les enqutes sur les fraudes, afin de
dterminer la mthode de classification la mieux approprie pour son organisation.
Les facteurs qui influent sur la fraude sont gnralement au nombre de trois : le risque,
le mobile et la rationalisation.
1. Le risque
Il peut arriver quun processus soit bien conu pour une situation habituelle, mais
quune conjoncture apparaisse et gnre un dysfonctionnement, ou engendre des
circonstances rendant les contrles inoprants.
Le risque de fraude peut rsulter dune conception mdiocre des contrles ou de
leur insuffisance. Par exemple, en cas de mise au point dun systme qui semble
assurer la protection des actifs, mais auquel un contrle important fait dfaut.
Quiconque a connaissance de cette lacune peut en profiter sans gros effort.
Les personnes investies dune autorit peuvent provoquer des occasions pour
droger aux contrles existants, parce que leurs subordonns ou la faiblesse des
contrles leur permettent de contourner les rgles.
2. Le mobile
Lauteur dune fraude peut rationaliser ses actes, mais il faut quil ait un mobile
pour se comporter ainsi :
le pouvoir constitue un trs bon mobile. Il peut sagir simplement de gagner
lestime de sa famille ou de ses collgues. Par exemple, de nombreuses fraudes
informatiques sont commises pour montrer que lauteur du piratage a le pouvoir
dagir ainsi, et non pour nuire intentionnellement ;
un autre mobile peut consister en la satisfaction dun dsir, tel que la cupidit
ou une dpendance ;
le troisime mobile correspond aux pressions rsultant de contraintes physiques
ou exerces par des tiers.
SEPTEMBRE 2006
12
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
3. La rationalisation
La plupart des personnes se considrent honntes, mme si elles commettent occa-
sionnellement un acte rprhensible. Elles sont susceptibles, pour sen convaincre,
de rationaliser ou de nier leurs actes, en considrant par exemple quelles avaient
droit lobjet vol ou que, si les cadres enfreignent les rgles, les autres peuvent
parfaitement en faire autant.
Certains commettront des actes qui sont qualifis dinacceptables par
lorganisation, mais qui sont cependant courants dans leur culture ou qui taient
admis par leurs prcdents employeurs. Ds lors, ces collaborateurs ne respecte-
ront pas des rgles qui nont aucun sens pour eux.
Certains peuvent connatre des priodes de difficult financire dans leur vie, avoir
succomb une dpendance coteuse ou tre confronts dautres pressions. Ils
vont donc rationaliser en invoquant quils ne font quemprunter largent et quils le
rembourseront lorsque leurs conditions de vie se seront amliores. Dautres peu-
vent avoir le sentiment quil nest pas rprhensible de voler une entreprise, et
dpersonnalisent ainsi lacte commis.
Les auditeurs ne sont pas toujours en mesure de connatre la rationalisation ou le
mobile exact conduisant la fraude, mais ils sont censs possder une matrise des
contrles internes suffisante pour identifier les risques de fraude. Ils doivent en outre
comprendre les modes et les scnarios de fraude, connatre les signes de lexistence
dun risque de fraude et les moyens de les prvenir. Les auditeurs doivent examiner
les informations communiques par lIIA et par dautres associations ou organisations
professionnelles afin de sassurer que leurs connaissances sont actualises.
Toutes les organisations sont exposes un certain degr de risque de fraude dans tout
processus ncessitant une intervention humaine. Ce degr dexposition est fonction des
risques de fraude inhrents lactivit de lorganisation, de lexistence de contrles
internes efficaces permettant de prvenir ou de dtecter la fraude, ainsi que de
lhonntet et de lintgrit des personnes impliques dans le processus.
Le risque de fraude est la probabilit que la fraude se produise, ainsi que sa gravit ou
ses consquences potentielles pour lorganisation lorsquelle se produit. La probabilit
dune activit frauduleuse dpend, en rgle gnrale, de la facilit avec laquelle la fraude
peut tre commise, des facteurs pouvant motiver la fraude et de lhistorique de
lentreprise en matire de fraude. La gestion de la fraude consiste notamment en limi-
ter ou en liminer les consquences, ce qui va au-del de la limitation ou de llimination
dune perte financire. Par exemple, latteinte la renomme de certaines organisations
peut avoir un impact considrable sur leur capacit attirer et fidliser un personnel qua-
lifi ou une clientle pour leurs produits, et obtenir les moyens et autorisations nces-
saires pour assurer la croissance et la viabilit long terme de lactivit.
SEPTEMBRE 2006
13
NORMES DE QUALIFICATION
Pour valuer le risque de fraude, les auditeurs internes doivent sappuyer sur le modle
de gestion des risques dentreprise utilis le cas chant dans lorganisation. dfaut,
ils peuvent suivre les directives suivantes :
2. Lvaluation des contrles destins prvenir ou rduire les risques de fraude aux-
quels une organisation est expose doit tenir compte du rapport cots/bnfices. Il
convient galement dexaminer si la fraude peut tre commise par une personne seule
ou si elle implique une complicit. En pratique, il nest pas possible ni rentable de
prvenir la totalit des cas de fraude. Il faut galement tenir compte du fait que
lorganisation sexpose des consquences ngatives en cas de soupons non fonds
vis--vis de certains collaborateurs ou si elle donne limpression de ne pas avoir
confiance en son personnel.
(1) Ouvrage traduit en 2005 par lIFACI et PwC sous le titre Le management des risques de lentreprise
cadre de rfrence copyright en franais IFACI.
SEPTEMBRE 2006
14
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
La prvention de la fraude est lensemble des mesures prises pour dissuader les fraudeurs
potentiels et limiter les consquences en cas de fraude. Le contrle interne est le prin-
cipal dispositif de prvention de la fraude. La responsabilit premire de la mise en place
et du maintien dun systme de contrle interne doit tre confie la direction gnrale.
(1) Ouvrage traduit en 1994 par lIFACI et PwC sous le titre La pratique du contrle interne COSO
Report copyright IFACI.
SEPTEMBRE 2006
15
NORMES DE QUALIFICATION
Les auditeurs internes ont pour mission daider les entreprises prvenir la fraude en exa-
minant et en valuant ladquation et lefficacit de leur dispositif de contrle interne,
dispositif qui doit tre adapt limportance des risques potentiels au sein de
lorganisation. Dans le cadre de leurs fonctions, les auditeurs internes doivent tenir comp-
te des lments suivants :
SEPTEMBRE 2006
15-1
16
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
DTECTION DE LA FRAUDE
Parmi ces contrles, on peut citer, titre dexemple, la mise en place et la diffusion dune
hotline ou dun systme similaire que les clients ou les membres du personnel peuvent
utiliser pour faire part de leurs plaintes ou de leurs proccupations. Les autres contrles
de pilotage et de dtection incluent notamment les oprations suivantes :
installation de systmes dalarme sur les portes et les fentres des locaux ;
installation de camras de surveillance ;
incorporation de contrles ddition dans les systmes dinformation ;
ralisation dinventaires physiques ;
audits ;
examen et approbation des factures et des frais imputs aux centres de cot ;
rapprochements de comptes.
Dans la mesure o la fraude peut affecter les activits couvertes dans le cadre normal de
laudit, les auditeurs internes sont tenus, en matire de dtection de la fraude, dexercer
leurs fonctions avec conscience professionnelle , telle que dfinie par la Norme 1220
des Normes internationales pour la pratique professionnelle de laudit interne.
SEPTEMBRE 2006
15-2
NORMES DE QUALIFICATION
Toutefois, la plupart des auditeurs internes ne sont pas censs possder des connais-
sances quivalentes celles dun spcialiste qui a pour principale fonction de dtecter
la fraude et de mener des enqutes dans ce domaine. Par ailleurs, les procdures daudit,
mme si elles sont mises en uvre avec la conscience professionnelle requise, ne garan-
tissent pas, elles seules, que la fraude sera dtecte.
Un systme de contrle interne bien conu permet dattnuer le risque de fraude. Les
tests effectus par les auditeurs amliorent les chances de dtecter tout indice de fraude
et, le cas chant, dapprofondir les recherches.
SEPTEMBRE 2006
15-3
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
MPA 1210.A2-2
Responsabilits de lauditeur interne en matire denqutes, de prsentation
de rapports, de rsolution de problmes et de communication relatives la fraude
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en
matire de fraude. La prsente MPA na pas pour but de procder un expos
exhaustif des points examiner. Elle a seulement pour objet de recommander un
niveau minimum de connaissances sur la fraude et certaines mesures mettre en
uvre. Le niveau de formation et dexprience requis pour un service daudit interne
et pour ses membres variera en fonction des profils de poste, tels que dfinis dans la
charte du service audit, et des prestations de conseil et dassurance que la direction
gnrale et le conseil dadministration attendent du responsable de laudit interne. Le
niveau de comptences requis sera dautant plus lev que les auditeurs seront trs
impliqus.
Le respect des Modalits Pratiques dApplication est facultatif.
La prsente section de la MPA ne concerne pas les audits effectus pour dtecter de
faon proactive des indices de fraude dans les processus ou transactions dont lanalyse
indique quils comportent un risque de fraude important. Elle concerne les enqutes
inities en cas de craintes concernant des dficiences de contrles ou en cas de soup-
ons dinfraction au sein de lorganisation. Les soupons peuvent rsulter dun processus
de plainte formel, dinformations informelles ou dun audit, notamment dun audit
effectu pour vrifier sil y a eu fraude.
Une enqute sur la fraude consiste recueillir des informations suffisantes sur certains
points et mettre en uvre les procdures ncessaires pour dterminer si une fraude a
t commise, la perte ou les risques associs la fraude, les personnes impliques et les
modalits de la fraude (comment elle a eu lieu). Les enqutes ont notamment pour effet
et il sagit l dun point important de laver les innocents de tout soupon.
Les enqutes doivent tre conues pour dcouvrir la vritable nature et ltendue de
lactivit frauduleuse, et non pas seulement lvnement qui a pu dclencher lenqute.
La ralisation dune enqute inclut llaboration de documents de travail ou dun dossier
suffisants en vue dune procdure judiciaire.
SEPTEMBRE 2006
15-4
NORMES DE QUALIFICATION
Les personnes qui procdent ou qui participent aux enqutes sur la fraude sont gnra-
lement des auditeurs internes, des juristes, des enquteurs, des membres du personnel
de scurit et dautres spcialistes faisant ou non partie de lorganisation.
Les enqutes et les oprations entreprises pour les rsoudre doivent tre gres avec dili-
gence en tenant compte de la lgislation locale. Le cas chant, les lois peuvent contenir
des directives sur le mode et le lieu de ralisation des enqutes, les pratiques en matire
de sanctions et de rparation et les communications. Il est dans lintrt dun auditeur,
tant sur le plan professionnel que dun point de vue juridique, de cooprer de faon effi-
cace avec le conseil juridique de lorganisation et de se familiariser avec les lois appli-
cables. Les recommandations contenues dans la prsente MPA sont destines un public
international et sont par consquent dordre gnral.
Ces procdures mentionnent imprativement les droits des personnes impliques, la qua-
lification des personnes autorises mener les enqutes, ainsi que les lois en vigueur
dans les pays et les collectivits locales o les fraudes ont t commises ou ont fait
lobjet dune enqute. Elles doivent prciser ltendue des sanctions que la direction
gnrale infligera aux collaborateurs, aux fournisseurs ou aux clients, notamment les
mesures juridiques qui seront prises pour recouvrer les pertes ainsi que les poursuites
civiles ou pnales. Il est important que la direction gnrale dfinisse clairement les
pouvoirs et les responsabilits des divers participants une enqute, et en particulier la
relation entre lenquteur et le conseiller juridique. Il est galement important quelle
tablisse et quelle respecte des procdures minimisant les communications internes sur
les enqutes en cours, en particulier dans leurs phases initiales.
SEPTEMBRE 2006
15-5
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
Le rle de laudit interne en matire denqutes doit tre dfini dans la charte daudit
interne ainsi que dans les procdures relatives la fraude. Par exemple, laudit interne
peut avoir la responsabilit premire des enqutes sur la fraude, constituer une ressource
pour ces enqutes, ou sabstenir de toute participation aux enqutes (parce quil est
charg den apprcier lefficacit). Chacun de ces rles peut tre acceptable, pour autant
que limpact de ces activits sur lindpendance de laudit interne soit reconnu et gr
de faon approprie.
Afin de maintenir leur comptence, il appartient aux quipes charges des enqutes sur
la fraude dacqurir une connaissance suffisante des diffrents modes de fraude, des
techniques denqute et de la lgislation. Il existe des programmes nationaux et interna-
tionaux de formation et de certification destins aux enquteurs et aux experts lgistes.
Si laudit interne est charg de sassurer de la ralisation des enqutes, il peut conduire
une enqute avec le personnel de lorganisation, recourir des sous-traitants ou panacher
ces deux formules. Dans certains cas, laudit interne peut galement faire appel, pour
lassister, des collaborateurs de l'organisation qui ne font pas partie du service daudit.
Dans les entreprises o la responsabilit premire des enqutes nest pas attribue
laudit interne, les auditeurs peuvent nanmoins tre convis contribuer la collecte
dinformations et formuler des recommandations en vue damliorer le contrle interne.
Un plan denqute doit tre labor pour chaque enqute, conformment aux procdures
ou aux protocoles denqute de lorganisation. Le responsable de lenqute doit dter-
miner les connaissances et les comptences ncessaires pour raliser lenqute de faon
efficace, et affecter des personnes comptentes et appropries lquipe. Il convient
dinclure dans ce processus lassurance quil nexiste aucun conflit dintrts potentiel
avec les personnes faisant lobjet dune enqute ou avec dautres collaborateurs de
lorganisation.
SEPTEMBRE 2006
15-6
NORMES DE QUALIFICATION
nimporte quel stade de ce processus, lenquteur peut conclure que la plainte ou les
soupons ntaient pas fonds et clore laffaire.
Les oprations doivent tre coordonnes, au cours de lenqute, avec la direction gn-
rale, le conseiller juridique et dautres spcialistes tels que les responsables des res-
sources humaines et des risques dits assurables , si cela savre ncessaire.
Les enquteurs doivent tre informs des droits des personnes concernes par lenqute
et conscients de la renomme de lorganisation.
Les rapports relatifs aux fraudes comprennent les diverses communications orales ou
crites, provisoires ou dfinitives, adresses aux cadres dirigeants et/ou au conseil
dadministration au sujet de ltat davancement et des rsultats des enqutes sur la frau-
de. Ces rapports peuvent tre prliminaires et tablis tout au long de lenqute. Un rap-
port crit peut tre tabli suite un compte-rendu oral adress aux membres de la direc-
tion gnrale et du conseil dadministration, afin de documenter les observations.
La MPA fait ici rfrence au droit amricain dans lequel le client attorney
privilege permet de rendre confidentielles les informations, y compris pour le
pouvoir judiciaire, en les plaant dans des conditions particulires, sous la
sauvegarde dun avocat.
SEPTEMBRE 2006
15-7
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
Lorsquune fraude importante ou une perte de confiance ont t dmontres avec une
certitude suffisante, les cadres dirigeants et le conseil dadministration en sont
informs immdiatement.
Il ressort parfois des rsultats de lenqute que la fraude a pu avoir une incidence nga-
tive non dtecte auparavant sur la situation financire et les rsultats oprationnels
de lorganisation pendant un ou plusieurs exercices pour lesquels des tats financiers
ont dj t publis. Les cadres dirigeants et le conseil dadministration doivent tre
informs de cette dcouverte.
Un rapport crit ou une autre communication formelle doivent tre prsents lors de la
conclusion de la phase denqute. Ce rapport indique le contexte dans lequel lenqute
a t entreprise, le calendrier, les observations, les conclusions, la rsolution de
lenqute et les mesures correctives prises (ou les recommandations) en vue
damliorer les contrles. Selon la faon dont lenqute a t rsolue, il peut savrer
ncessaire de rdiger le rapport de faon respecter la confidentialit vis--vis de cer-
taines des personnes impliques. Le contenu de ce rapport est sensible, et doit rpon-
dre aux besoins du conseil dadministration et de la direction gnrale, tout en tant
conforme aux rgles et restrictions lgales ainsi quaux politiques et procdures de
lentreprise.
Les auditeurs internes doivent apprcier les faits qui ressortent des enqutes et conseiller
la direction gnrale au sujet des solutions apporter aux faiblesses de contrle interne
qui ont conduit la fraude. Les auditeurs doivent ajouter des tapes supplmentaires aux
programmes daudit standard ou mettre au point des programmes daudit relatifs la
fraude afin de faciliter la diffusion dinformations en cas de fraudes similaires lavenir.
SEPTEMBRE 2006
15-8
NORMES DE QUALIFICATION
Outre leur rle de conseil, les auditeurs internes peuvent tre impliqus dans les opra-
tions suivantes :
suivi du processus denqute afin de sassurer que lorganisation met en uvre des
politiques et procdures pertinentes et applique la lgislation en vigueur (lorsque
laudit interne nest pas charg de conduire lenqute) ;
localisation et/ou sauvegarde des actifs dtourns ou concerns ;
soutien des actions entreprises par lorganisation sur le plan judiciaire, auprs des
assurances ou dautres fins de rparation ;
valuation et suivi des plans et pratiques de lorganisation en matire dinformation et
de communication interne et externe postrieure lenqute ;
suivi de la mise en uvre des recommandations concernant lamlioration des
contrles afin dassurer leur efficacit, leur efficience et leur ralisation dans des dlais
appropris.
COMMUNICATIONS
Afin de limiter le risque de diffusion non officielle dinformations non appropries et/ou
inexactes, lauditeur interne peut conseiller la direction gnrale dans la dfinition dune
stratgie de communication et dun plan tactique, et ce un stade de lenqute aussi
prcoce que possible.
Outre les rapports sur la fraude susmentionns, une enqute peut donner lieu deux
types de communications : les communications publiques et les communications
internes planifies.
La meilleure faon de coordonner tous les commentaires faits par la direction gnrale
lintention de la presse, des autorits de police ou dautres organes externes est de faire
SEPTEMBRE 2006
15-9
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
Lauditeur interne peut tre invit par la direction gnrale ou par le conseil
dadministration formuler une opinion sur le dispositif de contrle interne de
lorganisation relatif la fraude. Les auditeurs doivent se rfrer diverses MPA de la
srie 2410 et dautres recommandations pratiques publies par lIIA, notamment au
document intitul Practical Considerations Regarding Internal Auditing Expressing an
Opinion on Internal Controls (Aspects pratiques lis la formulation par laudit interne
dune opinion sur les contrles internes), afin de dterminer sils ont suffisamment tenu
compte des informations quils contiennent avant de formuler une opinion.
SEPTEMBRE 2006
15-10
NORMES DE QUALIFICATION
1220
Conscience professionnelle
Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire
que lon peut attendre dun auditeur interne raisonnablement averti et comptent.
La conscience professionnelle nimplique pas l'infaillibilit.
MPA 1220-1
Conscience professionnelle
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils valuent leur conscience professionnelle. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
OCTOBRE 2002
16
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
MPA 1220-2
Outils daudit assists par ordinateur (CAATS)
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils effectuent des missions au cours desquelles ils ont recours des outils daudit
assists par ordinateur. La prsente MPA na pas pour but de dcrire toutes les
procdures mettre en uvre pour raliser un audit informatique. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments lors de la
planification dtaille des travaux daudit
SEPTEMBRE 2006
16-1
NORMES DE QUALIFICATION
Les outils daudit assists par ordinateur constituent des outils importants pour
lauditeur dans le cadre de ses travaux daudit. Ils regroupent diffrents types doutils
et de techniques, tels que les logiciels gnraux daudit, des programmes utilitaires,
des donnes de test, les outils de traage logique et de cartographie de logiciels
dapplication, et les systmes experts daudit. Les outils daudit assists par ordina-
teur peuvent tre mis en uvre dans le cadre de diverses procdures daudit, parmi
lesquelles on peut citer :
les tests sur les informations dtailles concernant les transactions et les soldes ;
les procdures de revue analytique ;
les tests de conformit des contrles informatiques gnraux ;
les tests de conformit des contrles dapplication ;
les tests de pntration.
Les outils daudit assists par ordinateur peuvent gnrer une forte proportion de
preuves daudit recueillies dans le cadre dun audit. Par consquent, lauditeur doit
planifier avec soin le recours ces outils et faire preuve de conscience profession-
nelle lors de leur mise en uvre.
2. Planification
SEPTEMBRE 2006
16-2
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
SEPTEMBRE 2006
16-3
NORMES DE QUALIFICATION
Lorsque les outils daudit assists par ordinateur sont mis en uvre pour extraire des
informations en vue dune analyse de donnes, lauditeur doit vrifier lintgrit du
systme dinformation et de lenvironnement informatique dont les donnes sont
extraites. Les outils daudit assists par ordinateur sont parfois utiliss pour extraire
des informations sensibles sur les programmes/systmes et des donnes de produc-
tion dont la confidentialit doit tre prserve. Lauditeur doit conserver les informa-
tions relatives aux programmes/systmes et les donnes de production avec un degr
appropri de confidentialit et de scurit. cette fin, il tient compte du degr de
confidentialit et de scurit requis par lorganisation propritaire des donnes et par
la lgislation en vigueur. Lauditeur doit mettre en uvre des procdures appropries
et documenter les rsultats obtenus de faon assurer en permanence lintgrit, la
fiabilit, lutilit et la scurit des outils daudit assists par ordinateur. titre
dexemple, ces procdures doivent comporter un examen des contrles relatifs la
maintenance et la modification des logiciels daudit intgrs, afin de sassurer que
seules des modifications autorises ont t apportes aux outils daudit assists par
ordinateur. Lorsque ces outils sintgrent dans un environnement dont lauditeur na
pas la matrise, un niveau de contrle appropri doit tre mis en place afin diden-
tifier les modifications qui leur sont apportes. Lorsque les outils daudit assists par
ordinateur sont modifis, et avant de les utiliser, lauditeur doit sassurer de leur int-
grit, de leur fiabilit, de leur utilit et de leur scurit grce des mesures appro-
pries de planification, de conception, de vrification, de traitement et dexamen de
la documentation.
Lauditeur doit contrler la mise en uvre des outils daudit assists par ordinateur
afin dobtenir lassurance raisonnable que les objectifs de laudit sont remplis et que
les spcifications dtailles des outils daudit assists par ordinateur ont t res-
pectes. cet effet, lauditeur doit procder comme suit :
effectuer un rapprochement des totaux de contrle, le cas chant ;
sassurer de la vraisemblance des donnes de sortie ;
procder un examen de la logique, des paramtres et des autres caractristiques
des outils daudit assists par ordinateur ;
examiner les contrles informatiques gnraux de lorganisation qui sont suscep-
tibles de contribuer lintgrit des outils daudit assists par ordinateur (par
exemple les contrles relatifs aux modifications des programmes et laccs au
systme, au programme et/ou aux fichiers de donnes).
SEPTEMBRE 2006
16-4
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
Programmes utilitaires
En cas de recours des programmes utilitaires, lauditeur doit sassurer quaucune
intervention non prvue na eu lieu au cours du traitement et que le programme uti-
litaire provient de la bibliothque de systmes approprie. En outre, lauditeur doit
prendre des mesures appropries pour prserver lintgrit des systmes et des
fichiers de lorganisation, car ces utilitaires peuvent facilement les endommager.
Donnes de test
Lorsquil utilise des donnes de test, lauditeur ne doit pas perdre de vue que ces don-
nes ne font que mettre en vidence le risque de traitement erron ; cette technique
ne permet pas dvaluer les donnes de production relles. Par ailleurs, lauditeur doit
tre conscient que lanalyse des donnes de test peut savrer extrmement longue et
complexe, selon le nombre de transactions traites, le nombre de programmes tests
et la complexit des programmes/systmes. Avant dutiliser des donnes de test,
lauditeur doit vrifier que ces donnes naffecteront pas de faon permanente le sys-
tme oprationnel.
SEPTEMBRE 2006
16-5
NORMES DE QUALIFICATION
Documents de travail
Les diffrentes tapes du processus daudit assist par ordinateur doivent tre suffi-
samment documentes pour fournir des preuves daudit adquates. En particulier, les
documents de travail doivent contenir des informations suffisantes pour dcrire la
mise en uvre des outils daudit assists par ordinateur, notamment sur les points
numrs ci-aprs.
Planification
La documentation doit prciser :
les objectifs des outils daudit assists par ordinateur ;
les outils daudit assists par ordinateur mettre en uvre ;
les contrles effectuer ;
les effectifs et le calendrier.
Excution
La documentation doit inclure :
les procdures et les contrles relatifs la prparation et la vrification des outils
daudit assists par ordinateur ;
des informations dtailles sur les tests effectus laide des outils daudit assists
par ordinateur ;
des informations dtailles sur les donnes entres (donnes utilises, description
de fichiers, par exemple), les traitements (organigrammes des outils daudit assis-
ts par ordinateur, logique, etc.) et les documents de sortie (fichiers journaux, rap-
ports, par exemple) ;
la liste des paramtres ou du code source utiliss.
Preuves daudit
La documentation doit inclure :
les donnes de sortie produites ;
une description des travaux danalyse effectus sur ces donnes ;
les observations daudit ;
les conclusions de laudit ;
les recommandations formules dans le cadre de laudit.
SEPTEMBRE 2006
16-6
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
5. Rapports
Annexe Glossaire
Outils daudit assists par ordinateur : dsigne tous les outils daudit automatiss, tels
que les logiciels gnraux daudit, les programmes utilitaires, les donnes de test, les
outils de traage logique et de cartographie des logiciels dapplication et les systmes
expert daudit.
SEPTEMBRE 2006
16-7
NORMES DE QUALIFICATION
SEPTEMBRE 2006
16-8
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
1230
MPA 1230-1
Formation Professionnelle Continue
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en
matire de formation professionnelle continue. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
2. Il est conseill aux auditeurs internes dobtenir une certification attestant de leur
comptence, telle que le titre dauditeur interne Certifi (CIA, Certified Internal
Auditor) ou tout autre titre dlivr par lIFACI au nom de l'IIA.
3. Les auditeurs internes certifis doivent suivre une formation professionnelle continue
approprie de faon remplir les conditions requises dans le cadre de la certification
qui leur a t dlivre.
4. Les auditeurs internes qui ne sont pas encore certifis sont invits suivre un pro-
gramme de formation adapt en vue dobtenir la certification.
OCTOBRE 2002
17
MPA SRIE 1300
Programme dassurance et damlioration qualit
1300 PROGRAMME D'ASSURANCE
ET D'AMLIORATION QUALIT
JUIN 2004 3
NORMES DE QUALIFICATION
MPA 1300-1
Programme dAssurance et dAmlioration Qualit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils conoivent ou valuent les programmes qualit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner dans le cadre de
llaboration ou de lvaluation de programmes dassurance qualit dtaills. Elle a
seulement pour objet de recommander la prise en compte dun ensemble dlments.
Ces processus doivent comporter une supervision approprie, des valuations internes
priodiques et un suivi continu de lassurance qualit, ainsi que des valuations
externes priodiques.
JUIN 2004
4
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
JUIN 2004
5
NORMES DE QUALIFICATION
JUIN 2004
6
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
1310
valuations du programme qualit
L'audit interne ncessite l'adoption d'un processus permettant de surveiller
et d'valuer l'efficacit globale du programme qualit.
Ce processus doit comporter des valuations tant internes qu'externes.
MPA 1310-1
valuations du Programme Qualit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils conoivent ou quils valuent les programmes qualit. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments.
JUIN 2004
7
NORMES DE QUALIFICATION
Les services daudit interne sont tenus de procder des valuations internes conti-
nues ou priodiques depuis le 1er janvier 2002. En outre, une valuation externe doit
tre effectue au minimum tous les cinq ans compter de cette date. Il est possi-
ble de droger lobligation deffectuer une valuation interne priodique au cours
de lanne durant laquelle une valuation externe est ralise.
JUIN 2004
8
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
JUIN 2004
9
NORMES DE QUALIFICATION
1311
valuations Internes
Les valuations internes doivent comporter :
MPA 1311-1
valuations internes
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils procdent des valuations internes de leur service. La prsente MPA na pas
pour but de dcrire de faon exhaustive toutes les procdures mettre en uvre dans
le cadre de ces valuations. Elle a seulement pour objet de formuler une srie de
recommandations.
Le respect des Modalits Pratiques dApplication est facultatif.
JUIN 2004
10
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
supervision des missions selon les modalits dcrites dans la MPA 2340-1 relative
la Supervision des missions ;
listes de contrle et autres procds permettant de sassurer que les processus
adopts par laudit interne (par exemple dans un manuel daudit et de procdures)
sont suivis ;
informations fournies, en retour, par les clients et les parties prenantes de laudit
interne ;
budgets par projet, systmes de suivi des temps passs, ralisation du plan daudit,
recouvrement des cots ;
analyses dautres indicateurs de performance (par ex. dure des missions et taux de
recommandations acceptes).
JUIN 2004
11
NORMES DE QUALIFICATION
tre ralises par des auditeurs internes certifis CIA, ou par dautres profession-
nels de laudit, intervenant dans dautres dpartements de lorganisation ;
6. Une valuation interne priodique, ralise peu de temps avant une valuation
externe, peut faciliter cette dernire et en rduire le cot. Si lvaluation externe
prend la forme dune auto-valuation suivie dune validation indpendante (nouvelle
MPA 1312-2), lvaluation interne priodique peut tenir lieu dauto-valuation dans
le cadre de ce processus.
7. Il convient de conclure sur la qualit des prestations et prendre toute mesure appro-
prie pour, en tant que de besoin, mettre en uvre les amliorations et assurer la
conformit aux Normes.
JUIN 2004
12
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
MPA 1311-2
Mise en place dindicateurs (valuations quantitatives et qualitatives)
lappui des contrles de la performance de lactivit daudit interne
Introduction
Aux termes de la Norme 1310, laudit interne ncessite ladoption dun processus per-
mettant de surveiller et dvaluer lefficacit globale du programme qualit. Ce processus
doit comporter des valuations tant internes quexternes. La MPA 1311-1 suggre de
sappuyer sur lanalyse dindicateurs de performance, entre autres lments, pour proc-
der ces revues internes.
Outre le respect des Normes, les indicateurs de performance de lactivit daudit peuvent
porter sur les points suivants : niveau de contribution lamlioration des processus de
management des risques, de contrle et de gouvernement dentreprise, ralisation des
objectifs majeurs fixs, apprciation du taux de ralisation du plan daudit, amlioration
de la productivit du personnel, amlioration du rapport cot-efficacit du processus
daudit, augmentation du nombre de plans dactions visant amliorer les processus,
planification et supervision satisfaisantes des missions, capacit rpondre efficacement
aux besoins des parties prenantes, caractre suffisant des revues dassurance qualit,
etc.
SEPTEMBRE 2006
12-1
NORMES DE QUALIFICATION
Le responsable de laudit interne doit sassurer que les indicateurs mis en place sont
appropris compte tenu du volume dactivit, du secteur concern, du pays, des lois et
rglements nationaux et de lenvironnement dans lequel lorganisation opre. Les indica-
teurs de performance doivent tre spcifiques lorganisation et il est dconseill au
responsable de laudit interne de sappuyer sur des indicateurs gnraux qui ne sont pas
significatifs compte tenu de lactivit spcifique du service audit. Le schma A figurant
la fin de la prsente Modalit Pratique dapplication contient des exemples
dindicateurs qui pourraient tre considrs comme importants par les responsables de
laudit interne.
Comme indiqu ci-dessus, le responsable de laudit interne doit identifier les critres de
performance essentiels, tels que la satisfaction des parties prenantes, les processus
daudit, les capacits dinnovation et les comptences de laudit interne.
Le comit daudit, les cadres dirigeants, certains organismes publics externes, les instances
rglementaires et les auditeurs externes peuvent, entre autres, figurer parmi les parties
prenantes. Les processus daudit comprennent notamment lvaluation des risques, la
planification et les mthodologies daudit. Pour les capacits dinnovation et les comp-
tences, on peut retenir, par exemple, lutilisation efficace des technologies, la formation
et la connaissance du secteur.
SEPTEMBRE 2006
12-2
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
Le responsable de laudit interne doit recenser les parties prenantes pertinentes, ainsi
que tous les produits et services importants, ou qui devraient ltre, aux yeux de chaque
partie prenante. Il lui appartient dvaluer leur degr actuel de satisfaction et leurs
priorits, ainsi que les carts dtects. Ces valuations peuvent tre ralises au moyen
dentretiens, de runions et/ou de questionnaires. En cas dcarts, il est conseill au
responsable de laudit interne dlaborer un plan daction appropri.
SEPTEMBRE 2006
12-3
NORMES DE QUALIFICATION
Les points examiner pour recenser les parties prenantes et valuer leur satisfaction sont
notamment les suivants :
tendue de la rglementation pour lorganisation et/ou lactivit audit ;
relations avec les principales parties prenantes internes et externes ;
nature de lorganisation (publique ou prive, par exemple).
Il convient de tenir compte des Normes de fonctionnement de lIIA/IFACI pour dfinir les
critres dvaluation des performances applicables aux processus daudit interne. Les
principales prestations requises par la charte daudit interne doivent galement tre
prises en compte. Des critres spcifiquement adapts aux missions de conseil en
gestion [qui ne suivent pas ncessairement les mmes processus que les missions
daudit] et aux enqutes de fraude, mentionnes dans la charte de laudit interne,
peuvent tre dfinis. Voici des exemples de critres applicables aux processus daudit
interne et des points valuer pour chaque critre :
SEPTEMBRE 2006
12-4
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
a. Formation
Les valuations en place permettent-elles de sassurer que les auditeurs reoivent
une formation suffisante (heures de formation par collaborateur, participation des
formations sur les thmes essentiels, etc.) ?
La satisfaction des auditeurs en matire de formation est-elle value ?
Le nombre de certificats obtenus par lquipe fait-il lobjet dun suivi ?
c. Connaissance du secteur
Des indicateurs sont-ils en place pour sassurer que le personnel possde une
connaissance suffisante du secteur, de lactivit, des oprations et des principales
fonctions (par exemple, valuation de la participation des ateliers dorientation,
des projets daudit dans des domaines cls, des travaux oprationnels) ?
SEPTEMBRE 2006
12-5
NORMES DE QUALIFICATION
Le responsable de laudit interne doit mettre en place un processus dvaluation qui favo-
rise ladhsion aux objectifs assigns au service audit et qui comporte une valuation
approprie de la ralisation de ces objectifs. Un processus permanent efficace comprend
les lments suivants :
des indicateurs de performance conformes aux Normes, aux objectifs stratgiques cls
ainsi quaux lois et rglements en vigueur. Il peut sagir dindicateurs tant qualitatifs
que quantitatifs. Les points valuer doivent consister en des objectifs et/ou des
normes clairs, mesurables, ralisables et ralistes ;
des processus cohrents de collecte, de synthse et danalyse des donnes, permettant
un retour dinformations dans des dlais appropris ;
des processus permettant de sassurer que les indicateurs sont actualiss au fur et
mesure de lvolution des attentes, de la situation, des priorits et des objectifs ;
des rapports sur les rsultats du processus dvaluation lattention des responsables
de dpartement et des principales parties prenantes ;
un rapport annuel, lattention du comit daudit, sur lefficacit de laudit interne.
Stratgie de lorganisation
Exploiter les capacits des systmes cls afin dtablir les principaux rapports financiers
et rapports de gestion et dautomatiser les contrles internes
SEPTEMBRE 2006
12-6
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
Pour des recommandations plus dtailles et des exemples, veuillez consulter la liste ci-
dessous.
MPA 2100-3 : Le rle de laudit interne dans le processus de management des risques
MPA 2140-4 : Le rle de laudit interne en labsence de processus de management des
risques
MPA 1300-1 : Programme dassurance et damlioration qualit
MPA 1310-1 : valuations du programme qualit
MPA 1311-1 : valuations internes
MPA 1312-1 : valuations externes
MPA 1312-2 : valuations externes et auto-valuation avec validation indpendante des
rsultats
MPA 1320-1 : Rapports relatifs au programme qualit
MPA 1330-1 : Audits effectus conformment aux Normes
Autres sources :
SEPTEMBRE 2006
12-7
NORMES DE QUALIFICATION
SEPTEMBRE 2006
12-8
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
1312
valuations Externes
Des valuations externes doivent tre ralises au moins tous les cinq ans par un va-
luateur ou une quipe qualifis et indpendants extrieurs l'organisation. Le respon-
sable de l'audit interne doit s'entretenir avec le Conseil au sujet du besoin ventuel
d'augmenter la frquence de ces valuations externes, ainsi que des qualifications et de
l'indpendance de l'valuateur ou de l'quipe d'valuation externes ; en particulier, tout
conflit d'intrt potentiel doit tre examin. Ces discussions doivent aussi porter sur
l'adquation de l'exprience de l'valuateur ou de l'quipe d'valuation la taille, la
complexit et au secteur d'activit de l'organisation.
MPA 1312-1
valuations externes
MPA 1312-2
valuations externes et auto-valuation avec validation indpendante des rsultats
Cette MPA a t labore par lIFACI qui a mis en place une dmarche spcifique et plus
adapte, en lieu et place de lvaluation externe : la certification des directions daudit
interne. Elle se substitue aux PA 1312-1 et 1312-2
Nature de cette Modalit Pratique dApplication
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes
lorsquils souhaitent faire certifier leur service daudit interne afin de rpondre aux
exigences de la norme 1312. La prsente MPA na pas pour but de procder un
expos exhaustif de tous les points examiner dans le cadre dune certification. Elle
a seulement pour objet de formuler une srie de recommandations.
SEPTEMBRE 2006
13
NORMES DE QUALIFICATION
Mais tant donn que nous n'avons aucune certitude que les revues telles
quexposes par la MPA 1312-1 seront ralises par les organismes ayant les com-
ptences adquates ; que par ailleurs, en raison des lectures diffrentes que lon peut
faire des normes professionnelles, ces valuations risquent dtre htrognes et donc
difficilement comparables ; quenfin, mme effectues par des organismes comp-
tents, elles risquent de n'tre reconnues que par un cercle troit dinitis, l'IFACI a
considr qu'il tait ncessaire de proposer une autre offre et surtout daller plus loin
que ces simples valuations externes.
Quelles sont les raisons qui doivent amener les services daudit interne se faire certifier ?
Pour apporter sa pleine contribution la cration de valeur ajoute, laudit interne doit
constamment communiquer sur les services quil propose, sur ses critres et exigences
propres de qualit et sengager se conformer des rfrentiels reconnus au plan interna-
tional. Pour y parvenir, il est indispensable que le service daudit interne se dote de
procdures et de mthodes de travail permettant le respect de ces rfrentiels, quil
value rgulirement la conformit de ses activits et services aux exigences de
qualit fixs et la satisfaction de ses clients, et enfin, quil mette en uvre un plan
damlioration de la qualit. Tout ceci trouve son aboutissement dans une large
communication de ce que fait laudit interne et des engagements quil a pris, ce qui
permet de renforcer le positionnement du service au sein de lorganisation, de dynamiser
lquipe daudit interne et de promouvoir le rle et lapport de laudit interne auprs de ses
clients et parties prenantes.
2. Loffre de certification : Le certificat que propose lIFACI a pour objet de donner une
assurance sur la qualit des prestations et le respect des normes de laudit interne ou
de la norme ISO 9001. Ce certificat, dlivr par lorganisme de rfrence quest
lIFACI, sera de ce fait crdible, ce qui permettra aux directions daudit interne de
sen prvaloir auprs de leur direction gnrale, de leur comit daudit, de leurs
parties prenantes mais galement des pouvoirs publics. Ce certificat vient complter
le dispositif dj existant, savoir les Normes, le Code de Dontologie et le CIA
(Certified Internal Auditor) et consacrer encore davantage le professionnalisme de
laudit interne.
JUIN 2004
14
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
La certification combine.
LIFACI propose dabord et avant tout la premire certification qui sappuie sur un
rfrentiel exigeant et pragmatique fond sur les Normes Professionnelles de
lAudit Interne de lIIA/IFACI, Normes reconnues au niveau international. Ce rf-
rentiel a t prpar par une quipe de professionnels de laudit interne, dment
valid par un comit de validation, compos de reprsentants des directions
daudit interne, dutilisateurs et dexperts en audit interne.
3. Les rfrentiels et leur plan de contrle associ
Le Rfrentiel Professionnel de lAudit Interne et son plan de contrle : ce rfrentiel
est structur selon les rgles de prsentation des rfrentiels qualit avec des
exigences de prestations, de moyens, de pilotage et de contrle. Il sappuie sur les nor-
mes professionnelles de laudit interne, ce qui lui confre sa lgitimit et intgre les
remarques formules par le comit de validation, ce qui en fait un rfrentiel la fois
exigeant et pragmatique. Le comit de validation est compos de 15 personnes
rparties entre 3 collges : les responsables de services daudit interne, les utilisa-
teurs de laudit interne, les experts. Le rfrentiel saccompagne dun plan de
contrle qui explicite les caractristiques certifier en termes de points de contrle
et de preuves possibles. Il assure une homognit des travaux des auditeurs et des
conclusions du comit de certification.
La norme ISO 9001 et son plan de contrle : cest un rfrentiel gnrique qui peut
sappliquer tous les services dune entreprise et donc notamment un
service daudit interne. Il fournit les exigences relatives au systme de management
de la qualit que le service doit mettre en place en vue de la certification. Le plan
de contrle associ dcoule directement de la norme ISO 9001. En raison du carac-
tre gnrique de cette norme, un guide dapplication un service daudit interne
a t labor. Il sert de document de travail aux auditeurs certificateurs.
4. Lorganisation mise en place
Elle a dbut avec la cration de la SARL IFACI Certification. IFACI Certification doit
elle-mme rpondre des exigences de qualit, ce qui a amen la rdaction dun
manuel qualit, de rgles de certification et de procdures de travail. Le rfrentiel
professionnel de laudit interne et son plan de contrle associ ont t labors par
lquipe projet et soumis au comit de validation, voqu prcdemment. Deux des
points cls de cette dmarche sont limpartialit et dindpendance de la certifica-
tion. Pour les assurer, un comit de certification a t cr. Il se compose de repr-
sentants des services daudit interne, des utilisateurs de laudit interne et
dexperts. Son rle majeur est dassurer limpartialit de toute dcision de certification,
les rsultats de chaque audit tant examins et valids par deux membres du comit
de certification, donc deux personnes nayant pas particip laudit lui-mme. Enfin,
IFACI Certification a constitu un rseau dauditeurs, professionnels de laudit interne
et/ou de la qualit, forms au rfrentiel et au processus de certification.
JUIN 2004
15
NORMES DE QUALIFICATION
Toute cette organisation rpond aux exigences strictes des Normes europennes
45011 (qui dfinit les exigences relatives aux organismes procdant aux certifications
de produits ou services) et 45012 (qui spcifie les exigences relatives aux organismes
certifiant selon les normes ISO).
6. Indpendance Les auditeurs dIFACI Certification ainsi que les membres du Comit
de Certification signent une clause de confidentialit et de renoncement lactivit
de conseil affrente lobjet de la certification. De plus, le fait que chaque dossier
de certification soit revu et valid par deux membres de ce mme Comit qui nont
pas particip la mission donnent une assurance supplmentaire quant
limpartialit de la dcision prise.
JUIN 2004
16
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
7. Le processus de certification
Le schma ci-aprs en reprend les principales tapes :
IFACI CERTIFICATION
examine sa recevabilit
Le Comit de Certification
valide les conclusions de l'audit
et propose la dlivrance du certificat
JUIN 2004
17
NORMES DE QUALIFICATION
teurs certificateurs signent, cet gard, une clause de renoncement toute presta-
tion de conseil pour le service concern, pour les deux annes qui suivent
lintervention). Ceci permet de prserver lobjectivit d'IFACI Certification.
JUIN 2004
18
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
1320
MPA 1320-1
Rapports relatifs au programme qualit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils communiquent les rsultats du programme qualit. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments.
1. Au terme dune valuation externe, un rapport doit tre prpar dans lequel
lvaluateur exprime son opinion sur le respect des Normes par le service de laudit
interne. Le rapport doit aussi traiter du respect de la Charte daudit et des autres nor-
mes applicables, et inclure toutes recommandations appropries. Le rapport doit tre
adress la personne ou lorgane qui a demand lexamen. Le responsable de
l'audit interne doit prparer un plan dactions crit pour rpondre aux commentaires
importants et aux recommandations contenus dans le rapport. Il appartient galement
au responsable de l'audit interne dassurer un suivi appropri de la mise en place des
actions correctrices.
JUIN 2004
19
NORMES DE QUALIFICATION
1330
Utilisation de la mention
Conduit conformment aux Normes
Les auditeurs internes sont encourags indiquer dans leurs rapports
que leurs activits sont conduites conformment aux Normes pour la pratique
professionnelle de l'audit interne . Toutefois, ils ne peuvent utiliser cette mention
que si les valuations du programme d'amlioration qualit dmontrent
que l'audit interne fonctionne conformment aux Normes.
MPA 1330-2
Audits effectus conformment aux Normes
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes avant
toute utilisation de lexpression effectus conformment aux Normes Internationales
pour la Pratique Professionnelle de lAudit Interne . La prsente MPA na pas pour
but de procder un expos exhaustif. Elle a seulement pour objet de complter les
Normes.
2. La certification recommande et dlivre par lIFACI (cf MPA 1312-3) sappuie sur le
Rfrentiel Professionnel de lAudit Interne qui trouve sa lgitimit dans les Normes
JUIN 2004
20
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
4. Avant toute utilisation des formules ci-dessus par laudit interne, tout cas de non-
conformit mis en vidence par une valuation interne de la qualit, et de nature
altrer la capacit de ce service sacquitter de ses responsabilits, doit tre
rsolu de faon adquate. Il en est de mme pour la certification qui ne peut tre
dlivre que si le service daudit interne apporte la preuve de la mise en uvre
dactions correctives dans les trois mois qui suivent la fin de la mission de certi-
fication. Les cas de non-respect des Normes qui ont une incidence sur le champ
dintervention ou le fonctionnement de laudit interne doivent tre communiqus
la direction gnrale et au Conseil.
JUIN 2004
21
MPA SRIE 2000
Gestion de laudit interne
2000 GESTION DE LAUDIT INTERNE
MPA 2000-1
Gestion de lAudit Interne
Cette nouvelle formulation qui laisse entendre que le Conseil peut approuver
seul les objectifs gnraux et les responsabilits de laudit Interne, na pas notre
adhsion. Nous proposons lancienne formulation qui tait rdige ainsi : Le
responsable de laudit interne a le devoir de grer laudit interne de faon appro-
prie, afin que le travail daudit rponde aux objectifs gnraux et de responsa-
bilits dcrits dans la Charte, approuvs par la direction gnrale et accepts
par le Conseil . Cette formulation correspond mieux globalement la culture
de nos organisations.
JUIN 2004 3
NORMES DE FONCTIONNEMENT
JUIN 2004
4
SRIE 2000 - GESTION DE LAUDIT INTERNE
2010
Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les risques
afin de dfinir les priorits cohrentes avec les objectifs de lorganisation.
MPA 2010-1
Planification
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils tablissent la planification. La prsente MPA na pas pour but de procder un
expos exhaustif des points examiner. Elle a seulement pour objet de recommander
la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. La planification de laudit interne doit tre cohrente avec la charte daudit et les buts
de lorganisation.
1) dobjectifs ;
2) dun programme de missions ;
3) de prvisions deffectifs et de budgets financiers ;
4) de rapports dactivit.
2. Les objectifs de laudit interne doivent pouvoir tre atteints dans le cadre des plans
oprationnels et des budgets fixs et, dans la mesure du possible, doivent tre mesu-
rables.
Ils doivent tre complts par des critres de mesure et un calendrier de ralisation.
Les objectifs et les critres de mesure de lefficacit de laudit interne sont vo-
qus dans cette MPA traitant du processus de planification. En effet, ds la pla-
nification se profile lobligation de rsultats pour laudit interne, avec la fixa-
tion dobjectifs mesurables et ralisables ( doivent pouvoir tre atteints ) et la
mesure effective de ces objectifs in fine. Les objectifs mesurables sentendent
dsormais en terme damlioration de la matrise des risques.
OCTOBRE 2002
5
NORMES DE FONCTIONNEMENT
4. Les points prendre en considration pour ltablissement des ordres de priorit sont :
a) la date et les rsultats de la prcdente mission ;
b) une valuation jour des risques et de lefficacit des dispositifs de management
des risques et de contrle ;
c) les demandes manant de la direction gnrale, du comit d'audit et dautres organes
de direction ;
d) les problmatiques actuelles relatives au gouvernement dentreprise ;
e) les changements importants survenus dans lactivit, les tches oprationnelles,
les programmes, les systmes et les contrles ;
f) les opportunits de raliser des bnfices dexploitation ;
g) les modifications intervenues dans lquipe daudit interne et ses aptitudes. Le
planning des travaux doit tre suffisamment flexible pour faire face des demandes
de missions non prvues.
OCTOBRE 2002
6
SRIE 2000 - GESTION DE LAUDIT INTERNE
MPA 2010-2
La prise en compte des risques pour llaboration du plan daudit
Pour mener bien cette mission, il est important que laudit interne ait une
bonne comprhension du processus de management des risques. Pour cela, il doit
bien apprhender les rles respectifs de laudit interne, des risk managers, du
comit daudit et du comit des risques sils existent. Sil apparat que ceux-ci
sont insuffisamment prcis ou non coordonns, laudit interne doit en informer
la direction gnrale et lui faire part de ses recommandations en vue damliorer
la gestion des risques de lorganisation. Nous renvoyons aux MPA 2100-3 et
2100-4 qui traitent prcisment du rle de lauditeur interne dans le processus de
management de risque et en labsence dun tel processus.
JUIN 2004
7
NORMES DE FONCTIONNEMENT
6. Les notes et les rapports adresss au management doivent comporter des conclusions
sur le management des risques et des recommandations visant rduire les risques.
Pour permettre au management de bien apprhender le degr de risque, il est essen-
tiel que les rapports daudit mentionnent limportance critique de lexposition aux
risques et son incidence sur la ralisation des objectifs.
JUIN 2004
8
SRIE 2000 - GESTION DE LAUDIT INTERNE
2020
Communication et approbation
Le responsable de l'audit interne doit communiquer la direction gnrale
et au Conseil son programme et ses besoins, pour examen et approbation,
ainsi que tout changement important susceptible dintervenir en cours dexercice.
Le responsable de l'audit interne doit galement signaler l'impact
de toute limitation de ses ressources.
MPA 2020-1
Communication et approbation
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils communiquent et recherchent lapprobation du programme et des besoins de
laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif
des points examiner. Elle a seulement pour objet de recommander la prise en compte
dun ensemble dlments.
OCTOBRE 2002
9
NORMES DE FONCTIONNEMENT
2030
MPA 2030-1
Gestion des Ressources
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils valuent les ressources de laudit interne. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
JUIN 2004
10
SRIE 2000 - GESTION DE LAUDIT INTERNE
MPA 2030-3
Les exigences franaises en matire dindpendance des commissaires aux comptes
La LSF (Loi de Scurit Financire vote le 1er aot 2003) instaure de nouvelles
exigences en matire dindpendance des auditeurs externes. Cette Loi sapplique
toutes les socits anonymes quil sagisse de socits cotes ou non cotes. La LSF
ne sapplique pas, par contre, aux socits par actions simplifies (SAS).
Selon larticle 100 de la LSF (art. L. 821-1 du Code de Commerce), il est institu
JUIN 2004
11
NORMES DE FONCTIONNEMENT
auprs du Garde des Sceaux un Haut Conseil du Commissariat aux Comptes (H3C)
ayant pour missions :
dassurer la surveillance de la profession avec le concours de la Compagnie
Nationale des Commissaires aux Comptes (CNCC) ;
de veiller au respect de la dontologie et de lindpendance des commissaires aux
comptes.
JUIN 2004
12
SRIE 2000 - GESTION DE LAUDIT INTERNE
avec toute activit ou tout acte de nature porter atteinte son indpendance ;
avec tout emploi salari ; toutefois, un commissaire aux comptes peut dispenser un
enseignement se rattachant lexercice de sa profession ou occuper un emploi
rmunr chez un commissaire aux comptes ou chez un expert-comptable ;
avec toute activit commerciale, quelle soit exerce directement ou par personne
interpose .
Art. L 822-11. II. Il est interdit au commissaire aux comptes de fournir la per-
sonne qui la charg de certifier ses comptes, ou aux personnes qui la contrlent ou
qui sont contrles par celle-ci au sens des I et II de larticle L. 223-3, tout conseil
ou toute autre prestation de services nentrant pas dans les diligences directement
lies la mission de commissaire aux comptes, telles quelles sont dfinies par les
normes dexercice professionnel (). Le Code de Dontologie des commissaires aux
comptes prcise que nentrent pas notamment dans la mission du commissaire aux
comptes, ds lors quils sont sans lien avec la vrification des comptes :
les conseils dans des domaines tels que le marketing, la communication ou linfor-
mation,
les conseils lis lactivit de production de la socit (exemple : mise au point de
logiciels),
le conseil en organisation,
le conseil en gestion,
le conseil juridique et fiscal.
JUIN 2004
13
NORMES DE FONCTIONNEMENT
Larticle 105 de la LSF qui vient modifier lart. L. 225-228 du Code de Commerce
stipule que Les commissaires aux comptes sont proposs la dsignation de
l'assemble gnrale par un projet de rsolution manant du conseil d'administration
ou du conseil de surveillance ou, dans les conditions dfinies par la section 3 du
prsent chapitre, des actionnaires. Lorsque la socit fait appel public l'pargne, le
conseil d'administration choisit, sans que prennent part au vote le directeur gnral
et le directeur gnral dlgu, s'ils sont administrateurs, les commissaires aux
comptes qu'il envisage de proposer .
Larticle 113 de la LSF qui modifie lart. L. 621-22 du Code montaire et financier :
I. L'Autorit des Marchs Financiers est informe des propositions de nomination
ou de renouvellement des commissaires aux comptes de personnes faisant appel
public l'pargne et peut faire toute observation qu'elle juge ncessaire sur ces pro-
positions. Ces observations sont portes la connaissance de l'assemble gnrale ou
de l'organe charg de la dsignation ainsi que du professionnel intress.
II. Elle peut demander aux commissaires aux comptes de personnes faisant appel
public l'pargne tous renseignements sur les personnes qu'ils contrlent.
JUIN 2004
14
SRIE 2000 - GESTION DE LAUDIT INTERNE
2040
Rgles et procdures
Le responsable de l'audit interne doit tablir des rgles et procdures
fournissant un cadre lactivit.
MPA 2040-1
Rgles et Procdures
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils tablissent des rgles et des procdures. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
La forme et le contenu des rgles et procdures crites doivent tre adapts la taille et
la structure de laudit interne, ainsi qu la complexit de son travail. Des manuels
administratifs et techniques ne doivent pas ncessairement tre tablis pour toutes les
entits daudit interne. Un petit service daudit interne peut tre dirig dune manire
informelle. Son personnel peut tre dirig et contrl au jour le jour par une supervision
troite et des notes de service. Par contre, dans un service daudit interne important, il
est essentiel de disposer de rgles et procdures formalises et compltes pour guider les
auditeurs vers un respect systmatique des normes de fonctionnement de laudit interne.
OCTOBRE 2002
15
NORMES DE FONCTIONNEMENT
2050
Coordination
Le responsable de l'audit interne doit partager les informations et coordonner
les activits avec les autres prestataires internes et externes de services
dassurance et de conseil, de manire assurer une couverture adquate
des travaux et viter dans toute la mesure du possible les double emplois.
MPA 2050-1
Coordination
JUIN 2004
16
SRIE 2000 - GESTION DE LAUDIT INTERNE
1. Les travaux daudit interne et daudit externe doivent tre coordonns afin que toutes
les activits ou fonctions soient audites sans redondance ou double emploi. Le
champ dintervention de laudit interne implique une approche systmatique et
mthodique pour valuer et amliorer lefficacit des processus de management des
risques, de contrle et de gouvernement dentreprise. Le champ dintervention de
laudit interne est prsent dans la Norme 2100. Paralllement, lexamen ordinaire
de lauditeur externe consiste obtenir suffisamment dinformations probantes pour
donner une opinion sur la rgularit et la sincrit globales des tats financiers.
Ltendue du travail des commissaires aux comptes est dtermine par leurs normes
professionnelles, et ceux-ci sont responsables pour juger de la suffisance des proc-
dures appliques et des preuves obtenues aux fins dexprimer leur propre opinion sur
les tats financiers.
En France, le comit daudit peut assumer plus prcisment ce rle puisque, selon
le Rapport Bouton paru en septembre 2002 Pour un meilleur gouvernement des
entreprises cotes (rapport du groupe de travail prsid par Daniel Bouton,
constitu la demande de lAFEP et du MEDEF en vue dexaminer plusieurs
questions relatives au gouvernement dentreprise et la qualit de linformation
et de la communication financire), le comit des comptes (/daudit) devrait
entendre rgulirement le commissaire aux comptes mais galement le respon-
sable de laudit interne dont il sinforme rgulirement du programme de travail.
JUIN 2004
17
NORMES DE FONCTIONNEMENT
3. En coordonnant le travail des auditeurs internes avec celui des auditeurs externes, le
responsable de l'audit interne doit veiller ce quil ny ait pas duplication du travail
des auditeurs externes par le travail fourni par les auditeurs internes au regard de la
norme 2100. Dans la mesure permise par les obligations professionnelles et organi-
sationnelles en matire de certification des comptes, les auditeurs internes doivent
mener les missions de faon favoriser au maximum la coordination et lefficacit du
travail daudit.
Il est donc souhaitable que le responsable de laudit interne assiste aux runions
darbitrage du planning des commissaires aux comptes et aux runions de resti-
tution des rsultats.
4. Le responsable de l'audit interne peut accepter deffectuer des travaux pour les audi-
teurs externes lors de la certification annuelle des comptes. Les travaux effectus par
les auditeurs internes pour aider les auditeurs externes sacquitter de leur respon-
sabilit sont soumis toutes les dispositions des Normes pour la Pratique
Professionnelle de laudit interne .
5. Le responsable de l'audit interne doit rgulirement valuer la coordination entre les
auditeurs internes et externes. Ces valuations peuvent aussi inclure des apprcia-
tions sur lefficacit et lefficience des fonctions daudit interne et externe et sur leur
cot global.
6. En exerant son rle de surveillance, le Conseil peut demander au responsable de
l'audit interne dvaluer la performance des auditeurs externes. En rgle gnrale, ce
type dvaluation sinscrit dans le cadre de la coordination des travaux daudit interne
et daudit externe, qui incombe au responsable de l'audit interne, et ne doit tre tendu
dautres domaines qu la demande expresse de la direction gnrale ou du Conseil.
Lvaluation des performances des auditeurs externes doit tre suffisamment taye
pour justifier les conclusions formules. Lorsquelle a trait la coordination des tra-
vaux daudit interne et daudit externe, cette valuation doit reposer sur les critres
dcrits par la prsente MPA.
7. Lorsquelle va au-del de la simple coordination avec les auditeurs internes, lvalua-
tion des performances des auditeurs externes peut couvrir notamment les points sui-
vants :
connaissance et exprience professionnelles ;
connaissance du secteur dactivit de lorganisation ;
JUIN 2004
18
SRIE 2000 - GESTION DE LAUDIT INTERNE
indpendance ;
expertises directement lies la mission ;
anticipation des besoins de lorganisation et ractivit ;
relative stabilit des principaux collaborateurs ;
qualit des relations de travail ;
respect des engagements contractuels ;
valeur ajoute des services rendus lorganisation.
9. Les auditeurs externes sont parfois tenus, en vertu de leurs normes professionnelles,
de sassurer que certaines informations sont communiques au Conseil. Le respon-
sable de l'audit interne doit consulter les auditeurs externes et prendre connaissance
de leurs observations, qui peuvent porter sur les points suivants :
facteurs susceptibles dinfluer sur lindpendance des auditeurs externes ;
faiblesses de contrle interne significatives ;
erreurs et irrgularits ;
actes illgaux ;
avis du management et estimations comptables ;
ajustements daudit significatifs ;
dsaccords avec le management ;
difficults rencontres lors de laudit.
Cependant, en France, les commissaires aux comptes sont soumis au secret pro-
fessionnel en vertu :
de larticle 104 de la LSF qui institue un nouvel article du Code de Commerce
(Art. L. 822-15) : () les commissaires aux comptes, ainsi que leurs colla-
borateurs et experts, sont astreints au secret professionnel pour les faits, actes
et renseignements dont ils ont pu avoir connaissance raison de leurs
fonctions ,
des normes professionnelles mises par la Compagnie Nationale des Commis-
saires aux Comptes (CNCC).
JUIN 2004
19
NORMES DE FONCTIONNEMENT
10. La coordination des travaux daudit implique des rencontres priodiques pour discuter
des sujets dintrt mutuel ;
Couvertures des zones daudit. Les plans daudit des auditeurs internes et externes
doivent tre changs afin de sassurer que la couverture des zones daudit est coor-
donne et que la duplication des travaux est minimise.
Un nombre suffisant de rencontres doit tre prvu pendant les missions daudit. Ceci
permet dassurer la coordination du travail et en particulier de dcider, compte tenu des
observations et recommandations de chacun, de modifier le programme dintervention.
Selon la Norme 2-502 de la CNCC :
Le commissaire aux comptes acquiert une connaissance suffisante des acti-
vits de laudit interne dans le cadre de la planification de ses travaux et de
la dfinition dune approche daudit efficace .
La coordination avec laudit interne est plus efficace lorsque des runions
ont lieu des intervalles rguliers.
Accs rciproque aux programmes et aux dossiers de travail. Il peut tre important
pour lauditeur interne davoir accs aux programmes et dossiers de travail des
auditeurs externes afin quil puisse sappuyer sur le travail de ces derniers, dans
lexercice de sa propre mission. Il est de la responsabilit de lauditeur interne de
respecter le caractre confidentiel des informations auxquelles il accde. De mme,
laccs aux programmes et dossiers de travail de lauditeur interne doit tre donn
aux auditeurs externes afin que ceux-ci puissent sappuyer, dans lexercice de leurs
fonctions, sur le travail des auditeurs internes.
Le secret professionnel auquel sont astreints les commissaires aux comptes,
voqu supra, et la confidentialit de certaines informations auxquelles ont
accs les auditeurs internes et quil nest pas souhaitable de communiquer aux
commissaires aux comptes constituent des limites cet accs rciproque.
JUIN 2004
20
SRIE 2000 - GESTION DE LAUDIT INTERNE
Il est important pour les auditeurs internes davoir accs aux courriers adresss par
les auditeurs externes au management. Les points abords dans ces courriers aident
les auditeurs internes planifier les domaines auditer en priorit, dans le cadre de
la planification venir. Une fois la lettre de recommandation tudie par le manage-
ment et le Conseil et aprs la dcision par ceux-ci dengager des mesures correctives,
le responsable de l'audit interne doit sassurer que toute mesure approprie a t
prise et que tout suivi a t effectu.
Ensuite, le responsable de l'audit interne doit sassurer que les techniques, les mthodes
et la terminologie employes par les auditeurs externes sont suffisamment bien
comprises par les auditeurs internes afin de pouvoir :
(1) coordonner le travail des auditeurs internes et externes,
(2) valuer le travail des auditeurs externes pour sy appuyer,
(3) sassurer que les auditeurs internes qui travailleront avec les auditeurs externes
peuvent communiquer efficacement avec eux.
JUIN 2004
21
NORMES DE FONCTIONNEMENT
Les autorits de tutelle doivent encourager les contacts entre les auditeurs
internes et externes de faon rendre leur collaboration aussi relle et efficace
que possible.
64. Les auditeurs externes ont une influence notable sur la qualit des contrles
internes, en raison de leurs activits d'audit et notamment, de leurs entre-
tiens avec la direction gnrale et le Conseil d'Administration ou le Comit
d'Audit, sil existe, ainsi que par leurs recommandations pour l'amliora-
tion du contrle interne.
65. Il est en gnral admis que l'audit interne est utile pour dterminer la nature,
le calendrier et l'tendue des procdures d'audit externe. Cependant, laudi-
teur externe (le Commissaire aux comptes en France) est seul responsable de
son opinion sur les tats financiers. Lauditeur externe doit tre avis des
travaux daudit interne, avoir accs aux rapports pertinents et tre tenu
inform de tout problme significatif qui a retenu l'attention de l'auditeur
interne et qui pourrait avoir une incidence sur son travail. De mme, laudi-
teur externe doit informer l'auditeur interne de tout problme important qui
pourrait le concerner.
66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs
internes ne fait pas double emploi avec celui des auditeurs externes. La coor-
dination entre les services d'audit ncessite des rencontres priodiques pour
s'entretenir de questions d'intrt commun, procder l'change des
rapports d'audit et des notes de la direction et convenir de techniques,
mthodes et terminologies communes.
Coopration entre les autorits de tutelle, les auditeurs externes et les auditeurs
internes.
Principe n 18
La coopration entre autorit de tutelle, auditeur externe et auditeur interne a
pour objectif de rendre les travaux de toutes les parties concernes plus ration-
nels et efficaces afin d'optimiser le contrle. La coopration peut se matrialiser
par des runions priodiques.
76. L'objectif de la coopration est de rendre la contribution de tous les interve-
nants concerns plus efficiente et efficace afin d'optimiser le contrle de
l'autorit de tutelle, mme si chaque intervenant assume en priorit ses pro-
pres responsabilits.
77. Dans certains pays, cette coopration se matrialise par des rencontres
priodiques. Il se peut que l'autorit de tutelle juge la prsence de la
Direction Gnrale opportune lors de ces rencontres. Au cours de ces runions,
chacun apporte des informations sur des domaines d'intrt commun et une
attention particulire est porte aux domaines qui seront contrls et sur le
calendrier de travail. Les trois parties en prsence voquent aussi la mise en
uvre par l'organisation des recommandations des auditeurs internes et
externes.
JUIN 2004
22
SRIE 2000 - GESTION DE LAUDIT INTERNE
MPA 2050-2
Acquisition de services daudit externe
MPA 2050-3
Acquisition de services proposs par les cabinets daudit externe
Cette MPA a t crite par lIFACI. Elle correspond au contexte franais et est le pendant de
la Practice Advisory 2050-2, labore par lIIA et plus particulirement applicable aux tats-
Unis. La MPA 2050-3 en reprend toutefois les orientations qui sont valables galement en
France.
Il est conseill aux responsables de laudit interne de tenir compte des suggestions
suivantes en cas dacquisition de services des cabinets daudit externe (ces
services concernent la fois les missions de certification des comptes missions
lgales que les missions de type contractuel. Lorsque les indications infra ne
sappliquent quaux missions de certification de comptes par les commissaires aux
comptes, il lest clairement prcis. La prsente recommandation na pas pour but de
procder un expos exhaustif des points examiner dans les divers cas susceptibles
de se prsenter. Elle rappelle un certain nombre de repres lgislatifs ou non quil
convient de suivre, notamment en matire de slection des commissaires aux
comptes et lorsque lorganisation fait appel des cabinets daudit externe pour rali-
ser dautres travaux que ceux lis la mission lgale de certification des comptes.
JUIN 2004
23
NORMES DE FONCTIONNEMENT
JUIN 2004
24
SRIE 2000 - GESTION DE LAUDIT INTERNE
JUIN 2004
25
NORMES DE FONCTIONNEMENT
Font galement partie de la mission du commissaire aux comptes, car ils contri-
buent la rendre plus efficace, les conseils, avis et recommandations portant sur
llaboration des :
manuels des principes et mthodes comptables,
systmes et organisation comptables,
procdures et, de manire gnrale, toutes mesures tendant amliorer le
contrle interne.
Le commissaire aux comptes peut dans ce cadre, si on le lui demande, prciser
les rformes souhaitables ou donner son avis sur celles suggres par les conseils
de la socit ; mais il excderait sa mission sil procdait lui-mme la mise en
place des rformes ou en assumait la direction effective et par consquent la
responsabilit.
Par contre, nentrent pas notamment dans la mission du commissaire aux comptes,
ds lors quils sont sans lien avec la vrification des comptes :
les conseils dans des domaines tels que le marketing, la communication ou
linformation,
les conseils lis lactivit de production de la socit (exemple : mise au
point de logiciels),
le conseil en organisation,
le conseil en gestion,
le conseil juridique et fiscal.
Pour le rapport Bouton, et en ce qui concerne les socits cotes, la mission de
contrle lgal devrait tre exclusive de toute autre. Le cabinet slectionn
devrait renoncer pour lui-mme et le rseau auquel il appartient toute activit
de conseil (juridique, fiscal, informatique,) ralise directement ou indirecte-
ment au profit de la socit qui la choisi ou de son groupe.
Toutefois, aprs approbation du Comit des comptes, des travaux accessoires ou
directement complmentaires au contrle des comptes pourraient tre raliss,
tels que des audits dacquisition, mais lexclusion des travaux dvaluation.
Le Rapport Bouton donne des indications supplmentaires en nonant que :
- La dure du mandat, fixe 6 ans, et son caractre renouvelable, sont aussi
une garantie de lindpendance. Mais la rotation des signataires des comptes au
nom des cabinets dans les grands rseaux, comme le dcalage dans le temps de
lchance des mandats des commissaires aux comptes sont particulirement
souhaitables.
Cette exigence de mobilit est consacre par larticle 104 LSF qui vient compl-
ter le code de commerce dun article 822-14 : Il est interdit au commissaire aux
comptes, personne physique, ainsi qu'au membre signataire d'une socit de
commissaires aux comptes, de certifier durant plus de six exercices conscutifs
les comptes des personnes morales faisant appel public l'pargne . noter que
ces dispositions ne sont applicables que trois ans aprs la promulgation de la
LSF. Elles ne remettent pas en cause les mandats des commissaires aux
comptes qui seront alors en cours dans la limite de six ans compter de la pro-
mulgation de cette loi.
JUIN 2004
26
SRIE 2000 - GESTION DE LAUDIT INTERNE
7. Il peut savrer ncessaire de procder aux consultations en deux tapes, afin de faci-
liter le processus de slection et de ramener le nombre de prestataires potentiels un
nombre raisonnable de candidats. Les consultations initiales auront pour principal
objectif de recueillir des informations appropries sur les qualifications et lexp-
rience des candidats potentiels et dautres informations caractre gnral. Il
convient notamment dobtenir des informations sur lhistorique et la taille du cabinet,
ses ressources disponibles, sa culture dentreprise et son approche daudit, ses
comptences particulires, le bureau qui sera charg de la mission, lexprience
acquise dans le secteur concern, ainsi quune prsentation des principaux interve-
nants.
8. lissue du processus de slection initial, les candidats retenus pour la phase sui-
vante recevront une deuxime demande dinformations plus dtaille concernant les
services requis. Il convient dtablir une demande de services dtaille dcrivant une
une les prestations attendues et les dates cls, et dexiger des candidats quils four-
nissent des informations prcises, notamment en matire dhonoraires. Un calendrier
peut tre tabli pour la suite du processus, afin de prciser les dates de transmission
des informations supplmentaires demandes, les dates des runions au cours des-
quelles les candidats prsenteront leur offre au comit de slection et la date de la
slection dfinitive. La demande dtaille devra dissocier chacune des prestations
demandes et indiquer si les services peuvent tre attribus globalement ou tre
scinds entre plusieurs candidats.
JUIN 2004
27
NORMES DE FONCTIONNEMENT
10. Il appartient aux auditeurs internes de dterminer les modalits de suivi des presta-
tions des commissaires aux comptes et des autres auditeurs externes. Il convient de
sassurer priodiquement du respect des contrats de services et des autres accords
conclus. Laudit interne peut participer au contrle de lindpendance des commis-
saires aux comptes. Ses rsultats doivent tre communiqus au comit daudit.
JUIN 2004
28
SRIE 2000 - GESTION DE LAUDIT INTERNE
2060
2060
MPA 2060-1
Rapports au Conseil et la direction gnrale
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils rapportent au Conseil et la direction gnrale. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner. Elle a seulement pour
objet de recommander la prise en compte dun ensemble dlments.
OCTOBRE 2002
29
NORMES DE FONCTIONNEMENT
3. Cest au management quil revient de dcider des mesures prendre face aux cons-
tats importants signals et aux recommandations. La direction gnrale peut dcider
de prendre le risque de ne pas mettre en uvre les actions correctrices en raison de
leurs cots ou dautres considrations. Le Conseil doit tre inform des dispositions
prises par la direction gnrale concernant ces constats daudit et les recommanda-
tions.
4. Le responsable de l'audit interne doit juger sil convient dinformer le Conseil des
constats daudit significatifs et des recommandations qui lui ont dj t signals et
pour lesquels la direction gnrale et le Conseil ont dcid de ne pas prendre les
mesures correctrices proposes et, en consquence, de courir les risques en rsultant.
Cette communication peut tre juge particulirement ncessaire lorsque des chan-
gements ont eu lieu dans lorganisation, au sein du Conseil ou de la direction gn-
rale.
A ce titre, laudit interne doit avoir les moyens de se tourner vers un organe ind-
pendant : Conseil et /ou comit daudit, sil estime que la direction gnrale ne
prend pas les mesures adquates. Nous renvoyons la MPA 2600-1 qui traite de
ce point particulier.
5. En plus des sujets courants ci-dessus, les rapports daudit doivent aussi comparer :
a) les ralisations avec les objectifs et les programmes de travail de laudit interne ;
Ils doivent expliquer les raisons des carts importants et indiquer toutes les mesures
prises ou prendre.
MPA 2060-2 :
Relations avec le comit daudit
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en ce
qui concerne les relations entre laudit interne et le comit daudit du Conseil (ou de
tout autre organe dlibrant). La prsente MPA na pas pour but de procder un expos
exhaustif de tous les points examiner. Elle a seulement pour objet de rsumer les prin-
cipales informations concernant des relations appropries entre le comit daudit et
laudit interne.
JUIN 2004
30
SRIE 2000 - GESTION DE LAUDIT INTERNE
1. Lexpression comit daudit est utilise dans le prsent document pour dsigner
lorgane charg de superviser les fonctions daudit et de contrle de lorganisation.
Bien que ces fonctions soient souvent dlgues au comit daudit manant du
Conseil, les informations contenues dans la prsente Modalit Pratique dApplication
sappliquent galement aux autres organes de contrle investis de responsabilits et
de pouvoirs quivalents.
2. LIIA estime que les comits daudit et les auditeurs internes ont des objectifs
communs. Des relations de travail troites avec le comit daudit sont indispensables
pour que chacun puisse exercer ses responsabilits vis--vis de la direction gnrale,
du Conseil, des actionnaires et des autres tiers. La prsente Modalit Pratique
dApplication contient un rsum des positions de lInstitut concernant les diffrents
aspects et caractristiques dune relation approprie entre un comit daudit et laudit
interne. LInstitut reconnat que les responsabilits du comit daudit englobent des
activits qui sortent du champ dapplication de la prsente MPA, cette dernire
nayant nullement pour objet de procder une description exhaustive des responsa-
bilits du comit daudit.
3. Trois points sont essentiels pour permettre le bon fonctionnement des relations entre
le comit daudit et le service daudit interne, principalement par lintermdiaire du
responsable de laudit interne :
assister le comit daudit de faon sassurer que sa charte, ses activits et ses
processus sont appropris et lui permettent dassumer ses responsabilits ;
sassurer que la charte, le rle et les activits de laudit interne sont bien compris
et quils rpondent aux besoins du comit daudit et du Conseil ;
maintenir un systme de communication ouvert et efficace avec le comit daudit
et son Prsident.
JUIN 2004
31
NORMES DE FONCTIONNEMENT
examiner au moins une fois par an la charte du comit daudit et indiquer au comit
si la charte traite de lensemble des responsabilits qui lui incombent en vertu de
descriptions de mission ou de mandats manant du conseil dadministration ;
revoir ou tenir un ordre du jour prvisionnel des runions du comit daudit conte-
nant une liste de contrle dtaille de toutes les tches que le comit doit effec-
tuer ; cette liste permettra au comit de confirmer annuellement au Conseil quil a
bien rempli lensemble des fonctions qui lui ont t confies ;
rdiger lordre du jour des runions du comit daudit, le soumettre au prsident
pour examen, faciliter la diffusion des documents aux membres du comit daudit
et rdiger le compte-rendu de ces runions ;
encourager le comit daudit procder des revues priodiques de ses activits
et de ses pratiques en les comparant aux meilleures pratiques en vigueur ;
rencontrer priodiquement le prsident du comit afin de vrifier si les informations
et les documents fournis aux membres du comit rpondent leurs attentes ;
consulter le comit daudit afin de dterminer si des sances de formation ou des
runions dinformation seraient utiles, par exemple en vue de former les nouveaux
membres du comit aux risques et aux contrles ;
consulter le comit daudit afin de dterminer si la frquence des runions quil
tient avec lui et le temps quil consacre au comit sont suffisants.
JUIN 2004
32
SRIE 2000 - GESTION DE LAUDIT INTERNE
(un modle de charte du service daudit interne peut tre consult sur le site Web
de lIIA : http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383) et sur le site de
lIFACI : www.ifaci.com
JUIN 2004
33
NORMES DE FONCTIONNEMENT
aider le comit daudit vrifier que laudit interne dispose des ressources humaines
et financires suffisantes, valuer le champ et les rsultats des activits daudit
interne, et sassurer quaucune restriction de son budget ou de son champ din-
tervention ne compromet sa capacit remplir sa mission ;
JUIN 2004
34
SRIE 2000 - GESTION DE LAUDIT INTERNE
fournir des informations sur la coordination avec les autres fonctions de contrle et
sur la supervision de ces dernires (management des risques, dontologie, scurit,
continuit de lexploitation, juridique, thique, environnement, audit externe) ;
rendre compte des problmes significatifs concernant les processus de contrle des
activits de lorganisation et des socits apparentes, notamment en signalant les
amliorations susceptibles dtre apportes ces processus, et fournir des infor-
mations sur ces diffrents points jusqu leur rsolution ;
laborer un plan annuel daudit souple selon une mthodologie approprie fonde
sur les risques, incluant tous les risques ou les problmatiques de contrle identi-
fis par le management, et le soumettre au comit daudit pour examen, approba-
tion et mise jour priodique ;
rendre compte de la mise en uvre du plan annuel daudit, tel quil a t approuv,
en mentionnant, le cas chant, toute mission ou projet spcial demand par la
direction gnrale et le comit daudit ;
prciser dans la charte de laudit interne quil doit informer le comit daudit, dans
des dlais appropris, de tout soupon de fraude concernant des membres du
management ou des employs impliqus de faon significative dans le dispositif de
contrle interne de la socit ; participer aux enqutes ralises au sein de lorga-
nisation en cas de soupons de fraude significative ; informer la direction gnrale
et le comit daudit du rsultat de ces enqutes ;
le comit daudit doit tre inform que des valuations externes doivent tre rali-
ses au moins tous les cinq ans afin de permettre laudit interne de dclarer que
ses activits sont conduites conformment aux Normes pour la Pratique
Professionnelle de lAudit Interne. De telles valuations apporteront au comit
daudit et la direction gnrale lassurance que laudit interne respecte les
Normes.
JUIN 2004
35
NORMES DE FONCTIONNEMENT
JUIN 2004
36
SRIE 2000 - GESTION DE LAUDIT INTERNE
Jacques Friedmann
Le comit daudit, doit tre inform des programmes daudit, des rsultats, des
principales observations faites, des dysfonctionnements relevs et je crois quil
faut que ce soit de faon aussi rgulire que possible. Dans les entreprises o jai
participer au comit daudit, je souhaite qu chaque runion, cest--dire
4 fois par an nous ayons ce compte-rendu.
Jean Peyrelevade
Il me parat lgitime que le comit daudit se prononce le cas chant sur les
moyens de laudit interne, cest--dire puisse dire au Conseil dadministration :
"Faites attention, votre instrument est sous dimensionn", soit quantitative-
ment, soit qualitativement. Donc, il est tout fait clair que le patron de laudit
interne est un des interlocuteurs rguliers, permanents, mes yeux, du prsident
du comit daudit.
JUIN 2004
37
NORMES DE FONCTIONNEMENT
JUIN 2004
38
MPA SRIE 2100
Nature du travail
2100 N A T U R E DU T R AVA I L
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils dterminent la nature du travail daudit interne mener. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement pour
objet de recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. La nature des travaux de laudit interne se dfinit par une approche systmatique et
mthodique dvaluation et damlioration de la pertinence et de lefficacit des pro-
cessus de management des risques, de contrle et de gouvernement dentreprise ainsi
que par le niveau de la qualit atteint dans laccomplissement des responsabilits
confies. Lvaluation de la pertinence des processus de management des risques, de
contrle et de gouvernement dentreprise a pour objectif de fournir une assurance
raisonnable que ces processus fonctionnent comme prvu et quils permettront
lorganisation datteindre ses objectifs et ses buts. Elle a galement pour objectif de
proposer des recommandations pour amliorer le fonctionnement de lorganisation, en
termes la fois defficience et defficacit. Il se peut galement que la direction gn-
rale et le Conseil donnent de grandes orientations quant au champ dintervention et
aux activits auditer.
JUIN 2004 3
NORMES DE FONCTIONNEMENT
datteindre avec prcision les objectifs et les buts fixs, bonne date et au moindre
cot. Un fonctionnement conomique permet datteindre les objectifs et buts avec
une utilisation minimale de ressources (cest--dire des cots moindres) en propor-
tion du risque encouru. Une assurance raisonnable est apporte ds lors que les
mesures les plus efficaces et conomiques possible sont prises ds la conception et
la mise en place des processus pour rduire les risques et limiter les carts attendus
un niveau tolrable. Ainsi, la conception commence par la dtermination des objec-
tifs et des buts. Puis il convient dassembler ou de relier les concepts, les diverses
composantes, les activits et les personnes de telle sorte quils concourent conjoin-
tement la ralisation des objectifs et des buts fixs.
6. Est un contrle toute mesure prise par le management pour augmenter la probabilit
que les objectifs et les buts fixs seront atteints. Les contrles peuvent tre prven-
OCTOBRE 2002
4
SRIE 2100 - NATURE DU TRAVAIL
tifs (pour prvenir la survenance de tout vnement non souhaitable), dtectifs (afin
didentifier les vnements non souhaitables qui se sont produits et de corriger leurs
effets), ou directifs (afin de provoquer et dencourager la survenance dun vnement sou-
hait). Le concept dun systme de contrle renvoie un ensemble intgr de compo-
sants et dactivits utilis par une organisation pour atteindre ses objectifs et ses buts.
8. Ces valuations conduites par laudit interne permettent globalement dobtenir les
informations ncessaires l'apprciation du processus de management dans son
ensemble. Tous les systmes dactivit, processus, oprations, fonctions et activits
au sein dune organisation sont soumis aux valuations de laudit interne. Un champ
exhaustif des travaux daudit interne doit permettre dobtenir une assurance raison-
nable que :
le systme de management des risques est efficace ;
le systme de contrle interne est efficace et efficient ;
le gouvernement dentreprise est efficace et rpond aux objectifs suivants : dfinir
et prserver les valeurs, fixer les objectifs, suivre les activits et les performances,
et dfinir les manires dont on rend compte.
2410
MPA 2100-2
Scurit de linformation
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de
lvaluation des activits du gouvernement dentreprise en matire de scurit de linfor-
mation. La prsente MPA na pas pour but de prsenter toutes les procdures mettre
en uvre dans le cadre dune mission daudit ou de conseil concernant la scurit de lin-
formation. Elle a seulement pour objet de dcrire les responsabilits quil est recom-
mand de confier aux auditeurs en complment de celles qui incombent au Conseil et au
management.
OCTOBRE 2002
5
NORMES DE FONCTIONNEMENT
1. Les auditeurs internes doivent sassurer que le management, le Conseil, ainsi que le
comit daudit ou tout autre organe de direction, sont conscients de la responsabilit du
management en matire de scurit de linformation. Cette responsabilit porte sur
toutes les informations essentielles pour lorganisation, quel que soit leur support de
conservation.
2. Le responsable de l'audit interne doit sassurer que laudit interne dispose ou a accs
des ressources appropries pour valuer la scurit de linformation et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes
et, notamment, ceux affrents aux relations tablies par lorganisation avec dautres
entits externes.
3. Les auditeurs internes doivent sassurer que le Conseil, le comit daudit ou tout autre
organe de direction ont obtenu du management lassurance que laudit interne serait
rapidement inform de toute atteinte la scurit de linformation et de toute situa-
tion susceptible de constituer une menace pour lorganisation.
4. Les auditeurs internes doivent valuer, au niveau estim ncessaire, lefficacit des
mesures prises, en vue de prvenir, dtecter et attnuer les attaques survenues par le
pass, ainsi que tout incident ou tentative d'attaque susceptible de se produire
l'avenir. Les auditeurs internes doivent confirmer que le Conseil, le comit daudit ou
tout autre organe de direction ont bien t informs des menaces ou incidents sur-
venus, des faiblesses exploites et des mesures correctives.
2420
MPA 2100-3
Le rle de laudit interne dans le processus de management des risques
La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objec-
tifs en valuant, par une approche systmatique et mthodique, ses processus de
management des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit . Le respect des Normes suppose que
OCTOBRE 2002
6
SRIE 2100 - NATURE DU TRAVAIL
1. La gestion des risques est une responsabilit majeure du management qui doit
sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement
des processus de management des risques. Il incombe au Conseil et au comit daudit
de veiller ce que des processus de management des risques appropris, suffisants
et efficaces soient en place. Le rle des auditeurs internes consiste assister et le
management et le comit daudit, en examinant et en valuant les processus de
management des risques mis en uvre par le management, en vrifiant quils sont
suffisants et efficaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration. Le management et le Conseil sont responsables des processus
de contrle et de management des risques de leur organisation. Toutefois, les audi-
teurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation
identifier, valuer et mettre en place un dispositif de management des risques et des
contrles permettant de matriser ces risques.
4. Les responsabilits et les activits de toutes les personnes qui interviennent en grou-
pe ou titre individuel dans le processus de management des risques de lorganisa-
tion doivent tre coordonnes. Ces responsabilits et ces activits doivent tre cor-
rectement formalises dans les plans stratgiques de lorganisation, les directives du
Conseil et du management, les procdures oprationnelles et autres instruments rele-
vant du gouvernement dentreprise. A titre dexemple, les activits et les responsabi-
lits documenter comprennent :
OCTOBRE 2002
7
NORMES DE FONCTIONNEMENT
5. On attend des auditeurs internes quils identifient et valuent les risques significatifs
dans le cadre de leurs activits courantes.
6. Le rle de laudit interne dans le processus de management des risques dune orga-
nisation peut voluer dans le temps et revtir les formes suivantes :
aucune intervention ;
audit du processus de management des risques dans le cadre du programme daudit
interne ;
soutien actif et continu, et participation au processus de management des risques,
notamment dans le cadre de comits de surveillance, dactivits de suivi et de
lmission de rapports concernant le processus ;
gestion et coordination du processus de management des risques.
8. Dautres lignes directrices figurent dans les Modalits Pratiques dApplication suivantes :
Modalit Pratique dApplication n 2100-4, Le rle de laudit interne en labsence
de processus de management des risques.
Modalit Pratique dApplication n 1130.A1-2, Responsabilits exerces par lau-
dit interne au titre dautres fonctions.
Modalit Pratique dApplication n 2110-1, valuer le processus de management
des risques.
Modalit Pratique dApplication n 2010-2, La prise en compte des risques pour
llaboration du programme daudit.
OCTOBRE 2002
8
SRIE 2100 - NATURE DU TRAVAIL
MPA 2100-4
Le rle de laudit interne en labsence de processus de management des risques
La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objec-
tifs en valuant, par une approche systmatique et mthodique, ses processus de
management des risques, de contrle, et de gouvernement dentreprise, et en faisant
des propositions pour renforcer leur efficacit .
1. Le management des risques est une responsabilit majeure du management qui doit
sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement
des processus de management des risques. Il incombe au Conseil et au comit daudit
de veiller ce que des processus de management des risques appropris, suffisants
et efficaces soient en place. Le rle des auditeurs internes consiste assister et le
management et le comit daudit, en examinant et en valuant les processus de
management des risques mis en uvre par le management, en vrifiant quils sont
suffisants et efficaces, puis en mettant des rapports et des recommandations en vue
de leur amlioration. Le management et le Conseil sont responsables des processus
de contrle et de management des risques de leur organisation. Toutefois, les audi-
teurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation
identifier, valuer et mettre en place un dispositif de management des risques et
de contrle permettant de matriser ces risques.
OCTOBRE 2002
9
NORMES DE FONCTIONNEMENT
MPA 2100-5
valuation des programmes de compliance (conformit aux rglementations)
aspects juridiques
OCTOBRE 2002
10
SRIE 2100 - NATURE DU TRAVAIL
Remarque pralable Les auditeurs internes sont invits consulter un juriste sur toute ques-
tion dordre juridique, la rglementation tant susceptible de varier de faon significative
selon les pays. Les directives contenues dans la prsente Modalit Pratique dApplication
reposent principalement sur le systme juridique des Etats-Unis.
OCTOBRE 2002
11
NORMES DE FONCTIONNEMENT
Lexpression collaborateurs de haut niveau vise les personnes qui jouent un rle
important dans lorganisation ou dans son processus de dcision.
Les collaborateurs de haut niveau incluent les administrateurs, les cadres, les diri-
geants responsables dune branche ou dune fonction de lorganisation importante
telle que les ventes, ladministration ou les finances, ainsi que les personnes dte-
nant une importante participation dans lorganisation.
Le Directeur Gnral et les autres membres du comit excutif doivent simpliquer
de faon significative dans le programme pour assurer son efficacit.
Dans certaines organisations, le rattachement de la fonction compliance au
responsable juridique de la socit peut faire penser au personnel que le manage-
ment ne sintresse gure au programme, et que ce dernier na dimportance que
pour le service juridique et non pour lensemble de lorganisation. Dans dautres
organisations, le mme rattachement peut avoir leffet inverse.
Dans les grandes socits comportant plusieurs centres de profit, il convient de
dsigner dans chacun dentre eux un collaborateur de haut niveau responsable de
la fonction compliance .
Il ne suffit pas de crer le poste de compliance officer (responsable de la confor-
mit) et de slectionner les autres membres de lquipe. La socit doit galement
sassurer que ces collaborateurs possdent lautorit et les ressources ncessaires
lexercice de leur mission. Il faut en outre quils puissent avoir accs la direc-
tion gnrale. Le compliance officer doit tre directement rattach au P.-D.G.
4. Lorganisation doit veiller ne pas dlguer de pouvoirs discrtionnaires importants
des personnes dont elle sait, ou devrait savoir, quelles sont susceptibles de
commettre des actes illicites.
Les socits doivent vrifier les antcdents de tout candidat un poste quel que
soit son niveau et sassurer quil na commis aucun mfait, en particulier dans le
secteur dactivit de la socit.
Les formulaires de candidature devraient comporter une rubrique sur le casier judi-
ciaire. Les membres des professions rglementes devront tre questionns sur tout
antcdent disciplinaire.
Il convient de veiller ce que la socit ne commette aucune atteinte la vie prive
des employs et des candidats selon les lois applicables dans ce domaine. De nom-
breux pays ont une lgislation qui limite ltendue des informations quune socit
peut obtenir dans le cadre denqutes concernant le personnel.
5. Lorganisation doit veiller bien communiquer ses normes et ses procdures tous
ses personnel et agents (non salaris). A cet effet, elle peut, par exemple, exiger leur
participation des programmes de formation ou diffuser des documents afin dexpli-
quer ce quelle attend deux en pratique.
OCTOBRE 2002
12
SRIE 2100 - NATURE DU TRAVAIL
OCTOBRE 2002
13
NORMES DE FONCTIONNEMENT
quils lont compris et quils sy sont conforms. Ces informations doivent tre
communiques annuellement la direction gnrale et au Conseil.
6. Lorganisation doit prendre des mesures appropries afin dassurer le respect de ses
normes. A titre dexemple, ces mesures incluent lutilisation de systmes de suivi et
daudit permettant de dtecter les infractions commises par les salaris et agents,
ainsi que la mise en place et la prsentation aux salaris et agents de lorganisation,
dun systme grce auquel ils peuvent indiquer, sans crainte de reprsailles, les
infractions commises par autrui au sein de lorganisation.
Lorganisation doit consacrer au plan daudit interne des ressources appropries
tenant compte de la taille de la socit et de la difficult des missions daudit. Le
plan daudit doit tre ax sur les oprations spcifiques de chaque branche dacti-
vit de lorganisation.
Le plan daudit doit galement comporter un examen du programme de conformit
de lorganisation et de ses procdures, qui aura notamment pour objet de vrifier
que les documents crits sont efficaces, que les informations ont bien t commu-
niques aux salaris, que les manquements dtects ont t correctement traits,
que les questions de discipline ont t rsolues de manire quitable, quil ny a
eu aucune reprsailles lencontre des personnes ayant donn lalerte et que le ser-
vice compliance a bien rempli ses responsabilits. Les auditeurs doivent exa-
miner le programme de conformit, rechercher les amliorations possibles et solli-
citer lavis des salaris sur ce point.
Chaque programme doit comporter un numro durgence ou un autre systme de
communication grce auquel les salaris peuvent rvler les actes quils estiment
illicites ou contraires lthique ou au code de conduite de lorganisation. Il faut que
le personnel ait toute latitude pour rvler ces agissements sans crainte de repr-
sailles.
Lorsque la responsabilit du numro durgence est confie un avocat, le secret
professionnel de ses clients ou celui figurant dans les dossiers de travail, est mieux
prserv. Cependant, les rsultats dune tude montrent que les salaris ne font
gure confiance aux numros durgence grs par le service juridique ou par un
prestataire extrieur. Cette tude a rvl quils ont encore moins confiance dans
lmission de rapports ou le recours un mdiateur externe. Les numros durgence
grs par un reprsentant interne lorganisation et assortis dun dispositif per-
mettant dempcher les mesures de rtorsion sont celles qui leur inspirent la plus
grande confiance.
OCTOBRE 2002
14
SRIE 2100 - NATURE DU TRAVAIL
7. Le respect des rgles doit tre assur de faon constante par un systme appropri
de sanctions, notamment lencontre des personnes qui empchent la dtection
dune infraction. Ladoption de mesures disciplinaires lencontre des personnes
responsables dune infraction est ncessaire pour assurer le respect des rgles ; tou-
tefois, la nature des mesures appropries ne peut tre dtermine quau cas par cas.
Le programme de conformit doit tre assorti dun systme disciplinaire prvoyant
lapplication, en cas de non-respect du code de conduite de lorganisation, de sanc-
tions adaptes la faute commise telles quavertissement, perte de salaire, suspen-
sion, transfert ou licenciement. Lorsquun collaborateur a commis un acte illgal,
il peut arriver que lorganisation soit dans lobligation de le licencier conformment
au principe selon lequel lorganisation doit veiller ne pas dlguer de pouvoirs
discrtionnaires importants des personnes dont elle sait, de par sa surveillance,
ou devrait savoir, quelles sont susceptibles de commettre des actes illicites .
Les mesures disciplinaires prvues par le programme doivent tre quitables. Le
programme a peu de chances daboutir si les actes illgaux ou contraires lthique
demeurent impunis, en particulier sils sont lis aux activits de la direction gn-
rale ou dacteurs importants. A dfaut de sanction, les infractions commises par ces
personnes encourageront ce type de comportement dans le reste de lorganisation.
Il peut arriver que le licenciement ou les autres mesures disciplinaires soient sou-
mis des restrictions rsultant de la lgislation sur le droit dalerte ou dexceptions
concernant certaines catgories de salaris, des contrats de travail ou accords syn-
OCTOBRE 2002
15
NORMES DE FONCTIONNEMENT
8. Lorsquune faute est dtecte, lorganisation doit prendre toute mesure raisonnable
pour y rpondre de faon approprie et prvenir toute autre faute similaire, notam-
ment en modifiant le cas chant son programme de prvention et de dtection des
infractions la loi.
Lorganisation doit ragir de manire approprie toute faute dtecte dans le
cadre du programme de conformit. Parmi les ractions appropries, figurent les
mesures disciplinaires prises lencontre de ceux qui ont commis la faute.
Dans certains cas, une raction approprie implique la dnonciation de linfraction
auprs des services de ltat, la coopration aux enqutes menes par ces derniers
et lacceptation de la responsabilit de lorganisation au titre de linfraction. Il
convient de noter que ces ractions, de mme que lexistence dun programme de
conformit efficace, peuvent inciter un tribunal rduire le montant de lamende
inflige lorganisation.
Le dfaut de dtection ou de prvention dune infraction grave traduit parfois la
ncessit de procder une refonte du programme de conformit. Aprs dtection
dune infraction, le compliance officer doit, au minimum, examiner le
programme et dterminer sil faut y apporter des modifications.
Il peut savrer ncessaire, la suite dune infraction constate, de remplacer ou
de rorganiser lquipe charge de la compliance . En fait, lorganisation peut
tre amene sanctionner ou remplacer un cadre pour dfaut de dtection ou de
prvention dune faute dans les domaines dont il assure la supervision, en particu-
lier sil sagit dune infraction que ce cadre aurait d dtecter.
MPA 2100-6
Le commerce lectronique : impact sur les contrles et sur laudit
JUIN 2004
16
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
17
NORMES DE FONCTIONNEMENT
3. Les principales composantes dun audit des activits de commerce lectronique sont
les suivantes :
valuer le dispositif de contrle interne, y compris la culture de contrle diffuse
par la direction gnrale ;
fournir une assurance raisonnable que les buts et les objectifs peuvent tre
atteints ;
dterminer si les risques sont acceptables ;
comprendre les flux dinformations ;
examiner les questions lies aux interfaces (entre les diffrents matriels, les dif-
frents logiciels, et entre les matriels et les logiciels) ;
valuer les plans de continuit de lentreprise et de reprise aprs sinistre.
5. Points examiner par les auditeurs internes dans le cadre de lvaluation des risques.
Lauditeur interne peut sappuyer sur le rapport eSAC publi par lIIA pour planifier
laudit et valuer les risques. Ce document contient une liste de points, relatifs au
commerce lectronique, qui devrait intresser lauditeur interne sur le point de raliser
une mission et dvaluer les risques. Il est recommand aux auditeurs
internes dexaminer les points suivants :
Le projet ou le programme de commerce lectronique a-t-il fait lobjet dun busi-
ness plan ?
JUIN 2004
18
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
19
NORMES DE FONCTIONNEMENT
JUIN 2004
20
SRIE 2100 - NATURE DU TRAVAIL
7. Parmi les problmatiques lies aux risques et aux contrles que doit examiner laudi-
teur interne, les points suivants sont particulirement critiques :
risques gnraux affrents la gestion de projets ;
menaces spcifiques lies la scurit, notamment dni de service, attaques phy-
siques, virus, usurpation didentit, accs non autoris ou divulgation de donnes ;
maintenance de lintgrit des transactions dans le cadre dun rseau complexe de
liens avec les systmes prcdents et avec les entrepts de donnes (data ware-
houses) ;
examen et approbation du contenu du site internet en cas de modifications
frquentes et de fonctionnalits clients labores et offrant un service 24 heures
sur 24 ;
volutions technologiques rapides ;
aspects juridiques, notamment augmentation travers le monde du nombre de
rglementations visant protger la vie prive ; caractre excutoire des contrats
ltranger ; problmatiques dordre fiscal et comptable ;
modifications apportes aux processus environnants et aux structures organisation-
nelles.
9. Les objectifs daudit dune mission portant sur le commerce lectronique peuvent
inclure les points suivants :
preuve des transactions de commerce lectronique ;
disponibilit et fiabilit du systme de scurit ;
interface effective entre les systmes de commerce lectronique et les systmes
financiers ;
scurit des transactions montaires ;
JUIN 2004
21
NORMES DE FONCTIONNEMENT
10. Le contenu dtaill des programmes daudit des activits de commerce lectronique
varie en fonction du secteur dactivit, du pays, du cadre juridique et des business
models. titre dexemple, un protocole daudit des activits de commerce lectro-
nique peut couvrir, pour lessentiel, les points suivants :
(b) Fraude Lauditeur interne doit tre vigilant sur les points suivants :
mouvements de fonds non autoriss (par exemple, transferts destination de pays
o le recouvrement des fonds serait difficile) ;
doubles paiements ;
JUIN 2004
22
SRIE 2100 - NATURE DU TRAVAIL
(d) Altration de donnes Lauditeur interne doit valuer les contrles relatifs lin-
tgrit des donnes.
Qui peut modifier les catalogues, les prix ou les taux ? Quel est le mcanisme
dapprobation ?
Quelquun peut-il dtruire les pistes daudit ?
Qui peut approuver les modifications apportes aux listes de discussion figurant sur
le site internet de lorganisation ?
Quelles sont les procdures de commande et denregistrement ?
Le processus dappel doffres en ligne fournit-il une documentation adquate ?
Les outils mettre en place concernent : la gestion des intrusions (logiciels de sur-
veillance, dconnexion automatique au bout dun certain dlai et analyse de tendance),
la scurit physique des serveurs utiliss pour le commerce lectronique, le contrle des
modifications et le rapprochement.
JUIN 2004
23
NORMES DE FONCTIONNEMENT
(e) Interruptions dactivit Lauditeur interne doit examiner le plan de continuit des
oprations et vrifier quil a t test. Il appartient au management de dfinir un
mode alternatif de traitement des transactions en cas dinterruption. Le manage-
ment doit veiller la mise en place dun processus permettant de traiter les cas
suivants :
attaques en masse ;
attaques de type dni de service ;
interfaces inadquates entre les systmes de commerce lectronique et les systmes
de gestion financire ;
installations de secours ;
stratgies destines contrer le piratage, les intrusions, la recherche de mots de
passe valides, les virus, les vers, les chevaux de Troie et les portes drobes .
(f) Problmatiques de gestion Lauditeur interne doit valuer la faon dont les
entits de lorganisation grent le processus de commerce lectronique. Voici
quelques points considrer cet gard :
examen de la gestion de projet des initiatives individuelles et des projets de dve-
loppement ;
examen du cycle de vie du dveloppement des systmes ;
slection et capacit des fournisseurs, confidentialit du personnel, et fidlisation ;
revues conomiques aprs mise en place : lorganisation retire-t-elle les bnfices
escompts ? Quels sont les mtriques utiliss pour mesurer le succs ?
revues des processus aprs mise en place : les nouveaux processus sont-ils en place
et fonctionnent-ils de manire efficace ?
MPA 2100-7
Le rle de laudit interne dans lidentification et le reporting des risques environnementaux
JUIN 2004
24
SRIE 2100 - NATURE DU TRAVAIL
Risques potentiels
1. Le responsable de laudit interne doit intgrer les risques lis lenvironnement, la
sant et la scurit dans toute valuation du management des risques ralise
lchelle de lentit, et procder une valuation quilibre de ces activits compte
tenu des autres types de risques associs aux oprations dune entit. Lvaluation
des risques doit porter notamment sur les points suivants : modalits de reporting des
risques environnementaux au sein de lorganisation, probabilit de causer des dom-
mages environnementaux, amendes, dpenses exiges par lagence de protection de
lenvironnement ou par toute autre administration, historique des accidents corporels
et des dcs, enregistrement des pertes de clientle, cas de mauvaise publicit, de
dgradation de limage et de la rputation de lentit.
3. Dans la majorit des cas, la fonction Audit environnemental est rattache au respon-
sable de lenvironnement ou au directeur juridique de lorganisation, et non au
responsable de laudit interne. En rgle gnrale, le mode dorganisation de la fonc-
tion Audit environnemental sinscrit dans lun des scnarios suivants :
Le responsable de laudit interne et le responsable de laudit environnemental sont
dans des units fonctionnelles spares et leurs contacts sont peu frquents ;
Le responsable de laudit interne et le responsable de laudit environnemental sont
dans des units fonctionnelles spares et coordonnent leurs activits ;
Le responsable de laudit interne est responsable de laudit environnemental.
JUIN 2004
25
NORMES DE FONCTIONNEMENT
5. Aux tats-Unis, la table ronde qui sest tenue sur laudit Sant, Scurit et
Environnement, devenue The Auditing Roundtable , a dsign Richard L. Ratliff,
de luniversit de ltat dUtah, ainsi quun groupe de chercheurs, pour raliser une
tude sur laudit dans les domaines de la sant, de la scurit et de lenvironnement.
Les conclusions des chercheurs sur les points concernant les risques et lindpen-
dance sont les suivantes :
la fonction Audit Sant, Scurit et Environnement est relativement isole des
autres fonctions daudit de lorganisation. Elle est spare de laudit interne et elle
nest lie quindirectement aux audits externes portant sur les tats financiers ; en
outre, elle est rattache un responsable Sant, Scurit et Environnement, et non
au Conseil ou la direction gnrale. en juger par la structure adopte, la direction
gnrale estime que laudit Sant, Scurit et Environnement est un domaine tech-
nique qui doit de prfrence tre rattach un service spcifique de lorganisation ;
compte tenu de cette structure hirarchique, il est redouter que les auditeurs sp-
cialiss dans cette fonction ne puissent conserver leur indpendance, pourtant
considre comme lune des principales exigences dune fonction audit efficace.
En rgle gnrale, les responsables de laudit Sant, Scurit et Environnement
relvent, sur le plan administratif, des cadres responsables des installations audi-
tes. Par consquent, de mauvaises performances dans ces domaines auraient des
consquences ngatives pour ceux-ci, qui, de ce fait, risquent duser de leur auto-
rit pour influer sur les conclusions daudit, sur la manire dont sont conduits les
audits ou sur le contenu du plan daudit. Ce risque de subordination des auditeurs,
quand bien mme il ne serait quapparent, porte atteinte lindpendance et
lobjectivit de lauditeur ;
en outre, il arrive couramment que les rapports daudit ne soient pas diffuss dans
lorganisation un chelon suprieur celui des cadres responsables de lenviron-
nement. Or, ces derniers peuvent se trouver dans une situation de conflit dintrt
et sabstenir de diffuser les conclusions des audits la direction gnrale et au
Conseil ;
les informations relatives aux audits sont souvent classes dans lune des catgo-
ries suivantes : (a) assimilation au secret professionnel liant lavocat son client ou
au fruit des travaux de lavocat, (b) informations confidentielles, ou, (c) dfaut de
confidentialit, informations diffusion restreinte. Il sensuit que laccs aux infor-
mations relatives aux audits Sant, Scurit et Environnement est trs restreint.
JUIN 2004
26
SRIE 2100 - NATURE DU TRAVAIL
Le plan daudit de la fonction Sant, Scurit et Environnement peut tre (a) centr sur
la conformit (conformit aux lois, la rglementation, aux rgles et procdures et aux
objectifs de performance en matire de Sant, Scurit et Environnement) ou (b) centr
sur les systmes de gestion (valuations des systmes de gestion chargs de sassurer de
la conformit aux exigences lgales et internes, et de vrifier que les risques font lobjet
de mesures dattnuation), ou (c) fond sur une combinaison de ces deux approches.
7. Le responsable de laudit interne doit apprcier si les auditeurs spcialiss dans len-
vironnement, qui ne lui sont pas rattachs, respectent les normes professionnelles
daudit gnralement admises ainsi quun code dthique reconnu. Aux tats-Unis, le
Board of Environmental, Health and Safety Auditor Certifications BEAC (Conseil de
certification de lauditeur environnemental, de sant et de scurit), ainsi que lIIA,
publient des normes de pratique et des codes dthique/de dontologie.
JUIN 2004
27
NORMES DE FONCTIONNEMENT
BEAC, joint-venture cre entre The IIA et The Round Table aux tats-Unis,
dlivre le certificat CPEA, Certified Professional Environmental Auditor
(Auditeur Environnement Professionnel Certifi), certificat qui aborde trois
domaines de spcialit : environnement, sant, scurit. Pour plus dinforma-
tions, se reporter au site du BEAC : www.beac.org.
MPA 2100-8 :
Lvaluation du dispositif mis en place par lorganisation pour protger la vie prive :
rle de lauditeur interne
Nature de cette recommandation : Il est conseill aux auditeurs internes de tenir compte
des suggestions suivantes pour valuer les mesures prises par lorganisation dans le
cadre de son dispositif de protection de la vie prive. La prsente MPA na pas pour but
de dresser une liste exhaustive des procdures mettre en uvre dans le cadre dune
mission dassurance ou de conseil couvrant lensemble de ce dispositif. Elle contient
une srie de recommandations essentielles concernant les responsabilits importantes
de lauditeur interne qui, dans ce domaine, sont complmentaires celles du Conseil
et du management.
1. La protection de la vie prive fait lobjet dune attention accrue dans la mesure o les
avances en matire de technologies de linformation et de moyens de communica-
tion introduisent de nouveaux risques et menaces pour la vie prive. Dans la plupart
des pays, la lgislation contraint les organisations se doter dun dispositif de contrle
visant protger la vie prive.
JUIN 2004
28
SRIE 2100 - NATURE DU TRAVAIL
2. Les dfinitions de la vie prive varient amplement selon le pays, la culture, lenviron-
nement politique et le cadre juridique. La vie prive peut comprendre lintimit des
personnes (sur le plan physique et psychologique), le respect de lespace priv
(absence de surveillance), ainsi que le caractre confidentiel de la communication
(absence de contrle) et des informations (collecte, exploitation et diffusion par autrui
dinformations caractre personnel). Les informations caractre personnel
correspondent gnralement des informations que lon peut associer un individu
donn, soit en tant que telles soit en les regroupant avec dautres informations1. Il
peut sagir dinformations de nature objective ou subjective, enregistres ou non, et
ce quels quen soient la forme ou le support. titre dexemple, les informations
caractre personnel incluent notamment :
le nom, ladresse, les numros didentification, le revenu ou le groupe sanguin ;
les valuations, les commentaires, le statut social ou les mesures disciplinaires ;
les dossiers des salaris, les informations relatives aux crdits et aux prts accor-
ds.
(1) Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim Hargraves, Susan
B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal Auditors Research Foundation.
JUIN 2004
29
NORMES DE FONCTIONNEMENT
protection de la vie prive. Il est, en effet, particulirement bien plac pour valuer
le dispositif en place dans lorganisation, identifier les risques significatifs et formu-
ler les recommandations appropries en vue de leur attnuation.
7. Pour procder cette valuation, lauditeur interne doit tenir compte des lments
suivants :
lois, rglementations et politiques relatives au respect de la vie prive en vigueur
dans tous les pays dans lesquels lorganisation exerce une activit ;
liaison avec le juriste de lorganisation afin de dterminer le contenu exact des lois,
rglementations, normes ou pratiques applicables lorganisation et aux pays dans
lesquels elle exerce une activit ;
liaison avec des spcialistes des technologies de linformation afin de sassurer que
des contrles concernant la scurit des informations et la protection des donnes
sont en place, et que leur efficacit fait rgulirement lobjet dexamens et dva-
luations ;
maturit des pratiques de lorganisation en matire de protection de la vie prive.
Le rle de lauditeur interne peut varier en fonction de cette maturit. Lauditeur
peut faciliter llaboration et la mise en uvre dun programme spcifique, raliser
une valuation des risques afin de dterminer les besoins et lexposition aux risques
de lorganisation, ou bien il peut examiner lefficacit des procdures, des pratiques
et des contrles en place dans lorganisation et fournir une assurance sur celle-ci.
Lindpendance de lauditeur interne peut tre altre sil assume une partie de la
responsabilit du dveloppement et de la mise en place dun programme de
protection de la vie prive.
et ce pour les diffrents domaines dans lesquels ces informations sont recueillies,
dtenues et exploites.
9. tant donn la nature juridique et technique trs marque que revt cette question,
lauditeur interne doit sassurer quil dispose des connaissances et des comptences
appropries pour procder lvaluation du dispositif en place. Il doit faire appel
des tiers experts si ncessaire.
JUIN 2004
30
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
31
NORMES DE FONCTIONNEMENT
MPA 2100-9 :
Revue des systmes dapplication
1. Le responsable de laudit doit sassurer que le service daudit interne possde ou peut
accder des ressources daudit indpendantes (1) et comptentes pour procder
une revue des systmes dapplication et valuer les risques associs ces systmes.
SEPTEMBRE 2006
31-1
SRIE 2100 - NATURE DU TRAVAIL
SEPTEMBRE 2006
31-2
NORMES DE FONCTIONNEMENT
SEPTEMBRE 2006
31-3
SRIE 2100 - NATURE DU TRAVAIL
Rapports
4. Les rapports concernant les rsultats de la revue des systmes dapplication doivent
comporter une description claire de la nature de la mission, de toute limitation ou
restriction, et/ou de tout autre facteur, devant tre ports la connaissance des utili-
sateurs des informations. Lauditeur doit formuler dans le rapport les recommanda-
tions appropries pour renforcer les contrles.
Les faiblesses identifies lors de la revue des applications, soit en raison de labsence
de contrles soit par suite de non-conformits, doivent tre portes lattention du
propritaire du processus et des responsables informatiques chargs du support de
lapplication. Lorsque les faiblesses constates lors de la revue des systmes dappli-
cation sont considres comme tant significatives, il convient de conseiller aux
responsables concerns de prendre immdiatement des mesures correctives. tant
donn que lefficacit des contrles dapplication informatiss repose sur les
contrles informatiques gnraux, les faiblesses constates dans ce domaine doivent
galement tre signales. Si les contrles informatiques gnraux ne font lobjet
daucune revue, il convient de le mentionner dans le rapport.
SEPTEMBRE 2006
31-4
NORMES DE FONCTIONNEMENT
MPA 2100-10 :
Vrification par sondage
SEPTEMBRE 2006
31-5
SRIE 2100 - NATURE DU TRAVAIL
Les sondages discrtionnaires ne reposent pas sur des mthodes statistiques et leurs
rsultats ne doivent pas tre extrapols la population entire, car il est trs peu
probable que lchantillon soit reprsentatif de la population.
Dfinition de lchantillon
Pour dfinir la taille et la structure dun chantillon, les auditeurs doivent tenir compte
des objectifs spcifiques de laudit, de la nature de la population ainsi que des mthodes
dchantillonnage et de slection. Lauditeur doit tenir compte, le cas chant, de la
ncessit dimpliquer des spcialistes comptents dans la dfinition et lanalyse des
chantillons.
Unit de sondage Lunit de sondage sera fonction de la finalit de lchantillon. Pour
les tests de conformit des contrles, lon procde gnralement un sondage dattri-
buts, dans lequel lunit de sondage est un vnement ou une transaction (un contrle
tel quune autorisation sur une facture, par exemple). Pour les tests de confirmation, lon
procde souvent un sondage destimation des variables dans lequel lunit de sondage
est souvent montaire.
Objectifs de laudit Lauditeur doit tenir compte des objectifs spcifiques de laudit et
mettre en uvre les procdures daudit qui ont le plus de chances daboutir la ralisa-
tion de ces objectifs. Lorsquune vrification par sondage est approprie, la nature des
preuves daudit recherches et les risques derreur doivent tre pris en considration.
Population La population dsigne lensemble entier de donnes partir duquel laudi-
teur souhaite prlever un chantillon pour en tirer une conclusion sur la population. La
population dont lchantillon est issu doit donc tre adapte et son exhaustivit vrifie
compte tenu de lobjectif spcifique de laudit.
Stratification La stratification peut savrer approprie pour faciliter une dfinition effi-
cace et efficiente de lchantillon. Ce processus consiste scinder une population en
sous-ensembles, ou strates, qui prsentent des caractristiques similaires dfinies de
faon explicite de telle sorte que chaque unit de sondage ne puisse tre rattache qu
une seule strate.
Taille de lchantillon Pour dterminer la taille de lchantillon, lauditeur doit tenir
compter du risque dchantillonnage, du montant de lerreur juge acceptable et du taux
derreurs attendu.
Risque dchantillonnage Le risque dchantillonnage provient du fait que la conclu-
sion de lauditeur peut diffrer de la conclusion laquelle il parviendrait si la population
entire tait soumise la mme procdure daudit.
Il existe deux types de risque dchantillonnage :
le risque dacceptation errone le risque quune erreur significative soit juge impro-
bable, alors quen fait la population comporte une erreur significative ;
le risque de rejet injustifi le risque quune erreur significative soit juge probable,
alors quen fait la population ne comporte aucune erreur significative.
SEPTEMBRE 2006
31-6
NORMES DE FONCTIONNEMENT
Le degr de risque dchantillonnage que lauditeur est dispos accepter influe sur la
taille de lchantillon. Le risque dchantillonnage doit tre considr par rapport au
modle de risque daudit et ses composantes : le risque inhrent, le risque dchec des
contrles et le risque de non-dtection.
Erreur acceptable Lerreur acceptable est lerreur maximale que les auditeurs sont prts
accepter dans la population examine tout en concluant que lobjectif de laudit est
atteint. Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signi-
fication fix par lauditeur. Pour les tests de conformit, cest le taux maximum dcart
que lauditeur peut tolrer par rapport une procdure de contrle prescrite.
Erreur attendue Si lauditeur sattend ce que la population comporte des erreurs, il
convient, en rgle gnrale, dexaminer un chantillon plus important pour pouvoir
conclure que lerreur relle sur la population nest pas suprieure lerreur acceptable
prvue. Des chantillons de taille rduite sont justifis lorsquon sattend ce que la
population ne comporte pas derreur. Pour dterminer lerreur attendue dans une popu-
lation, lauditeur doit tenir compte notamment des lments suivants : niveaux derreur
dtects lors des audits prcdents, modifications apportes aux procdures de lorgani-
sation, preuves daudit recueillies lors dune valuation du contrle interne et rsultats
des procdures de revue analytique.
Slection de lchantillon
Les mthodes dchantillonnage couramment utilises sont au nombre de quatre :
Mthodes dchantillonnage statistique
chantillonnage alatoire cette mthode garantit que toutes les combinaisons duni-
ts de sondage comprises dans la population ont la mme chance dtre slectionnes.
chantillonnage systmatique cette mthode consiste slectionner les units de
sondage en respectant un intervalle fixe entre les tirages, le point de dpart tant dter-
min au hasard. titre dexemples, on peut citer le sondage par units montaires ou
la slection pondre en fonction des valeurs, dans lesquels chaque valeur montaire
individuelle (1 $, par exemple) de la population a les mmes chances dtre slec-
tionne.
tant donn que lunit montaire individuelle ne peut pas, en principe, tre examine
sparment, cest llment qui comprend cette unit montaire qui est slectionn
pour examen. Le mode de slection retenu dans cette mthode privilgie systmati-
quement les montants importants, mais chaque valeur montaire conserve nanmoins
les mmes chances dtre choisie. Un autre exemple consiste slectionner chaque
nime unit.
SEPTEMBRE 2006
31-7
SRIE 2100 - NATURE DU TRAVAIL
SEPTEMBRE 2006
31-8
NORMES DE FONCTIONNEMENT
Documentation
Les documents de travail doivent contenir des informations suffisamment dtailles pour
dcrire clairement lobjectif du sondage et le processus dchantillonnage utilis. Ils
doivent mentionner la source de la population, la mthode de sondage utilise, les para-
mtres dchantillonnage (par exemple, numro de dpart alatoire, intervalle dchan-
tillonnage), les lments slectionns, des informations dtailles sur les vrifications
effectues par sondage et les conclusions.
SEPTEMBRE 2006
31-9
SRIE 2100 - NATURE DU TRAVAIL
MPA 2100-11 :
Impact des contrles de pilotage des systmes d'information
Prambule
Plusieurs typologies de contrles sont utilises par les auditeurs internes en tant que
grille de lecture lors de leurs missions.
Concernant les missions ralises en milieu informatis, la typologie la plus gnralement
recommande tait celle prconise par les experts-comptables, qui diffrencie contrles
gnraux (1) et contrles d'application (2). Parfaitement adapte aux audits comptables
et financiers, cette approche ne convient pas systmatiquement l'audit interne, dont les
objectifs et le primtre de mission ne sont pas uniquement centrs sur l'apprciation
des comptes.
(1) Les contrles Gnraux sappliquent la quasi-totalit des oprations et contribuent leur fonctionnement
correct. Ils portent habituellement sur les oprations du centre de traitement, lacquisition et la mainte-
nance des applications (dfinition issue du COSO Report).
(2) Les contrles dapplication conus pour contrler le fonctionnement des applications comprennent des
procdures programmes lintrieur mme des logiciels dapplication ainsi que des procdures manuelles
associes. Ils permettent dassurer lexhaustivit, et lexactitude des traitements et transactions, leur auto-
risation et leur validit.
SEPTEMBRE 2006
31-10
NORMES DE FONCTIONNEMENT
C'est pourquoi nous prconisons dornavant une approche plus discriminante, en intro-
duisant une nouvelle diffrentiation l'intrieur des contrles gnraux :
les contrles dtaills des systmes d'information qui sont directement en relation avec
le primtre de la mission d'audit en milieu informatis ;
les contrles de pilotage qui concernent les contrles relatifs au pilotage des systmes
d'information et aux dispositifs de supervision qui contribuent assurer de bons
contrles dtaills.
Cette nouvelle typologie est issue du cadre de rfrence CobiT, qui ne traite que des
contrles gnraux. Le lien entre la typologie des contrles et CobiT est le suivant :
Contrles gnraux :
contrles de pilotage : domaines pilotage et organisation (PO) et surveillance
(S) ;
contrles dtaills : domaine acquisition et mise en place (AMP) et distribution
et support (DS) ;
Notons au passage que CobiT est dornavant suppos connu des auditeurs internes ds
qu'il s'agit de raliser une mission en milieu informatis. Dans ce cadre, pour se former
une opinion sur l'efficacit des contrles dtaills auditer, l'auditeur doit systmati-
quement prendre en compte le besoin d'apprcier les contrles de pilotage, mme s'ils
sont hors du primtre initial de la mission. Mais tous les contrles de pilotage ne sont
pas pertinents pour une mission donne, il faut donc dployer une dmarche mthodique
pour dterminer les contrles de pilotage pertinents pour la mission raliser, ceux qui
ncessitent de dployer des tests d'audit, et, enfin, leur impact sur l'opinion de l'Audit.
C'est l'objet de la prsente MPA.
1. LE CADRE DE RFRENCE
Vue densemble
Selon la dfinition du COBIT, le terme contrle dsigne lensemble des politiques,
procdures, pratiques et structures organisationnelles conues pour donner lassurance
raisonnable que les objectifs de lentreprise seront atteints et que les vnements non
souhaits seront vits ou dtects et leurs effets corrigs. Pour chaque audit en milieu
informatis, les auditeurs doivent tablir une distinction entre les contrles gnraux qui
concernent lensemble des systmes dinformation et des oprations (contrles de pilo-
tage), et ceux qui sappliquent un niveau plus spcifique (contrles dtaills), de faon
centrer leurs efforts sur les zones risque compte tenu de lobjectif de laudit. Le cadre
de contrle dcrit ci-dessous a pour objet d'assister lauditeur dans cette dmarche.
SEPTEMBRE 2006
31-11
SRIE 2100 - NATURE DU TRAVAIL
titre dexemples de contrles de pilotage, on peut citer les contrles sur les processus
informatiques dfinis dans les domaines Planification et organisation (PO) et
Surveillance (S) du cadre de rfrence COBIT, tels que Dfinir un plan informatique
stratgique (PO1) et Surveiller les processus (S1). Les contrles de pilotage consti-
tuent un sous-ensemble des contrles gnraux, ce sont en fait les contrles gnraux
ddis au management et la supervision des systmes dinformation.
Limpact des contrles de pilotage nest pas limit la fiabilit des contrles dapplica-
tion dans les systmes financiers. Ils influent galement sur la fiabilit des contrles
informatiques dtaills, par exemple dans les domaines suivants :
dveloppement de programmes ;
mise en place de systmes ;
administration de la scurit ;
procdures de sauvegarde.
SEPTEMBRE 2006
31-12
NORMES DE FONCTIONNEMENT
Les liens entre les diffrents types de contrles informatiques sont exposs ci-aprs :
Les contrles sur les systmes d'information regroupent :
d'une part les contrles gnraux, qui comprennent les contrles de pilotage et les
contrles dtaills ;
d'autre part les contrles d'application.
De plus, lauditeur doit tenir compte de limpact des contrles autres que les contrles
informatiques sur le primtre et les procdures daudit.
SEPTEMBRE 2006
31-13
SRIE 2100 - NATURE DU TRAVAIL
Autre exemple : lefficacit des contrles dtaills des systmes d'information concernant
le processus de garantie de la scurit des systmes (rfrence DS5 dans COBIT) est
affecte par la pertinence des contrles de pilotage affrents aux processus suivants :
dfinition de lorganisation et les relations de travail relatives aux systmes d'informa-
tion (rfrence PO4 dans COBIT) ;
communication des objectifs et des orientations de la direction, (rfrence PO6) ;
valuation des risques (rfrence PO9) ;
surveillance des processus (rfrence S1).
Laudit de l'adquation des paramtres de scurit dans un systme (UNIX, Windows NT
ou RACF, par exemple) doit comporter lexamen des politiques de scurit dfinies par la
direction (PO6), de lattribution des responsabilits dans ce domaine (PO4), des proc-
dures dvaluation des risques (PO9) et des procdures de contrle de la conformit aux
politiques de scurit (S1). Lauditeur peut estimer que les paramtres sont adquats,
mme sils ne correspondent aux meilleures pratiques telles quil les conoit, au vu du
risque identifi par la direction et des rgles fixes par celle-ci pour la gestion de ce
niveau de risque. Les recommandations de lauditeur doivent concerner tant la gestion
des risques ou les politiques adoptes (qui ne font pourtant pas explicitement partie du
primtre de la mission) que les paramtres dtaills.
2. PLANIFICATION
SEPTEMBRE 2006
31-14
NORMES DE FONCTIONNEMENT
Contrles pertinents
Les contrles de pilotage pertinents sont ceux qui ont un impact sur les objectifs spci-
fiques daudit fixs pour la mission. Par exemple, lorsque lobjectif de laudit est de
prsenter un rapport sur les contrles relatifs aux modifications apportes une biblio-
thque de programmes, les contrles de pilotage affrents aux politiques de scurit
(PO6) seront pertinents, mais ceux qui concernent la dfinition des orientations techno-
logiques (PO3) peuvent ne pas ltre.
Pour planifier laudit, lauditeur doit recenser, parmi tous les contrles de pilotage, ceux
qui ont un impact sur les objectifs spcifiques de laudit et les inclure dans le primtre
de laudit. Les objectifs de contrle du COBIT pour les rubriques Planification et organi-
sation et Surveillance peuvent aider lauditeur interne identifier les contrles de pilo-
tage pertinents.
Preuves daudit
Il nest pas impratif que les contrles de pilotage soient documents, mais lauditeur
devra recueillir des preuves daudit attestant dun fonctionnement efficace des contrles
pertinents. La section de la prsente MPA, consacre la ralisation des travaux daudit,
contient des indications sur les tests qui peuvent tre effectus.
SEPTEMBRE 2006
31-15
SRIE 2100 - NATURE DU TRAVAIL
4. RAPPORTS
SEPTEMBRE 2006
31-16
NORMES DE FONCTIONNEMENT
MPA 2100-12 :
Externalisation des activits relatives aux systmes dinformation
1. Le responsable de laudit doit sassurer que le service daudit interne dispose ou peut
accder des ressources daudit indpendantes (1) et comptentes pour procder
laudit des activits informatiques sous-traites une autre organisation, et pour va-
luer les risques correspondants.
2. En matire daudit des fournisseurs dinfogrance, les droits du client sont souvent
mal dfinis. Il en va de mme pour les responsabilits en matire daudit de confor-
mit. Il appartient au responsable de laudit et/ou lauditeur dsign cet effet de
dterminer, en coopration avec les services Juridique, Gestion des contrats et/ou tout
autre service comptent, dans quelle mesure le contrat dinfogrance prvoit laudit
du prestataire de services et si les clauses y affrentes sont appropries. Le cas
chant, un spcialiste juridique doit tre consult.
(1) Il y a indpendance si lauditeur na pas t impliqu dans les oprations de planification, de slection
ou de conclusion dun contrat relatives aux activits informatiques sous-traites.
SEPTEMBRE 2006
31-17
SRIE 2100 - NATURE DU TRAVAIL
1. Enqute pralable
Lauditeur doit prendre connaissance de la nature, du calendrier et de ltendue des
services sous-traits. Il doit dterminer les contrles mis en place par lutilisateur des
services afin de rpondre la ncessit pour lentreprise de sassurer que les rles et
responsabilits des tiers sont clairement dfinis et respects, et quils continuent de
rpondre aux besoins (COBIT, objectif de contrle gnral DS2 grer les services
assurs par des tiers ).
Les risques associs aux services sous-traits doivent tre identifis et valus.
Lauditeur doit valuer dans quelle mesure les contrles de lutilisateur des services
donnent une assurance raisonnable que les objectifs de lentreprise seront atteints, et
que les vnements non souhaits seront vits ou dtects et leurs effets corrigs.
2. Planification
Les objectifs de laudit doivent tre fixs dun commun accord avec la direction de
lutilisateur des services avant dtre communiqus au prestataire de services. Tout
changement demand par le prestataire de services doit tre approuv par la direc-
tion de lutilisateur des services.
Lauditeur doit planifier les travaux daudit des systmes dinformation de faon
satisfaire aux normes professionnelles daudit en vigueur, comme si laudit tait
ralis dans lenvironnement de lutilisateur des services.
Ralisation de laudit
SEPTEMBRE 2006
31-18
NORMES DE FONCTIONNEMENT
Rapports
Ds lachvement des travaux daudit, lauditeur doit prsenter un rapport sous une forme
approprie aux destinataires concerns au sein de lorganisation utilisatrice des services.
SEPTEMBRE 2006
31-19
SRIE 2100 - NATURE DU TRAVAIL
Oprations de suivi
Lauditeur doit demander tant lutilisateur des services quau prestataire de services les
informations appropries concernant les observations, conclusions et recommandations
formules prcdemment, comme si laudit avait t ralis dans lenvironnement de
lutilisateur des services. Lauditeur doit dterminer si des mesures correctives appro-
pries ont t mises en uvre dans des dlais adquats par le prestataire de services.
SEPTEMBRE 2006
31-20
NORMES DE FONCTIONNEMENT
MPA 2100-13 :
Incidence des prestataires (1) sur les contrles informatiques dune organisation
(1) Dans cette Modalit Pratique dApplication, le terme prestataire signifie toute entit interne ou externe
fournissant des services lorganisation.
SEPTEMBRE 2006
31-21
SRIE 2100 - NATURE DU TRAVAIL
SEPTEMBRE 2006
31-22
NORMES DE FONCTIONNEMENT
SEPTEMBRE 2006
31-23
SRIE 2100 - NATURE DU TRAVAIL
valuer les risques associs aux services que le prestataire fournit lorganisation,
ses contrles et ses objectifs de contrle ;
dterminer lincidence des contrles mis en place par le prestataire sur la capacit
de lorganisation remplir ses objectifs de contrle ;
confirmer sa comprhension de lenvironnement de contrle, notamment par des
enqutes et des observations directes ainsi que des tests de cheminement sur les
transactions.
Rles et responsabilits
La relation entre lorganisation et un prestataire doit tre formalise par le biais dun
contrat sign. Le contrat est un lment essentiel et contient de nombreuses dispo-
sitions qui rgissent les actions et les responsabilits de chaque partie.
Lauditeur doit examiner le contrat (le cas chant avec laide du conseil juridique de
son organisation) afin de dterminer le rle et les responsabilits du prestataire en ce
qui concerne sa contribution la ralisation des objectifs de contrle de lorgani-
sation.
SEPTEMBRE 2006
31-24
NORMES DE FONCTIONNEMENT
Les recommandations relatives aux modalits dexamen des contrats nentrent pas
dans le champ dapplication de la prsente MPA ; toutefois, la liste ci-aprs contient
des exemples de points examiner :
niveau de service exig du prestataire (que ce soit vis--vis de lorganisation, de ses
partenaires ou des deux) ;
caractre raisonnable des tarifs pratiqus par le prestataire ;
responsabilits en matire de confidentialit des donnes et applications ;
responsabilits au titre des contrles daccs et de ladministration des systmes,
des communications, du systme dexploitation, des programmes utilitaires, des
donnes et des logiciels dapplication ;
suivi des actifs et des donnes et rponses correspondantes (organisation et pres-
tataire) et procdures dmission des rapports (routine, incidents) ;
dispositions concernant la proprit des actifs informationnels, notamment pour les
donnes et les noms de domaine ;
dispositions concernant la proprit des programmes que le prestataire dveloppe
sur mesure pour lorganisation, y compris en ce qui concerne la documentation rela-
tive aux modifications, le code source et les contrats de dpt ;
dispositions concernant la protection des systmes et des donnes, notamment en
matire de sauvegardes et rcupration, dlaboration dun plan de secours et de
redondance ;
clause mentionnant le droit de raliser un audit (y compris, par exemple, la possi-
bilit de rencontrer le personnel du service daudit interne du prestataire et de
revoir leurs documents de travail et leurs rapports daudit) ;
processus de ngociation, de revue et dapprobation des modifications apportes au
contrat et aux documents annexes (tels que les accords dcrivant les services et les
procdures).
Lauditeur doit, au minimum, examiner le contrat afin de dterminer ltendue des
responsabilits acceptes par le prestataire au titre des contrles effectus pour le
compte de lorganisation. Ce processus doit permettre lauditeur dapprcier si les
contrles identifis et le systme de reporting/contrle de conformit sont suffisants,
et dvaluer leur conception et leur efficacit oprationnelle.
Gouvernement dentreprise
Mme lorsque des prestataires sont impliqus, la direction de lorganisation demeure
responsable de la ralisation des objectifs de contrle. Dans le cadre de cette respon-
sabilit, il appartient aux membres de la direction de mettre en place un processus
rgissant la relation avec le prestataire et les performances de ce dernier. Lauditeur
doit identifier et revoir les composantes de ce processus. Il doit notamment examiner
le processus mis en uvre par la direction pour identifier les risques associs au pres-
tataire, les services rendus par celui-ci et la faon dont les membres de la direction
grent la relation entre les deux entits.
SEPTEMBRE 2006
31-25
SRIE 2100 - NATURE DU TRAVAIL
Lexamen du processus de gestion des relations avec les prestataires doit permettre
lauditeur de dterminer notamment si les membres de la direction valuent les pres-
tataires par rapport aux normes ou aux critres de performance mentionns dans le
contrat et, le cas chant, par rapport aux normes fixes par les instances rglemen-
taires. Ce processus doit comporter notamment lexamen des points suivants :
rsultats financiers du prestataire ;
respect des clauses du contrat ;
modification de lenvironnement de contrle selon les recommandations du presta-
taire, de ses auditeurs et/ou des instances rglementaires ;
rsultats des contrles effectus par dautres, notamment par les auditeurs ou les
consultants du prestataire ou par dautres personnes ou organismes ;
existence de contrats dassurance assortis de garanties adquates.
Aspects contractuels
Dans le cadre de la revue des contrles du prestataire, lauditeur doit examiner la rela-
tion contractuelle entre lorganisation et le prestataire, ainsi que lvaluation et les
rapports tablis par le prestataire sur ses contrles.
Certaines clauses du contrat peuvent empcher lauditeur de procder une revue
des contrles dans les locaux du prestataire. Dans ce cas, il appartient lauditeur
dapprcier limpact de cette limitation de primtre sur sa capacit valuer lenvi-
ronnement de contrle des systmes dinformation.
Rapports indpendants
Les prestataires peuvent fournir sur leurs contrles des rapports manant de sources
indpendantes. Ces rapports peuvent prendre la forme de rapports daudit mis par
une socit de traitement faon ou dautres rapports tablis suite des contrles.
Les auditeurs peuvent se servir de ces rapports afin de sappuyer sur les contrles
relatifs lenvironnement de contrle des systmes dinformation.
Si lauditeur dcide dutiliser un rapport indpendant pour sappuyer sur les contrles
des systmes dinformation en place chez le prestataire, il doit alors examiner ce
rapport et vrifier les points suivants :
la partie indpendante est comptente ; cette vrification peut consister dter-
miner si cette partie est titulaire dune licence ou dun agrment professionnel
appropri, si elle possde une exprience adapte et si elle jouit dune bonne rpu-
tation auprs des instances professionnelles et (le cas chant) rglementaires ;
la partie indpendante nentretient avec le prestataire aucune relation de nature
altrer son indpendance et son objectivit ;
SEPTEMBRE 2006
31-26
NORMES DE FONCTIONNEMENT
SEPTEMBRE 2006
31-27
SRIE 2100 - NATURE DU TRAVAIL
Lauditeur doit vrifier si le prestataire fait appel des sous-traitants pour la fourni-
ture de systmes et de services. En cas de recours des sous-traitants, lauditeur doit
examiner limportance de ces derniers, de faon dterminer leur impact ventuel
sur les contrles du prestataire qui ont un rapport avec lorganisation.
Si le sous-traitant na pas dimpact significatif sur les contrles applicables lorga-
nisation, lauditeur doit documenter ce point dans ses documents de travail. Sil est
tabli que limpact sur les contrles applicables lorganisation est significatif, lau-
diteur doit valuer les processus mis en uvre par le prestataire pour grer la relation
avec le sous-traitant et en effectuer le suivi. Lauditeur doit se rfrer aux sections 4
et 5 de la prsente MPA pour procder cette valuation.
7. RAPPORTS
Le rapport de lauditeur doit indiquer que laudit a port tant sur les contrles effec-
tus au sein de lorganisation que sur ceux mis en place par le prestataire. Lauditeur
doit envisager didentifier les contrles, les faiblesses et les contrles compensatoires
qui existent de part et dautre. La liste de diffusion des conclusions et des recom-
mandations doit tre tablie en tenant compte de la relation entre lorganisation et le
prestataire. Il peut savrer que certains prestataires ne soient pas disposs mettre
en uvre les recommandations ou ne soient pas en mesure de le faire. Dans ce cas,
lauditeur doit recommander des contrles compensatoires que lorganisation pourra
mettre en place pour remdier aux lacunes constates chez le prestataire.
SEPTEMBRE 2006
31-28
NORMES DE FONCTIONNEMENT
MPA 2100-14 :
Preuves daudit rassembler
1. PLANIFICATION
SEPTEMBRE 2006
31-29
SRIE 2100 - NATURE DU TRAVAIL
Les documents sur support papier ou sur tout autre support comprennent notam-
ment :
les rsultats dextractions de donnes,
les enregistrements relatifs aux transactions,
les tats dits partir de programmes informatiques,
les factures,
les journaux dactivit et de contrle,
la documentation relative au dveloppement des systmes.
Les informations recueillies auprs des personnes audites peuvent servir de preuves
daudit et revtir la forme suivante :
politiques et procdures crites,
organigrammes des systmes,
dclarations crites ou orales.
Les rsultats de lanalyse des informations recueillies, par le biais de comparaisons,
simulations, calculs et raisonnements, peuvent galement servir de preuves daudit.
On peut citer titre dexemple :
lanalyse comparative des performances des systmes dinformation par rapport
dautres organisations ou aux priodes prcdentes,
la comparaison des taux derreur entre les applications, les transactions et les uti-
lisateurs.
SEPTEMBRE 2006
31-30
NORMES DE FONCTIONNEMENT
SEPTEMBRE 2006
31-31
SRIE 2100 - NATURE DU TRAVAIL
il peut arriver que les enregistrements dtaills relatifs aux transactions ne soient
disponibles que sous un format lisible par une machine ; lauditeur doit alors recou-
rir aux techniques daudit assistes par ordinateur pour obtenir des preuves daudit.
Documentation de laudit
Les preuves daudit recueillies par lauditeur doivent tre correctement documentes
et structures de faon tayer ses observations et ses conclusions.
3. RAPPORTS
Lorsque lauditeur estime quil nest pas possible dobtenir des preuves daudit suffi-
santes, il doit en faire tat selon des modalits cohrentes avec celles adoptes pour
la communication des rsultats de laudit.
SEPTEMBRE 2006
31-32
NORMES DE FONCTIONNEMENT
2110
MPA 2110-1
valuer le processus de management des risques
1. La gestion des risques est une responsabilit majeure du management qui doit sas-
surer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement de
processus rigoureux de management des risques. Il incombe au Conseil et au comit
daudit de veiller ce que des processus de management des risques appropris, suffi-
sants et efficaces soient en uvre. Le rle des auditeurs internes consiste assister
le management et le comit daudit. A cet effet, ils doivent examiner et valuer les
processus de management des risques mis en uvre par le management, vrifier
quils sont suffisants et efficaces, puis mettre des rapports et des recommandations
en vue de leur amlioration. Le management et le Conseil sont responsables des pro-
cessus de management des risques et de contrle de leur organisation. Toutefois, les
auditeurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisa-
tion identifier, valuer et mettre en place un dispositif de management des
risques et des contrles permettant de matriser ces risques.
OCTOBRE 2002
32
SRIE 2100 - NATURE DU TRAVAIL
3. Chaque organisation peut adopter une mthodologie qui lui est propre pour la mise
en place dun processus de management des risques. Lauditeur interne doit sassurer
que les groupes ou individus impliqus dans le gouvernement d'entreprise, y
compris le Conseil et le comit daudit, matrisent cette mthodologie. Pour formuler
une opinion globale sur ladquation du dispositif de management des risques, les
auditeurs internes doivent galement sassurer que le processus de management des
risques de lorganisation rpond cinq objectifs principaux. Les cinq principaux
objectifs dun dispositif de management des risques sont les suivants :
les risques dcoulant des stratgies et des activits de lorganisation sont identifis
et hirarchiss ;
le management et le Conseil ont dtermin un niveau de risques acceptable pour
lorganisation, en tenant compte des risques lis la mise en uvre des plans stra-
tgiques de lorganisation ;
des mesures dattnuation des risques sont dfinies et mises en place afin de
rduire ou de grer les risques, compte tenu des seuils jugs acceptables par le
management et le Conseil ;
un suivi permanent des activits est effectu afin de rvaluer priodiquement les
risques et lefficacit des contrles permettant de les grer ;
des rapports concernant les rsultats des processus de management des risques
sont adresss priodiquement au Conseil et au management. Le processus de gou-
vernement d'entreprise doit fournir une prsentation priodique des risques, des
stratgies lies aux risques, et des contrles, destine aux parties prenantes de
lorganisation.
4. Les auditeurs internes doivent tenir compte des divergences significatives qui peuvent
exister sur les techniques de management des risques dune organisation l'autre.
Les processus de management des risques doivent tre conus en fonction de la
nature des activits de lorganisation. Selon limportance et la complexit de ces acti-
vits, les processus de management des risques peuvent tre :
formaliss ou informels ;
fonds sur une approche quantitative ou subjective ;
intgrs dans les diffrentes units de lorganisation ou centraliss au niveau du
sige.
OCTOBRE 2002
33
NORMES DE FONCTIONNEMENT
OCTOBRE 2002
34
SRIE 2100 - NATURE DU TRAVAIL
MPA 2110-2
Le rle de lAudit interne dans le processus de continuit des oprations
JUIN 2004
35
NORMES DE FONCTIONNEMENT
4. Lexistence dun plan de continuit des oprations complet et jour est capitale en
vue dassurer la reprise dactivit. Les auditeurs internes peuvent y jouer un rle.
Laudit interne peut (a) contribuer lanalyse des risques, (b) valuer le contenu et le
caractre exhaustif du plan aprs son laboration, et (c) accomplir des missions
dassurance priodiques afin de vrifier que le plan est mis jour.
PLANIFICATION
5. Les organisations sappuient sur les auditeurs internes pour analyser les oprations et
valuer les processus de management des risques et de contrle. Les auditeurs inter-
nes acquirent une bonne comprhension de lensemble des activits dexploitation,
des fonctions individuelles et des liens qui existent entre elles. Ceci fait de laudit
interne une ressource prcieuse pour valuer le plan de continuit des oprations tout
du long de son laboration.
6. Lactivit daudit interne peut aider valuer lenvironnement interne et externe dune
organisation. Les facteurs internes susceptibles dtre pris en compte incluent le
renouvellement de lquipe de direction, les changements apports aux systmes
dinformation, les contrles, ainsi que les principaux projets et programmes. Les fac-
teurs externes peuvent tre lvolution du cadre rglementaire et de lenvironnement
extrieur, des marchs et des conditions de concurrence, de la situation conomique
et financire internationale et des technologies. Les auditeurs internes peuvent aider
identifier les risques lis aux activits critiques et tablir un ordre de priorit entre
les fonctions en vue de la reprise.
VALUATION
7. Les auditeurs internes peuvent apporter une contribution en tant que participants
objectifs, en valuant la conception, le caractre exhaustif et adquat des projets de
plans de continuit des oprations et de reprise aprs sinistre. Lauditeur peut exa-
miner ces plans afin de vrifier quils reprennent les activits identifies au cours du
JUIN 2004
36
SRIE 2100 - NATURE DU TRAVAIL
processus dvaluation des risques et quils contiennent des dispositions et des pres-
criptions suffisantes en termes de contrle interne. Grce sa connaissance appro-
fondie des activits et des applications de lorganisation, lauditeur interne peut
contribuer la phase dlaboration du plan de continuit des oprations en valuant
sa structure, son caractre exhaustif, ainsi que les mesures recommandes pour grer
les risques et maintenir un contrle interne efficace durant une priode de reprise.
8. Les auditeurs internes doivent procder priodiquement un audit des plans de conti-
nuit et de reprise des oprations de lorganisation. Lobjectif de cet audit est de vri-
fier que les plans permettront dassurer rapidement la reprise des activits et des pro-
cessus aprs des circonstances dfavorables, et quils refltent lenvironnement op-
rationnel actuel de lorganisation.
9. Le plan de continuit et le plan de reprise des oprations peuvent devenir trs rapi-
dement obsoltes. Ladaptation aux changements est un aspect incontournable des
fonctions de management. La rotation des dirigeants et des cadres, les changements
dans la configuration des systmes, dans les interfaces et les logiciels, peuvent avoir
un impact important sur ces plans. Laudit interne doit examiner le plan de reprise et
sassurer (a) quil est structur de faon incorporer les changements importants sus-
ceptibles de se produire au fil du temps et (b) que les plans rviss seront commu-
niqus aux personnes appropries, tant au sein de lorganisation qu lextrieur de
celle-ci.
10. Au cours de laudit, les auditeurs internes doivent se poser les questions suivantes :
Tous les plans sont-ils actualiss ? Existe-t-il des procdures concernant la mise
jour des plans ?
Les plans couvrent-ils toutes les fonctions oprationnelles et tous les systmes
critiques ? En cas de rponse ngative, ces omissions sont-elles motives et docu-
mentes ?
Les plans sont-ils fonds sur les risques et les consquences ventuelles des inter-
ruptions dactivit ?
Les plans sont-ils parfaitement documents et sont-ils conformes aux rgles et pro-
cdures de lorganisation ? Les responsabilits fonctionnelles sont-elles dfinies ?
Lorganisation est-elle capable de mettre les plans en uvre ? Y est-elle prpare ?
Les plans sont-ils tests et rviss en fonction des rsultats des tests ?
Les plans sont-ils conservs de faon sre et approprie ? La localisation des plans
et leur mode daccs sont-ils connus du management ?
JUIN 2004
37
NORMES DE FONCTIONNEMENT
11. Les auditeurs internes ont un rle important jouer juste aprs la survenance dun
sinistre. Une organisation est plus vulnrable lorsquelle tente de se redresser la
suite dun sinistre. Durant cette priode, les auditeurs internes doivent sassurer que
la reprise et la matrise des oprations sont effectives. Laudit interne doit identifier
les domaines dans lesquels les contrles internes et les mesures dattnuation des
risques doivent tre amliors. Ils doivent formuler des recommandations en vue
damliorer le plan de continuit des oprations de lentit. Laudit interne peut ga-
lement apporter un soutien durant les oprations de reprise.
12. Aprs le sinistre, gnralement en lespace de plusieurs mois, les auditeurs internes
peuvent aider tirer les enseignements du sinistre et des oprations de reprise. Ces
observations et ces recommandations peuvent renforcer les mesures prises pour
reconstituer les ressources et mettre jour la prochaine version du plan de continuit
des oprations.
13. En dfinitive, cest la direction gnrale qui dterminera le degr dimplication des
auditeurs internes dans les processus de continuit et de reprise des oprations
compte tenu de leurs connaissances, de leurs comptences, de leur indpendance et
de leur objectivit.
JUIN 2004
38
SRIE 2100 - NATURE DU TRAVAIL
2120
Contrle
L'audit interne doit aider l'organisation maintenir
un dispositif de contrle appropri en valuant son efficacit
et son efficience et en encourageant son amlioration continue.
2120.A1
MPA 2120.A1-1
valuer les processus de contrle interne et en rendre compte
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
pour valuer lefficacit du dispositif de contrle dune organisation et pour rendre
compte des rsultats de cette valuation la direction gnrale et au Conseil. Les infor-
mations recueillies au cours de lexercice, dans le cadre des travaux daudit, doivent
tre suffisantes pour permettre lvaluation du dispositif de contrle et la formulation
dune opinion.
JUIN 2004
39
NORMES DE FONCTIONNEMENT
JUIN 2004
40
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
41
NORMES DE FONCTIONNEMENT
10. Les membres de la direction gnrale et du Conseil sont les principaux destinataires
du rapport annuel. tant donn quils ont une approche diffrente de laudit et de
lactivit, le rapport annuel du responsable de l'audit interne doit tre clair, concis et
bien document. Il doit tre conu et rdig de faon en faciliter la lecture et
rpondre aux besoins dinformations des destinataires. La valeur de ce rapport sera
encore accrue sil est centr sur les principaux risques et sil comporte les principales
recommandations et amliorations proposes, ainsi que des informations sur des
questions dactualit (risques lis aux technologies et la scurit de linformation
par exemple), sur le type danomalies ou de faiblesses constates par entit, et sur
les difficults que peut soulever le respect des lois ou des rglementations.
11. Il existe manifestement un dcalage au niveau des attentes engendres par les
travaux de laudit interne en matire dvaluation et dassurance de ltat des pro-
cessus de management des risques et de contrle. Ce dcalage concerne notamment
les aspirations du manager et du Conseil qui, en rgle gnrale, sattendent des
prestations daudit interne forte valeur ajoute, et celles plus modestes de laudi-
teur interne qui a connaissance des limites apportes en pratique au champ dinter-
vention de laudit et qui nest pas tout fait certain davoir runi des preuves suffi-
santes pour justifier un jugement clair et objectif. Le responsable de l'audit interne
doit prter attention au dcalage qui peut exister entre les prsupposs du lecteur du
rapport et la ralit de lexercice coul. Il doit utiliser ce rapport comme une autre
faon de s'adresser diffrentes sensibilits et de suggrer une amlioration des
capacits de laudit interne ou la rduction des contraintes qui nuisent son effica-
cit.
JUIN 2004
42
SRIE 2100 - NATURE DU TRAVAIL
MPA 2120.A1-2
Utiliser lauto-valuation des contrles pour valuer
la pertinence des processus de contrle
2. La mise en uvre dune approche fonde notamment sur des enqutes dauto-va-
luation et sur lanimation dateliers (CSA ou Auto-Evaluation des contrles) constitue
pour les managers et les auditeurs internes un moyen utile et efficace de collaborer
lvaluation des procdures de contrle. En principe, la prise en compte des objec-
tifs et des risques fait partie intgrante de lauto-valuation des contrles (CSA), qui
est parfois dsigne par lexpression auto-valuation des contrles et des risques
(CRSA). Les professionnels ont recours diffrentes techniques, mais la plupart des
programmes mis en place prsentent certaines caractristiques et certains objectifs
communs. Une organisation qui pratique lauto-valuation dispose dun processus for-
malis et document grce auquel le management et les groupes de travail qui sont
directement impliqus dans une unit oprationnelle, une fonction ou un processus,
peuvent participer de faon structure aux oprations suivantes :
identification des risques encourus ;
valuation des processus de contrle permettant dattnuer ou de grer ces risques ;
laboration de plans dactions visant ramener les risques des niveaux acceptables ;
estimation de la probabilit pour que les objectifs de lorganisation soient atteints.
OCTOBRE 2002
43
NORMES DE FONCTIONNEMENT
OCTOBRE 2002
44
SRIE 2100 - NATURE DU TRAVAIL
6. Les ateliers rassemblent les informations collectes par des groupes de travail qui
reprsentent, diffrents niveaux, lunit ou la fonction concerne. Latelier peut tre
centr sur les objectifs, les risques, les contrles ou les processus.
Les ateliers centrs sur les objectifs recherchent en priorit le meilleur moyen de
raliser un objectif de lorganisation. Le groupe commence par identifier les contrles
en place qui concourent la ralisation de lobjectif, puis il dtermine les risques
rsiduels. Le but de latelier est dapprcier si les procdures de contrle sont effi-
caces et si elles permettent de maintenir les risques rsiduels un niveau accep-
table.
Les ateliers centrs sur les risques sefforcent en priorit didentifier les risques lis
la ralisation dun objectif. Le groupe commence par dresser la liste de tous les
obstacles, menaces et risques susceptibles dempcher la ralisation dun objectif,
puis il examine les procdures de contrle et vrifie si elles sont suffisantes pour
grer les principaux risques. Le but de latelier est de dterminer les risques rsi-
duels significatifs. Ce type datelier porte sur lintgralit de la chane objectifs-
risques-contrles.
Les ateliers centrs sur les contrles recherchent en priorit si les contrles en place
fonctionnent bien. Ce type datelier diffre des deux premiers car lanimateur iden-
tifie les principaux risques et contrles avant le dbut de latelier. Durant latelier,
le groupe de travail apprcie dans quelle mesure les contrles contribuent latt-
nuation des risques et la ralisation des objectifs. Le but de latelier est danaly-
ser lcart entre lefficacit relle des contrles et lefficacit attendue par le mana-
gement.
Les ateliers centrs sur les processus portent en priorit sur certaines activits qui
font partie dun ensemble de processus. Les processus consistent gnralement en
une srie dactivits qui sont lies et qui se droulent du dbut jusqu la fin, telles
que les diverses tapes dun cycle achats, dveloppement de produits ou gnration
de revenus. Ce type datelier couvre gnralement lidentification des objectifs de
lensemble du processus et les diverses tapes intermdiaires. Le but de cet atelier
est dvaluer, actualiser, valider, amliorer et mme de rationaliser lensemble du
processus et les activits qui le composent. Ce type datelier peut dboucher sur
une analyse plus large que lapproche centre sur les contrles car il couvre plu-
sieurs objectifs du processus et soutient les efforts effectus par ailleurs par le
management dans le cadre doprations telles que reengineering, amlioration qua-
lit, et projets damlioration continue des processus.
7. Les enqutes sont ralises laide dun questionnaire auquel il faut gnralement
rpondre par oui ou par non, les questions tant rdiges avec soin de faon en faci-
liter la comprhension. Les enqutes sont frquemment utilises lorsque les personnes
consulter sont trop nombreuses ou trop disperses pour participer un atelier. Elles
sont galement privilgies lorsque la culture de lorganisation nest pas trs propice
OCTOBRE 2002
45
NORMES DE FONCTIONNEMENT
OCTOBRE 2002
46
SRIE 2100 - NATURE DU TRAVAIL
12. Lexistence dun programme dauto-valuation des contrles renforce le rle tradi-
tionnel de laudit interne car il lui permet dassister le management dans lexercice
de ses responsabilits, notamment en ce qui concerne la mise en place et le main-
tien des processus de management des risques et de contrle, et lvaluation du sys-
tme. Dans le cadre dun tel programme, laudit interne, les units oprationnelles et
les fonctions cooprent en vue damliorer la qualit des informations relatives au
fonctionnement des processus de contrle et limportance des risques rsiduels.
13. Bien quil participe au programme dauto-valuation des contrles en qualit dani-
mateur et dexpert, laudit interne constate souvent que ce programme lui permet de
rduire les efforts ncessaires pour recueillir des informations sur les procdures de
contrle et dliminer certains tests. Un programme dauto-valuation doit avoir pour
effet dlargir le champ de lvaluation des processus de contrle travers lorgani-
sation, damliorer la qualit des mesures correctives prises par les responsables des
processus, et de centrer les travaux de laudit interne sur lexamen des processus
haut risque et des situations inhabituelles. Il peut alors sattacher valider les
conclusions qui remontent du programme dauto-valuation, dresser la synthse des
informations provenant des diverses composantes de lorganisation et formuler,
lattention de la direction gnrale et du comit d'audit, une opinion densemble sur
lefficacit des contrles.
MPA 2120.A1-3
Le rle de laudit interne en matire de reporting financier trimestriel,
de publication des informations et de certifications par les dirigeants
JUIN 2004
47
NORMES DE FONCTIONNEMENT
1. La solidit des marchs financiers repose sur la confiance des investisseurs. Des all-
gations de mfaits commis par des dirigeants de socits, des commissaires aux
comptes et dautres acteurs du march, ont branl cette confiance. Face cela, le
Congrs des tats-Unis ainsi quun nombre croissant dorganes lgislatifs et dins-
tances rglementaires dautres pays ont adopt une lgislation et une rglementation
concernant la publication des informations et des rapports financiers par les socits.
2. Le SOA oblige les entreprises mettre en place des processus pour permettre aux
cadres dirigeants dacqurir lassurance ncessaire pour certifier personnellement les
informations publies. Lune des composantes essentielles du processus de certifica-
tion rside dans le management des risques et dans les contrles internes relatifs
lenregistrement et la synthse des informations financires.
JUIN 2004
48
SRIE 2100 - NATURE DU TRAVAIL
quen outre :
ils sont responsables, pour la socit mettrice, de la mise en place et de la mise
jour des procdures et des contrles en matire de publication des informations
( disclosure controls and procedures , cette nouvelle expression reprenant le
concept mentionn larticle 302 (a) (4) de la loi) ;
ils ont conu ces procdures et ces contrles afin dassurer que les informations
significatives sont portes leur connaissance, en particulier au cours de la
priode durant laquelle le rapport priodique est tabli ;
ils ont valu, au cours de la priode de 90 jours prcdant la date de dpt du
rapport, lefficacit des procdures et des contrles de la socit mettrice en
matire de publication des informations ;
et ils ont prsent dans le rapport leurs conclusions concernant lefficacit de ces
procdures et de ces contrles, en se fondant sur lvaluation requise cette
date.
quils ont inform les auditeurs et le comit daudit du Conseil dadministration de
la socit mettrice (ou les personnes exerant une fonction quivalente) :
de toute lacune et faiblesse significatives dans la conception ou le fonctionne-
ment des contrles internes (expression dj utilise par le pass pour dsigner
les contrles internes relatifs aux rapports financiers) susceptible daltrer la
capacit de la socit mettrice enregistrer, traiter, synthtiser et diffuser des
informations financires, et ont identifi, pour les auditeurs de la socit met-
trice, toute faiblesse significative des contrles internes ;
de toute fraude, significative ou non, dans laquelle seraient impliqus des
cadres dirigeants ou dautres employs exerant dans la socit mettrice un rle
important en matire de contrle interne ;
de lexistence (ou de labsence) de modifications importantes apportes au dispo-
sitif de contrle interne ou tout autre facteur susceptible daffecter de manire
significative ce dispositif aprs son valuation, y compris les mesures correctrices
concernant les lacunes et faiblesses importantes dtectes.
JUIN 2004
49
NORMES DE FONCTIONNEMENT
JUIN 2004
50
SRIE 2100 - NATURE DU TRAVAIL
f. Les auditeurs internes doivent formuler des recommandations et proposer des am-
liorations sur les rgles, procdures et le processus trimestriel de reporting et de
publication des informations en sappuyant sur lvaluation des activits concer-
nes. Les meilleures pratiques recommandes pour ces activits peuvent compor-
ter la totalit ou une partie des procdures et des lments suivants, selon le pro-
cessus propre chaque organisation :
rgles, procdures, contrles et rapports de contrle dment documents ;
check-list trimestrielle des procdures et lments cls des contrles ;
rapports de contrle standardiss sur les principaux contrles relatifs la publi-
cation dinformations ;
auto-valuations du management (notamment des auto-valuations des contrles
ou CSA) ;
approbations ou lettres de dclaration des managers cls ;
examen des projets de documents rglementaires avant leur prsentation ;
description du processus de documentation des sources des donnes sous-jacentes
aux documents rglementaires, des contrles cls et des responsables de ces
donnes ;
suivi des points prcdemment mentionns et non rsolus ;
examen des rapports daudit interne mis au cours de la priode ;
examens ponctuels ou cibls des points complexes, problmes ou prsentant
un niveau de risque lev, notamment des estimations comptables significatives,
des valuations de provisions, des postes hors bilan, des principales filiales, des
joint-ventures et des entits cres dans un but spcial ;
examen du processus de clture des tats financiers et des critures de rgula-
risation correspondantes, y compris les ajustements volontairement non compta-
biliss ;
confrences tlphoniques avec les principaux managers des tablissements
loigns, de faon assurer la prise en compte et la participation des compo-
santes majeures de lorganisation ;
examen des litiges ventuels ou en suspens et des dettes ventuelles ;
le rapport sur le contrle interne, mis par le responsable de laudit interne au
minimum une fois par an et si possible tous les trimestres ;
des runions rgulires du disclosure committee et du comit daudit.
g. Les auditeurs internes doivent procder une comparaison entre les processus mis
en uvre en application de la section 302 du Sarbanes-Oxley Act (reporting finan-
cier trimestriel et publication des informations), et les procdures mises en place
JUIN 2004
51
NORMES DE FONCTIONNEMENT
conformment la section 404, relatif aux valuations annuelles par les dirigeants
et leur rapport sur le contrle interne. Lorganisation de processus similaires ou
compatibles contribuera une meilleure efficacit oprationnelle et rduira la pro-
babilit ou le risque de voir apparatre des problmes et des erreurs ou de ne pas
les dtecter. Si les processus et les procdures peuvent tre similaires, le rle de
lauditeur interne, en revanche, est susceptible de varier. Dans certaines organisa-
tions, les travaux des auditeurs internes servent de support aux dclarations des
cadres dirigeants sur le contrle interne, tandis que dans dautres organisations, les
auditeurs internes peuvent tre appels examiner lvaluation effectue par les
dirigeants.
La nature des travaux daudit interne, et lusage qui en est fait, peuvent affecter
lexploitation de ces travaux par lauditeur externe ou le degr de confiance quil
leur attribue. Les auditeurs internes doivent sassurer que la mission de tous les
participants est clairement dfinie et que leurs activits sont coordonnes et
dtermines dun commun accord avec les cadres dirigeants et les auditeurs
externes.
Dans les organisations o les dirigeants se fondent sur leur propre valuation des
contrles pour formuler une opinion, les auditeurs internes doivent procder un
examen de cette valuation et des documents justificatifs.
JUIN 2004
52
SRIE 2100 - NATURE DU TRAVAIL
Art. 122 :
Les personnes morales faisant appel public lpargne rendent publiques les
informations (relatives aux procdures de contrle interne) dans les conditions
fixes par le rglement gnral de lAutorit des Marchs Financiers. Celle-ci
tablit, chaque anne, un rapport sur la base de ces informations .
JUIN 2004
53
NORMES DE FONCTIONNEMENT
Sagissant des filiales non cotes et contrles 100 %, leur rapport pour-
rait tre succinct et signaler simplement quelles appliquent les procdures
dcrites par leur socit mre. (doc. AFEP/MEDEF)
JUIN 2004
54
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
55
NORMES DE FONCTIONNEMENT
JUIN 2004
56
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
57
NORMES DE FONCTIONNEMENT
JUIN 2004
58
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
59
NORMES DE FONCTIONNEMENT
MPA 2120.A1-4
Audit du processus de reporting financier
La prsente MPA explore le rle et les responsabilits de laudit interne dans le proces-
sus de reporting financier dune organisation. Les rles respectifs de la direction gn-
rale, des auditeurs externes et des auditeurs internes sont les suivants :
La direction gnrale est responsable de lenvironnement de contrle et de linforma-
tion financire, y compris les notes annexes aux tats financiers et les informations
publies dans le rapport financier.
Lauditeur externe certifie au lecteur du rapport financier que les informations quil
contient donnent une image fidle de la situation financire et des rsultats de
lorganisation en conformit avec les principes comptables gnralement admis.
Lauditeur interne met en uvre des procdures afin de donner la direction gnrale
et au comit daudit (ou un autre comit) du Conseil, un degr dassurance quant
lefficacit des contrles affrents aux processus dlaboration du rapport financier.
La MPA 2060-2, intitule Relations avec le comit daudit , traite des liens et inter-
actions entre lauditeur interne et le comit daudit. La MPA 2120.A1-1 valuer les
JUIN 2004
60
SRIE 2100 - NATURE DU TRAVAIL
processus de contrle interne et en rendre compte traite des lments probants nces-
saires en vue de lvaluation dun systme de contrle interne et de la formulation dune
opinion. La MPA 2120.A1-3, intitule Le rle de laudit interne en matire de repor-
ting financier trimestriel, de publication des informations et de certifications par les
dirigeants , contient des recommandations concernant les exigences du Sarbanes-
Oxley Act aux tats-Unis et de la rglementation annexe de la SEC (Securities and
Exchange Commission) ainsi que des considrations sur la Loi de Scurit Financire
franaise du 1er aot 2003, rajoutes par lIFACI. La prsente MPA met laccent sur les
relations que lauditeur interne entretient avec la direction gnrale et lauditeur externe
dans le cadre du processus de reporting financier.
1. Les rapports sur les checs du processus de gouvernement dentreprise publis aux
tats-Unis et dans dautres pays, soulignent la ncessit dintroduire des change-
ments afin de renforcer la responsabilit et la transparence dans toutes les organisa-
tions but lucratif, but non lucratif, et publiques. La direction gnrale, le Conseil
dadministration, les auditeurs internes et les auditeurs externes sont les piliers sur
lesquels repose un gouvernement dentreprise efficace. Laudit interne joue cet
gard un rle cl ; par sa position unique, il peut contribuer amliorer le fonction-
nement dune organisation en valuant et en renforant lefficacit des processus de
management des risques, de contrle et de gouvernement dentreprise. Les initiatives
rcentes ont mis en vidence la ncessit de rendre la direction gnrale plus respon-
sable des informations contenues dans les rapports financiers dune organisation. La
direction gnrale et le comit daudit de bon nombre dorganisations demandent
laudit interne de fournir des prestations supplmentaires afin damliorer les pro-
cessus de gouvernement dentreprise et de reporting financier. Ces demandes portent
notamment sur lvaluation des contrles internes affrents aux rapports financiers de
lorganisation et sur lvaluation de la fiabilit et de lintgrit de ses rapports finan-
ciers.
JUIN 2004
61
NORMES DE FONCTIONNEMENT
JUIN 2004
62
SRIE 2100 - NATURE DU TRAVAIL
JUIN 2004
63
NORMES DE FONCTIONNEMENT
JUIN 2004
64
SRIE 2100 - NATURE DU TRAVAIL
10. La liste suivante propose des sujets que le responsable de laudit interne pourra exa-
miner, dans le cadre du soutien apport au processus de gouvernement dentreprise
de lorganisation et aux fonctions de supervision du Conseil ou organe dlibrant et
de son comit daudit (ou de tout autre comit) afin dassurer la fiabilit et lintgrit
des rapports financiers.
(a) Reporting financier
apport dinformations concernant la dsignation des experts-comptables ind-
pendants ;
coordination des plans daudit, de la couverture des travaux et du calendrier
daudit avec les auditeurs externes ;
discussion des rsultats des audits avec les auditeurs externes ;
change dobservations pertinentes avec les auditeurs externes et le comit
daudit sur les procdures et mthodes comptables, sur les dcisions prises dans
ce domaine (notamment celles concernant les lments discrtionnaires et les
oprations hors bilan), sur certains aspects du processus de reporting financier,
ainsi que sur les oprations et les vnements financiers inhabituels ou
complexes (par exemple oprations entre parties lies, fusions et acquisitions,
joint-ventures, et transactions conclues dans le cadre de partenariats) ;
participation au processus dexamen des rapports financiers et de linformation
financire avec le comit daudit, les auditeurs externes et la direction gnrale ;
valuation de la qualit des rapports financiers, notamment de ceux qui sont
dposs auprs dinstances rglementaires ;
JUIN 2004
65
NORMES DE FONCTIONNEMENT
JUIN 2004
66
SRIE 2100 - NATURE DU TRAVAIL
2120.A4
MPA 2120.A4-1
Critres de contrle
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils valuent les critres de contrle. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
3. Une fois le niveau de risque prcis, les contrles en place peuvent tre valus : on
peut alors estimer leur capacit ramener les risques au niveau souhait.
JUIN 2004
67
NORMES DE FONCTIONNEMENT
2130
Gouvernement dentreprise
L'audit interne doit valuer le processus de gouvernement dentreprise et formuler
les recommandations appropries en vue de son amlioration. cet effet,
il dtermine si le processus rpond aux objectifs suivants :
promouvoir des rgles dthique et des valeurs appropries au sein de lorganisa-
tion ;
garantir une gestion efficace des performances de lorganisation, assortie dune
obligation de rendre compte ;
bien communiquer aux services concerns au sein de lorganisation les informa-
tions relatives aux risques et aux contrles ;
fournir une information adquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination efficace de leurs activits.
2130.A1
MPA 2130-1
Le rle de laudit interne et de lauditeur interne en terme de culture thique
Les auditeurs internes doivent tenir compte des points suivants pour dfinir leur rle
en matire de culture thique au sein dune organisation. Ce rle varie selon quil existe
ou non une culture thique dans lorganisation et selon son degr de dveloppement.
La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre
pour raliser une mission complte dassurance ou de conseil sur la culture dune orga-
nisation en matire dthique.
Le respect des Modalits Pratiques dApplication est facultatif.
JUIN 2004
68
SRIE 2100 - NATURE DU TRAVAIL
Les moyens mis en uvre par une organisation pour remplir ces quatre objectifs cor-
respondent ce que lon dsigne gnralement par lexpression processus de gouver-
nement dentreprise. Lefficacit du gouvernement dentreprise relve de la responsa-
bilit de lorgane dlibrant de lorganisation (tels que Conseil ou comit de direction)
et de la direction gnrale.
4. Toutes les personnes lies lorganisation sont dans une certaine mesure responsa-
bles de sa culture thique. tant donn la complexit et la dispersion des processus
de dcision dans la plupart des organisations, chacun doit tre encourag promou-
voir et dfendre lthique, que ce rle lui soit dlgu officiellement ou de faon infor-
melle. Les codes de conduite, ainsi que les rapports sur la stratgie et les politiques
de lorganisation, constituent dimportantes dclarations dans lesquelles lorganisa-
tion prcise ses valeurs et ses buts, le comportement attendu de son personnel et les
stratgies adoptes pour instaurer une culture cohrente avec les responsabilits qui
OCTOBRE 2002
69
NORMES DE FONCTIONNEMENT
lui incombent sur le plan juridique, sur celui de lthique et vis--vis de la socit
civile. Un nombre croissant dorganisations ont dsign un responsable de lthique
charg de conseiller la direction gnrale, les cadres et les autres membres du per-
sonnel et de montrer lexemple au sein de lorganisation.
OCTOBRE 2002
70
SRIE 2100 - NATURE DU TRAVAIL
OCTOBRE 2002
71
MPA SRIE 2200
Planification de la mission
2200 PLANIFICATION DE LA MISSION
2201
les risques significatifs lis lactivit, ses objectifs, les ressources mises en uvre et
ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu un niveau acceptable ;
la pertinence et l'efficacit des systmes de management des risques et de contrle de
lactivit en rfrence un cadre ou modle de contrle appropri ;
les opportunits damliorer de manire significative les systmes de management des
risques et de contrle de lactivit.
2201.A1
Lorsquils planifient une mission pour des tiers extrieurs lorganisation, les auditeurs internes
doivent laborer avec eux un accord crit sur les objectifs et le champ de la mission, les respon-
sabilits et les attentes respectives, et prciser les restrictions observer en matire de diffusion
des rsultats de la mission et daccs aux dossiers.
JUIN 2004 3
NORMES DE FONCTIONNEMENT
MPA 2200-1
Planification de la mission
3. D'autres exigences telles que la dure de la mission et les dates estimes de sa ralisa-
tion, devront tre dtermines. La structure du rapport d'audit final devra tre envisa-
ge, puisqu'une planification correcte ce stade facilite la prparation du rapport final.
Rapport daudit final : le terme anglais est plus gnral final engagement commu-
nication, ceci indique que le produit fini dune mission ne se matrialise pas nces-
sairement sous forme de rapport au sens traditionnel du terme. La prsentation des
rsultats dune mission peut se faire sur diffrents supports et suivant diffrents for-
mats (prsentation de type power point, rapport classique ). Par contre, si le for-
mat a t dfini au moment de la lettre de mission, il est impratif de sy conformer. La
forme et le mdia sont laisss lapprciation du dpartement daudit interne.
OCTOBRE 2002
4
SRIE 2200 - PLANIFICATION DE LA MISSION
4. Une information devra tre donne au management concern. Des runions doivent
se tenir avec le management responsable de l'activit tudie. Un rsum des sujets
discuts pendant les runions et des conclusions doit tre prpar, distribu aux per-
sonnes concernes et conserv dans le dossier de la mission.
OCTOBRE 2002
5
NORMES DE FONCTIONNEMENT
2210
Objectifs de la mission
Les objectifs doivent tre prciss pour chaque mission
MPA 2210-1
Objectifs de la mission
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils tablissent les objectifs de la mission. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Cette planification doit faire lobjet de documents crits. Les objectifs de la mission
et le champ dintervention doivent tre dfinis. Les objectifs d'audit mis au point par
les auditeurs internes dfinissent les ralisations attendues de la mission en termes
gnraux. Les procdures de la mission sont les moyens pour atteindre les objectifs
de la mission. L'ensemble des objectifs et des procdures de la mission dfinissent
le champ d'intervention de l'auditeur interne.
2. Les objectifs et les procdures de la mission doivent tenir compte des risques lis
l'activit audite. Le mot risque est la probabilit que se produise un vnement
susceptible davoir un impact sur la ralisation des objectifs. Le risque se mesure en
termes de consquences et de probabilit. Le but de l'valuation des risques, pendant
la phase de planification de l'audit, est d'identifier les secteurs importants de
l'activit quil convient dexaminer comme objectifs potentiels de la mission.
JUIN 2004
6
SRIE 2200 - PLANIFICATION DE LA MISSION
2210.A1
Objectifs de la mission
L'auditeur interne doit procder une valuation prliminaire des risques
lis lactivit soumise l'audit. Les objectifs de la mission doivent tre
dtermins en fonction des rsultats de cette valuation.
MPA 2210.A1-1
valuation des risques dans la planification de la mission
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils valuent les risques lors de la planification de la mission. La prsente MPA
na pas pour but de procder un expos exhaustif des points examiner. Elle a seu-
lement pour objet de recommander la prise en compte dun ensemble dlments. Il
appartient aux auditeurs internes dapprcier quels sont les lments ncessaires
pour acqurir une assurance suffisante que les risques appropris sont identifis pour
une mission donne.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Lauditeur interne doit tenir compte de lvaluation des risques effectue par le mana-
gement pour lactivit examine, et notamment des lments suivants :
fiabilit de cette valuation des risques ;
suivi des risques et diffusion dinformations sur les risques par le management ;
comptes-rendus du management sur les vnements qui ont dpass les limites
fixes en matire de tolrance des risques ;
existence de risques identifis par le management au sein de lorganisation dans des
activits lies lactivit examine, ou dans des systmes support ;
valuation par le management lui-mme des contrles relatifs aux risques.
2. Des informations de base sur lactivit auditer doivent tre obtenues. Un examen de ces
informations devra tre effectu pour dterminer leur impact sur la mission. Elles peu-
vent porter notamment sur :
les objectifs et les buts de lactivit ;
les rgles, plans, procdures, lois, rglementations et contrats qui peuvent avoir un
impact significatif sur les oprations, et les rapports ;
JUIN 2004
7
NORMES DE FONCTIONNEMENT
JUIN 2004
8
SRIE 2200 - PLANIFICATION DE LA MISSION
6. Lauditeur interne doit tablir un rsum des rsultats obtenus suite lexamen de
lvaluation des risques effectue par le management, des informations de base, et
des conclusions des revues prliminaires. Ce rsum doit identifier :
les problmes importants et les raisons pour poursuivre une tude plus approfondie ;
les informations pertinentes provenant de diffrentes sources ;
les objectifs et les procdures de la mission, ainsi que les approches particulires
telles que les techniques d'audit assist par ordinateur ;
les points de contrles potentiellement dlicats, les manques ou les excs de
contrle apparents ;
les premires estimations en matire de dlai et de besoin en ressources ;
les dates actualises pour les phases dmission du rapport et de fin de mission ;
si ncessaire, les raisons pour ne pas continuer la mission.
JUIN 2004
9
NORMES DE FONCTIONNEMENT
2230
MPA 2230-1
Ressources affectes la mission
l'utilisation de ressources externes doit tre envisage dans les cas o des connais-
sances, un savoir-faire ou des comptences supplmentaires sont ncessaires.
OCTOBRE 2002
10
SRIE 2200 - PLANIFICATION DE LA MISSION
2240
MPA 2240-1
Programme de travail de la mission
OCTOBRE 2002
11
NORMES DE FONCTIONNEMENT
2240.A1
MPA 2240.A1-1
Approbation des programmes de travail
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils approuvent les programmes de travail. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Le programme de travail de la mission doit tre approuv par crit par le responsable
de l'audit interne ou son dlgu avant le dmarrage de la mission, dans toute la
mesure du possible. L'approbation peut tre d'abord obtenue oralement s'il n'est pas
possible de l'obtenir par crit avant le dmarrage de la mission. Les modifications
apportes au programme de la mission doivent tre approuves temps.
JUIN 2004
12
MPA SRIE 2300
Accomplissement de la mission
2300 A C C O M P L I S S E M E N T DE LA MISSION
MPA 2300-1
Lutilisation dinformations caractre personnel
par lauditeur interne dans le cadre des audits
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes
lorsquils envisagent dutiliser des informations caractre personnel dans le cadre
dune mission dassurance ou de conseil. La prsente MPA na pas pour but de dresser
une liste exhaustive de recommandations relatives lutilisation de donnes caractre
personnel. Elle a seulement pour objet de rappeler limportance dune utilisation appro-
prie de ces informations conformment aux lois et procdures du pays concern,
savoir celui dans lequel laudit est ralis et o lorganisation exerce une activit.
JUIN 2004
3-1
NORMES DE FONCTIONNEMENT
3. Dans la plupart des cas, la lgislation stipule que les organisations doivent identifier
lobjectif de la collecte dinformations caractre personnel, au plus tard la date de
celle-ci, et que ces informations ne doivent pas tre utilises ni divulgues des fins
autres que celles pour lesquelles elles ont t collectes, sauf accord de lintress
ou prescription lgale.
4. Il est important que lauditeur interne comprenne et respecte les lois concernant
lutilisation dinformations caractre personnel tant dans leur pays que dans ceux
o leur organisation exerce une activit.
5. Lauditeur interne ne doit pas perdre de vue quil peut tre inopportun, voire illgal,
daccder des informations caractre personnel dans le cadre de certaines mis-
sions daudit interne, ou de rcuprer ce type dinformations, de les examiner, mani-
puler ou de les exploiter.
6. Lauditeur interne doit tudier avec soin tout problme avant denclencher un audit et
consulter les juristes de lorganisation en cas de question ou de doute dans ce
domaine.
1. Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim
Hargraves, Susan B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal
Auditors Research Foundation.
JUIN 2004
3-2
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2310
MPA 2310-1
Identification des informations
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils recueillent des informations. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recom-
mander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Des informations doivent tre rassembles sur tous les lments en relation avec les
objectifs et le champ dapplication de la mission. Les auditeurs internes utilisent des
procdures analytiques lors de l'examen et de l'identification des informations. Les
procdures d'audit analytiques sont mises en uvre en tudiant et en comparant les
relations entre les informations financires et les autres. Les procdures d'audit ana-
lytiques pour identifier les informations analyser se fondent sur l'hypothse, qu'en
absence de conditions connues contraires, on s'attend raisonnablement ce que des
rapports entre certaines informations existent et se maintiennent. Des exemples de
conditions contraires sont des transactions ou des vnements inhabituels ou ne se
reproduisant pas : des modifications de principes comptables, d'organisation,
d'oprations, d'environnement, ainsi que des changements technologiques ; des
insuffisances ; des facteurs d'inefficacit ; des erreurs ; des irrgularits ou des frau-
des.
OCTOBRE 2002
4-1
NORMES DE FONCTIONNEMENT
lauditeur.
Une information concluante est fiable et facilement accessible par lutilisation de
techniques daudit appropries.
Une information est pertinente si elle conforte les constatations et recommandations
de laudit, et rpond aux objectifs de la mission.
Une information est utile si elle aide lorganisation atteindre ses objectifs.
OCTOBRE 2002
4-2
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2320
Analyse et valuation
Les auditeurs internes doivent fonder leurs conclusions et
les rsultats de leur mission sur des analyses et valuations appropries.
MPA 2320-1
Analyse et valuation
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils utilisent des analyses et des valuations pour fonder leurs conclusions. La
prsente MPA na pas pour but de procder un expos exhaustif des points exami-
ner. Elle a seulement pour objet de recommander la prise en compte dun ensemble
dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Les procdures d'audit analytiques fournissent aux auditeurs des moyens efficaces et
efficients pour valuer et juger les informations collectes durant une mission.
L'valuation est le rsultat de la comparaison de ces informations avec les rsultats
attendus, identifis ou dvelopps par l'auditeur interne.
Les procdures d'audit analytiques sont utiles pour identifier, par exemple :
des diffrences inattendues ;
l'absence de diffrences attendues ;
des erreurs potentielles ;
des irrgularits ou des fraudes potentielles ;
d'autres transactions ou vnements inhabituels ou non rcurrents.
OCTOBRE 2002
5
NORMES DE FONCTIONNEMENT
l'tude des rapports existants entre divers lments d'information (par exemple, les
fluctuations des montants d'intrt comptabiliss, compares aux volutions des
soldes des dettes correspondantes) ;
la comparaison entre les informations concernant plusieurs units oprationnelles ;
la comparaison avec des informations sectorielles de mme nature.
3. Les procdures d'audit analytiques peuvent utiliser des valeurs montaires, des quan-
tits physiques, des ratios ou des pourcentages. Des procdures d'audit analytiques
spcifiques peuvent comporter, par exemple, des ratios, des tendances et des ana-
lyses de rgression, des tests de vraisemblance, des comparaisons entre priodes, des
comparaisons avec les budgets, les prvisions, et des informations conomiques ext-
rieures. Les procdures d'audit analytiques aident l'auditeur interne identifier les
conditions qui peuvent entraner des procdures d'audit complmentaires. Les audi-
teurs internes doivent utiliser des procdures d'audit analytiques pour planifier la mis-
sion dans le respect des instructions contenues dans la section 2200 des normes
(MPA 2210-1)
4. Les procdures d'audit analytiques doivent galement tre utilises pendant la mis-
sion pour examiner et valuer les informations qui supportent les rsultats d'audit.
Les auditeurs internes doivent prendre en considration les facteurs suivants pour
dterminer dans quelle mesure des procdures d'audit analytiques doivent tre utili-
ses. Aprs avoir valu ces facteurs, les auditeurs internes doivent prendre en consi-
dration et utiliser, si ncessaire, d'autres procdures d'audit pour atteindre l'objectif
de la mission, savoir :
l'importance du secteur tudi ;
la validit du systme de contrle interne ;
la disponibilit et la confiance dans les informations financires et non financires ;
la prcision attendue des rsultats des procdures daudit analytiques ;
la disponibilit et la possibilit de faire des comparaisons sectorielles ;
la validit d'autres procdures d'audit pour tayer les rsultats de la mission.
5. Quand les procdures d'audit analytiques mettent jour des rapports ou des rsultats
inattendus, les auditeurs internes doivent examiner et valuer ces rsultats et rap-
ports. L'examen et l'valuation des rapports ou des rsultats inattendus obtenus par
des procdures d'audit analytiques doivent conduire interroger le management ou
utiliser d'autres procdures d'audit jusqu' ce que les auditeurs internes obtiennent
des explications satisfaisantes. Les rsultats ou les rapports, obtenus par des proc-
dures d'audit analytiques, et qui ne sont pas expliqus, peuvent tre le signe de faits
importants tels qu'une erreur, une irrgularit, une fraude possibles. Les rsultats ou
les rapports, fournis par des procdures d'audit analytiques, qui ne sont pas suffi-
samment expliqus, doivent tre communiqus au niveau appropri du management.
Les auditeurs internes peuvent recommander que des actions appropries soient
prises, en fonction des circonstances.
OCTOBRE 2002
6
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2330
MPA 2330-1
Documentation des informations
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
lorsquils enregistrent les informations obtenues. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner. Elle a seulement pour objet de
recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Les papiers de travail qui servent documenter les travaux daudit doivent tre ta-
blis par lauditeur interne et revus par le management de laudit interne. Ces docu-
ments doivent consigner les informations obtenues et les analyses faites, et doivent
conforter les constatations et les recommandations daudit qui seront diffuses.
OCTOBRE 2002
7
NORMES DE FONCTIONNEMENT
3. Les dossiers de travail doivent tre complets et doivent appuyer les conclusions tires
de la mission. Les dossiers d'audit peuvent inclure entre autres :
les documents de planification et les programmes de la mission ;
les questionnaires de contrle, les diagrammes de circulation de linformation, les
listes de contrle et les memorandums de synthse ;
les notes et les comptes rendus des entretiens ;
des donnes sur lorganisation, comme les organigrammes et les dfinitions de
postes ;
une copie des contrats importants ;
des informations sur les politiques oprationnelles et financires ;
les rsultats des valuations du processus de contrle interne ;
les lettres de confirmation et de reprsentation ;
lanalyse et les sondages effectus sur des transactions, des processus et les soldes
comptables ;
les rsultats des procdures d'audit analytiques ;
le rapport final de la mission et les commentaires du management ;
la correspondance change, si elle documente les conclusions tires de la mission.
4. Le dossier de travail peut tre prsent sous forme papier, de cassette, de disquette,
dun film ou de tout autre moyen denregistrement. Lorsque le dossier de travail nest
pas sous forme papier, une copie de sauvegarde doit tre tablie.
5. En cas daudit portant sur les tats financiers, les papiers de travail doivent montrer
quils sont en accord ou rconcilis avec la comptabilit.
6. Le responsable de l'audit interne doit dfinir les rgles suivre en matire de papiers
de travail, adaptes chaque type de mission. La normalisation des dossiers de tra-
vail comme celle des questionnaires et des programmes daudit peut amliorer
lefficacit dune mission et faciliter la dlgation du travail. Certains dossiers de tra-
vail peuvent tre considrs comme des dossiers permanents. Ces dossiers contien-
nent les informations importantes caractre permanent.
OCTOBRE 2002
8
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
OCTOBRE 2002
9
NORMES DE FONCTIONNEMENT
2330.A1
MPA 2330.A1-1
Contrle des dossiers daudit
Il est conseill aux auditeurs internes de tenir compte des recommandations sui-
vantes qui concernent le contrle des dossiers daudit. La prsente MPA na pas pour
but de procder un expos exhaustif des points examiner. Elle a seulement pour
objet de recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
4. Il y a des cas o les demandes daccs aux dossiers de travail et aux rapports sont faites
par des personnes extrieures lorganisation, autres que les auditeurs externes.
Avant daccepter de fournir la documentation demande, le responsable de l'audit
interne doit obtenir lapprobation de la direction gnrale et/ou, le cas chant, du
conseiller juridique.
OCTOBRE 2002
10
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
MPA 2330.A1-2
Accs aux dossiers daudit aspects juridiques
Remarque pralable Les auditeurs internes sont invits consulter un conseiller juridique
sur toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier
considrablement selon les pays. Les directives contenues dans la prsente MPA reposent
principalement sur le systme juridique amricain mais peuvent tout aussi bien sappliquer
dans le contexte franais.
1. Les dossiers daudit interne incluent les rapports, les documents justificatifs les notes
de revue et la correspondance change, et ce quel que soit le support utilis. Les
auditeurs internes constituent ces dossiers avec lappui du management et des organes
dlibrants pour lesquels ils effectuent leurs prestations. Lon estime gnralement
que le contenu de ces dossiers est confidentiel et quil peut reposer la fois sur des
faits et sur des opinions. Or, les personnes qui nont pas une parfaite connaissance
de lorganisation ou de ses mthodes daudit interne sont susceptibles de mal inter-
prter ces faits et ces opinions. Laccs aux dossiers daudit peut tre sollicit par des
tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les pour-
suites pnales, les litiges, les vrifications fiscales, les contrles des instances rgle-
mentaires, lexamen des marchs publics et les contrles effectus dans le cadre de
professions habilites sauto-rglementer. La quasi totalit des dossiers non cou-
verts par le secret professionnel liant lavocat son client peuvent tre communiqus
en cas de poursuites pnales. Pour les autres procdures, la question de laccs aux
dossiers est moins vidente.
OCTOBRE 2002
11
NORMES DE FONCTIONNEMENT
3. La charte de laudit interne doit traiter la question de laccs aux dossiers et aux infor-
mations appartenant lorganisation et de leur contrle et ce, quel que soit le sup-
port utilis pour conserver les documents.
4. Les membres de laudit interne doivent disposer de dfinitions de postes crites pr-
cisant la nature des tches complexes et varies quils accomplissent. Ces dfinitions
de postes pourront aider les auditeurs internes en cas de demande de transmission
des dossiers. En outre, elles les aideront mieux cerner ltendue de leurs travaux
tout en permettant galement aux tiers de mieux apprhender les dossiers des audi-
teurs internes
5. Il convient dtablir des procdures spcifiques au service daudit interne afin de pr-
ciser le mode de fonctionnement de laudit interne. Ces procdures crites devront
couvrir notamment les points suivants : contenu des dossiers daudit, dlai de conser-
vation des dossiers du service, modalits de traitement des demandes daccs aux
dossiers et procdures particulires suivre en cas denqute effectue avec le
conseiller juridique. Ces points sont examins ci-dessous.
6. Une procdure concernant les divers types de missions doit prciser le contenu et la
forme des dossiers daudit ainsi que le mode de traitement des notes de revue
(conservation lappui des questions souleves et rsolues ultrieurement ou des-
truction afin dempcher les tiers dy accder). Par ailleurs, il convient de prciser
dans une procdure le dlai de conservation des dossiers daudit. Ces dlais seront
fixs en fonction des besoins de lorganisation et des exigences lgales. (Il est impor-
tant de vrifier ce point avec le conseiller juridique).
7. Les procdures de laudit interne doivent prciser lidentit des personnes charges
dassurer le contrle et la scurit des dossiers du service et de celles qui peuvent
tre autorises accder aux dossiers daudit, ainsi que les modalits de traitement
des demandes daccs ces dossiers. Ces procdures peuvent varier en fonction des
pratiques suivies dans le secteur ou du droit applicable lorganisation. Le respon-
sable de l'audit interne et les autres membres de laudit interne doivent suivre avec
attention lvolution de la jurisprudence et des pratiques du secteur. Ils doivent ga-
lement anticiper les demandes ventuelles daccs aux rsultats de leurs travaux.
OCTOBRE 2002
12
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
6. La procdure qui dfinit les conditions daccs aux dossiers daudit doit galement
couvrir les points suivants :
processus suivre pour rsoudre les problmes daccs ;
dlai de conservation pour chaque type de document de travail ;
programme de formation et dactualisation des connaissances de lquipe daudit
interne sur les risques et les problmes daccs leurs dossiers ;
et ncessit de procder priodiquement une tude du secteur afin danticiper
dventuelles demandes daccs aux dossiers.
10. Les auditeurs internes doivent par ailleurs sensibiliser le Conseil et le management
aux risques daccs aux dossiers daudit. Les procdures concernant le droit daccs
aux dossiers, les modalits de traitement des demandes daccs et la dmarche suivre
lorsquun audit justifie la conduite dune enqute doivent tre revues par le comit
daudit (ou par un organe dlibrant quivalent). Ces procdures varieront selon les
caractristiques de lorganisation et selon les dispositions de la loi en matire de secret
professionnel.
11. Il est important de bien prparer les dossiers daudit qui doivent tre divulgus. A cet
gard, il convient de suivre les tapes suivantes :
seuls les documents demands doivent tre divulgus. En rgle gnrale, les dos-
siers daudit contenant des avis et des recommandations ne sont pas communiqus.
Les documents qui dvoilent largumentation ou les stratgies des avocats sont
gnralement couverts par le secret professionnel et leur communication nest pas
obligatoire ;
seules des copies doivent tre transmises, lexemplaire original devant tre conserv,
en particulier si les documents ont t rdigs au crayon. Si le tribunal exige
loriginal, laudit interne doit conserver une copie ;
apposer sur chaque document la mention confidentiel ainsi quune annotation
prcisant que toute diffusion autrui doit faire lobjet dune autorisation pralable.
OCTOBRE 2002
13
NORMES DE FONCTIONNEMENT
2330.A2
MPA 2330.A2-1
Conservation des dossiers
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour
dfinir les modalits de conservation des dossiers daudit. La prsente MPA na pas
pour but de procder un expos exhaustif des points examiner. Elle a seulement
pour objet de recommander la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
1. Les modalits de conservation des dossiers daudit doivent tre conues de faon
couvrir tous les dossiers, quelle que soit la forme sous laquelle ils sont conservs.
OCTOBRE 2002
14
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2340
Supervision de la mission
Les missions doivent faire l'objet d'une supervision approprie afin de
garantir que les objectifs sont atteints, la qualit assure et
le dveloppement professionnel du personnel effectu.
MPA 2340-1
Supervision de la mission
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
au moment de superviser la mission. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recomman-
der la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
2. La trace de la supervision doit tre documente et conserve dans les papiers de tra-
vail. Ltendue de la supervision est fonction de la comptence et de lexprience des
OCTOBRE 2002
15
NORMES DE FONCTIONNEMENT
3. Le responsable de l'audit interne est en charge de toutes les missions daudit quelles
soient effectues par ou pour le compte de laudit interne. Il est galement respon-
sable de toutes les opinions professionnelles significatives formules lors de la plani-
fication, des vrifications, des valuations, du rapport et du suivi de la mission. Le
responsable de l'audit interne doit mettre en place les moyens appropris pour assu-
mer cette responsabilit. Les moyens appropris concernent les rgles et procdures
destines :
minimiser le risque que des opinions professionnelles formules par des auditeurs
internes ou autres personnes ralisant des travaux pour laudit interne soient en ds-
accord avec lopinion professionnelle du responsable de l'audit interne ce qui aurait
un effet dfavorable sur la mission ;
rgler les conflits dopinion entre le responsable de l'audit interne et les auditeurs
internes sur les points importants concernant la mission. Les moyens utiliser peu-
vent tre :
a) le dbat sur les constats pertinents ;
b) des enqutes et recherches complmentaires ;
c) la mention dans les papiers de travail des diffrents points de vue, avec documents
lappui.
En cas dopinions contraires sur une question dthique, les moyens appropris doi-
vent faire appel aux personnes qui, dans lorganisation, ont des responsabilits dans
ce domaine.
5. Tous les papiers de travail doivent tre revus afin de sassurer quils supportent le rap-
port daudit et que toutes les procdures daudit ncessaires ont t effectues. Cette
revue doit tre matrialise par lapposition, sur chaque papier de travail revu, des
initiales du superviseur et de la date. Dautres techniques de rvision qui fournissent
une preuve de la revue incluent une checklist de rvision ou un mmorandum prci-
sant la nature, ltendue et les rsultats de la revue.
6. Les superviseurs peuvent prparer une liste crite des questions (notes de revue) sou-
leves au cours de la revue. Au moment de la leve des points de revue, on doit pren-
dre soin de sassurer que le dossier de travail contient dornavant les lments
OCTOBRE 2002
16
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
dmontrant que les questions souleves lors de la revue ont t rsolues. Les alter-
natives acceptables, en ce qui concerne la conservation des feuilles de notes, sont les
suivantes :
garder les notes de revue en tant qu'enregistrement des questions souleves par le
superviseur et des actions prises pour les rsoudre ;
liminer les notes de revue aprs que les problmes soulevs aient t rsolus et
que les documents de travail ncessaires aient t modifis pour fournir les infor-
mations supplmentaires exiges.
OCTOBRE 2002
17
MPA SRIE 2400
Communication des rsultats
2400 C O M M U N I C A T I O N DES R S U LTAT S
MPA 2400-1
Communication des rsultats Aspects juridiques
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors
de la communication des rsultats de la mission. La prsente MPA na pas pour but de
procder un expos exhaustif des points examiner lors de la communication des
rsultats.
Le respect des Modalits Pratiques dApplication est facultatif.
Remarque Les auditeurs internes sont invits consulter un conseiller juridique sur
toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier
considrablement selon les pays. Les directives contenues dans la prsente Modalit
Pratique dApplication reposent principalement sur le systme juridique amricain.
1. Les auditeurs internes doivent prendre toutes les prcautions ncessaires avant de
mentionner dans leurs rapports ou leurs documents de travail des conclusions et des
opinions concernant des infractions la loi et la rglementation ou toute autre ques-
tion dordre juridique. Il est vivement recommand de mettre en place des procdures
sur ce point et de travailler en troite collaboration avec les responsables comptents
(conseiller juridique, Compliance Officer / dontologue, etc.).
2. Les auditeurs internes doivent rassembler des lments probants, mettre des juge-
ments fonds sur des analyses, rendre compte des rsultats de leurs travaux et
sassurer que des mesures correctives sont prises. Les impratifs de lauditeur inter-
ne, tenu de documenter les dossiers daudit, peuvent tre difficiles concilier avec
ceux du conseiller juridique, soucieux de ne pas conserver les lments susceptibles
de compromettre les moyens de dfense de lorganisation. En effet, mme si
lauditeur interne mne une enqute dans les rgles de lart, les faits divulgus peuvent
JUIN 2004
3
NORMES DE FONCTIONNEMENT
3. Quatre lments sont ncessaires pour prserver le secret professionnel auquel est
tenu lavocat. Il faut quil existe :
une communication,
faite en toute confidentialit,
entre des personnes protges par le secret professionnel,
en vue de fournir une assistance juridique au client.
4. Certaines juridictions ont admis lexistence dun droit dauto-analyse critique qui
permet de prserver la confidentialit de documents dauto-critique tels que les dos-
siers daudit. En rgle gnrale, la reconnaissance de ce droit repose sur le postulat
selon lequel la confidentialit des analyses effectues dans les cas examins prime
sur lintrt gnral, comme en tmoigne largumentation suivante extraite dun juge-
ment :
OCTOBRE 2002
4
SRIE 2400 - COMMUNICATION DES RSULTATS
il faut quil sagisse dinformations dont la divulgation ventuelle aurait pour effet
den restreindre le flux.
Dans certains cas, les tribunaux ont galement recherch si lanalyse critique a
prcd ou provoqu le prjudice caus au plaignant, ou si elle est intervenue aprs
les vnements qui sont lorigine de la plainte, auquel cas le maintien du secret est
parfaitement justifi.
6. Dune faon gnrale, les tribunaux ont t plus rticents admettre lexistence dun
droit au secret fond sur lauto-valuation lorsque la demande de transmission des
documents mane dune administration publique au lieu dune personne prive ;
cette attitude est vraisemblablement lie au fait que le respect du droit revt un plus
grand intrt pour ltat. Le secret fond sur lauto-valuation est particulirement
adapt aux fonctions et aux activits qui ont mis en place des procdures dauto-
rglementation telles que, par exemple, les hpitaux, les agents de change et les cabi-
nets dexpertise comptable. La plupart de ces procdures sont associes des pro-
cdures dassurance qualit qui viennent complter une activit oprationnelle telle
que laudit financier.
7. Pour bnficier de la protection par le secret, les documents doivent, selon la doctrine,
satisfaire trois conditions. Il faut que ces documents aient t tablis :
dans le cadre de travaux (il peut sagir de mmos, programme informatique par
exemple) ;
en prvision dun litige ;
et par un reprsentant de lavocat.
8. Les documents tablis avant toute relation entre lavocat et son client ne sont pas pro-
tgs en vertu de cette doctrine qui ne prvoit aucune protection en cas de remise de
tels documents lavocat. En outre, lapplication de la doctrine est soumise des
conditions. En effet, les documents ne sont pas protgs si la transmission des infor-
mations rpond un besoin substantiel et si ces informations ne peuvent tre obte-
nues autrement sans effort excessif. Ainsi, dans laffaire Grand Jury, le comit daudit
de la socit avait conduit des entretiens en vue de dterminer si des paiements dou-
teux avaient t effectus ltranger. Son rapport a bnfici de la protection par le
secret en vertu de la doctrine ci-dessus, lexception des extraits correspondant aux
entretiens mens avec des personnes dcdes.
OCTOBRE 2002
5
NORMES DE FONCTIONNEMENT
2410
Contenu de la communication
La communication doit inclure les objectifs et le champ de la mission,
ainsi que les conclusions, recommandations et plans d'actions.
MPA 2410-1
Contenu de la communication
1. Le format et le contenu des rapports daudit peuvent varier dune organisation lautre
ainsi que dun type de mission lautre. Cependant, ces rapports doivent contenir, au
minimum, les objectifs, le champ et les rsultats de laudit.
2. Les rapports daudit peuvent comporter des informations sur le contexte et des syn-
thses. Les informations sur le contexte peuvent prsenter les units et activits exa-
mines et fournir des explications utiles. L'tat des observations, conclusions et
recommandations des rapports prcdents peut aussi tre repris ; on peut aussi indi-
quer si cet audit est une mission inscrite au plan daudit ou rpondant une demande
particulire. Si des synthses sont incluses, elles doivent constituer un expos pro-
portionn du contenu du rapport.
3. L'expos de l'objet de la mission doit dcrire les objectifs et peut, si ncessaire, infor-
mer le lecteur des motifs de la mission et des rsultats escompts.
OCTOBRE 2002
6
SRIE 2400 - COMMUNICATION DES RSULTATS
5. Les rsultats doivent comprendre les observations, les conclusions (opinions), les
recommandations et les plans d'actions.
6. Les observations sont des exposs pertinents des faits. Les observations servant dappui
aux conclusions et recommandations ou permettant dviter un malentendu doivent
tre incluses dans le rapport. Les informations ou observations moins importantes
peuvent tre communiques de manire informelle.
8. Les conclusions (opinions) sont les valuations par lauditeur interne des consquences
des observations et recommandations sur les activits audites. Habituellement, elles
situent les observations et recommandations dans la perspective de leurs implications
globales. Les conclusions, lorsquelles sont incluses dans le rapport daudit, doivent
tre clairement exposes comme telles. Elles peuvent porter sur l'ensemble du champ
audit ou sur des aspects particuliers. Elles peuvent exposer, tout en n'tant pas
limites cela, dans quelle mesure les objectifs oprationnels et les programmes sont
conformes ceux de lorganisation, les buts et objectifs de l'organisation sont
atteints, et lactivit examine fonctionne comme prvu.
OCTOBRE 2002
7
NORMES DE FONCTIONNEMENT
9. Les rapports doivent comprendre des recommandations sur les amliorations possibles
et faire tat des fonctionnements satisfaisants et des mesures correctives. Les recom-
mandations sont fondes sur les observations et conclusions de lauditeur interne.
Elles appellent des actions destines corriger les situations existantes ou amlio-
rer le fonctionnement. Les recommandations peuvent suggrer des approches visant
corriger ou amliorer le fonctionnement, approches que le management peut uti-
liser comme guide pour atteindre les rsultats voulus. Les recommandations peuvent
tre de nature gnrale ou spcifique. Par exemple, dans certains cas il peut tre
opportun de recommander une ligne de conduite gnrale et des propositions spci-
fiques de mise en uvre. Dans dautres cas, il peut tre prfrable de suggrer seu-
lement un examen ou une tude complmentaires.
10. Les ralisations effectues par laudit, qu'il s'agisse d'amliorations apportes
depuis le dernier audit, ou de la mise en place dun fonctionnement bien contrl,
peuvent figurer dans le rapport. Cette information peut tre ncessaire pour repr-
senter fidlement la situation actuelle, offrir une perspective approprie et assurer un
quilibre convenable dans le rapport daudit.
11. Le point de vue de laudit sur les conclusions ou les recommandations de laudit
peut figurer dans le rapport daudit.
12. Dans le cadre des discussions entre lauditeur interne et laudit, lauditeur interne
doit tenter dobtenir laccord de l'audit sur les rsultats de laudit et sur un plan
daction visant amliorer le fonctionnement si ncessaire. Si lauditeur interne et
laudit ne sentendent pas sur les rsultats de laudit, le rapport d'audit peut men-
tionner les deux positions ainsi que les raisons du dsaccord. Les commentaires crits
de laudit peuvent tre inclus en annexe au rapport ; ou bien les opinions de laudit
peuvent tre prsentes dans le corps du rapport ou dans une lettre de couverture.
13. Parfois, certains renseignements ne peuvent tre dvoils tous les destinataires du
rapport, parce quil sagit de renseignements couverts par le secret professionnel, pro-
tgs ou relatifs des actes irrguliers ou illgaux. Ces informations peuvent, toute-
fois, tre incluses dans un rapport distinct. Si les faits dont lauditeur interne fait tat
impliquent la direction gnrale, le rapport doit tre adress au Prsident du comit
daudit.
14. Des rapports intermdiaires peuvent tre utiliss pour communiquer des informations
ncessitant une attention immdiate, pour signaler un changement dans le champ de
la mission ou pour informer le management de lavancement des travaux lorsque la
mission est de longue dure. Les rapports intermdiaires peuvent tre crits ou oraux,
et peuvent tre transmis d'une manire officielle ou informelle. Lemploi de rapports
intermdiaires ne rduit ni nlimine la ncessit d'un rapport dfinitif.
15. Un rapport sign doit tre mis la fin des travaux. Une note de synthse faisant res-
sortir les rsultats de laudit peut tre indique pour des niveaux de management
OCTOBRE 2002
8
SRIE 2400 - COMMUNICATION DES RSULTATS
suprieurs celui de laudit. Cette note peut tre mise conjointement avec le
rapport dfinitif, ou sparment mais avec les mmes destinataires (sauf exception).
Le terme sign signifie que l'auditeur autoris doit signer manuellement le rapport ;
la signature d'une lettre de couverture est une alternative possible. L'auditeur autoris
signer le rapport doit tre dsign par le responsable de l'audit interne. Si les rap-
ports d'audit sont diffuss par des moyens lectroniques, un exemplaire sign
manuellement doit tre archiv l'audit interne.
OCTOBRE 2002
9
NORMES DE FONCTIONNEMENT
2420
Qualit de la communication
La communication doit tre exacte, objective, claire, concise,
constructive, complte et mise en temps utile.
MPA 2420-1
Qualit de la communication
Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors-
quils prparent leurs communications. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner lors de la communication des rsultats.
Le respect des Modalits Pratiques dApplication est facultatif.
2. Une communication objective est juste, impartiale, non biaise et rsulte dune va-
luation quitable et mesure de tous les faits et circonstances pertinents. Les cons-
tats, conclusions et recommandations doivent tre dvelopps et exprims sans pr-
jug, esprit partisan, intrt personnel ni influence inapproprie.
4. Une communication concise va droit lessentiel et vite tout dtail superflu, tout
dveloppement non ncessaire, toute redondance ou verbosit. Elle rsulte de rvi-
sions et corrections permanentes des communications. Lobjectif est dexprimer la
pense compltement, avec le minimum de mots possible.
Les besoins et donc les critres de concision diffrent selon les publics cibles : les
audits et leur hirarchie immdiate veulent un document complet, dtaill et
ventuellement technique pour adhrer aux raisonnements de l'auditeur ; la
direction gnrale, qui veut tre informe mais n'a pas rsoudre les problmes,
veut seulement l'essentiel, une contraction de texte sans dmonstration.
OCTOBRE 2002
10
SRIE 2400 - COMMUNICATION DES RSULTATS
6. Une communication complte n'omet rien qui soit essentiel aux destinataires cibles.
Elle intgre toute linformation significative et pertinente, ainsi que les observations
permettant dtayer les recommandations et conclusions. Son contenu comporte les
objectifs et le champ de la mission, ainsi que les conclusions, recommandations et
plans d'actions (cf. Norme 2410).
7. Une communication opportune est mise en temps utile pour prise en considration
attentive par ceux qui sont susceptibles dagir la suite des recommandations. La
prsentation des rsultats de la mission doit tre tablie sans dlai excessif et avec
lurgence ncessaire pour permettre une action prompte et efficace.
OCTOBRE 2002
11
NORMES DE FONCTIONNEMENT
2440
2440.A1
2440.A2
MPA 2440-1
Destinataires des rsultats de la mission
Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes
au moment de diffuser les rsultats. La prsente MPA na pas pour but de procder
un expos exhaustif des points examiner. Elle a seulement pour objet de recommander
la prise en compte dun ensemble dlments.
Le respect des Modalits Pratiques dApplication est facultatif.
JUIN 2004
12
SRIE 2400 - COMMUNICATION DES RSULTATS
3. Le niveau hirarchique des participants aux discussions et aux examens peut varier
dune organisation lautre et dun rapport un autre ; toutefois, les participants
comprendront gnralement les personnes qui connaissent prcisment les opra-
tions audites et celles qui sont en mesure dautoriser la mise en uvre de mesures
correctrices.
5. Les rapports doivent tre adresss aux membres de lorganisation qui peuvent
sassurer que les rsultats de laudit recevront lattention ncessaire. Le rapport doit
donc tre envoy aux personnes qui se trouvent dans une position leur permettant
dentreprendre les actions correctives qui simposent ou dassurer que de telles mesu-
res seront prises. Le rapport dfinitif doit tre adress au management de lunit audi-
te. Les membres de lorganisation occupant un poste plus lev dans la hirarchie
peuvent ne recevoir qu'une note de synthse. Quand les rapports doivent tre
communiqus dautres personnes intresses ou concernes, par exemple les audi-
teurs externes, il faut sassurer quelles sont rellement astreintes au secret profes-
sionnel sur les points mentionns dans le rapport.
Rappelons quen France, dans le secteur bancaire, les rapports daudit sont tenus
la disposition des Commissaires aux comptes en application de larticle 41 du
Rglement 97/ 02 du CRBF, remplac par le Rglement 2000-01.
JUIN 2004
13
NORMES DE FONCTIONNEMENT
MPA 2440-2
Diffusion des rsultats lextrieur de l'organisation
1. Les auditeurs internes doivent examiner les directives contenues dans la lettre de mis-
sion ou dans les procdures relatives la diffusion dinformations en dehors de lorga-
nisation. La charte de l'audit interne et celle du comit daudit peuvent galement
contenir des directives concernant la diffusion dinformations en dehors de
lorganisation. A dfaut de telles directives, lauditeur interne doit faciliter ladoption
de procdures appropries par lorganisation. Voici quelques exemples dinformations
qui peuvent figurer dans les procdures :
autorisation requise pour diffuser des informations en dehors de lorganisation ;
processus dautorisation en cas de diffusion dinformations en dehors de
lorganisation ;
directives concernant la nature des informations dont la diffusion est ou nest pas
autorise ;
personnes extrieures autorises recevoir des informations et nature des informa-
tions qui peuvent leur tre communiques ;
rgles relatives la confidentialit, obligations prvues par la rglementation, et
points juridiques examiner avant toute diffusion dinformations en dehors de
lorganisation ;
nature des conclusions, conseils, recommandations, opinions, directives, et autres
informations pouvant figurer dans les messages destins tre diffuss en dehors
de lorganisation.
2. Les demandes peuvent concerner des informations qui existent dj, par exemple un
rapport daudit interne dj diffus. Elles peuvent galement porter sur des informa-
tions qui restent obtenir ou produire dans le cadre dune nouvelle mission daudit
interne. Dans le premier cas, lauditeur interne doit examiner les informations et
dcider si elles peuvent tre diffuses en dehors de lorganisation.
3. Dans certains cas, des informations ou un rapport existants peuvent tre rviss pour
les rendre aptes tre diffuss en dehors de lorganisation. Dans d'autres cas il est
OCTOBRE 2002
14
SRIE 2400 - COMMUNICATION DES RSULTATS
possible quun nouveau rapport soit tabli sur la base de travaux dj raliss. La rvi-
sion, ladaptation ou la cration dun rapport partir de travaux prcdents doivent
tre effectues avec conscience professionnelle.
5. Les missions ayant pour objet de produire des rapports daudit interne ou des docu-
ments destins tre diffuss en dehors de lorganisation doivent tre conduites
conformment aux Normes pour la Pratique Professionnelle de lAudit Interne, et
mention de ces Normes doit tre faite dans le rapport ou dans les autres documents.
6. Sil vient dcouvrir, au cours dune mission dont lobjet est de diffuser des infor-
mations en dehors de lorganisation, des informations dont il est cens rendre compte
la Direction ou au Comit dAudit, lauditeur interne doit fournir toutes les infor-
mations appropries aux personnes concernes.
OCTOBRE 2002
15
NORMES DE FONCTIONNEMENT
MPA 2440-3
La communication dinformations sensibles par la voie hirarchique
ou en marge de celle-ci
Il peut arriver quun auditeur interne dcouvre des informations concernant des risques,
menaces, incertitudes, fraudes, gaspillages, fautes de gestion, activits illgales, abus
de pouvoir, fautes portant atteinte la sant ou la scurit publiques, ou dautres
mfaits. Dans certains cas, ces informations nouvelles ont des consquences impor-
tantes et doivent tre tayes par des lments probants substantiels et crdibles.
Lauditeur interne est alors confront un dilemme complexe, dans lequel entrent sou-
vent en jeu les disparits culturelles, les diffrences lies aux pratiques du monde des
affaires, les structures juridiques, les lois nationales et rgionales, ainsi que les normes
professionnelles, les codes dthique et les valeurs personnelles. La dmarche adopte
par lauditeur interne pour rsoudre la situation peut entraner des reprsailles et,
le cas chant, engager sa responsabilit. Compte tenu de ces risques et de leurs rper-
cussions, lauditeur interne doit prendre soin de bien peser le caractre probant et
raisonnable de ses conclusions. Il doit examiner les diverses mesures envisageables
pour communiquer les informations sensibles aux personnes qui sont habilites
rsoudre le problme et mettre un terme aux oprations irrgulires. Dans certains
pays, des mesures spcifiques peuvent tre prescrites par la lgislation ou la rglemen-
tation locale.
La prsente MPA vise stimuler la rflexion sur les nombreux problmes et dfis
auxquels lauditeur interne peut tre confront dans ce type de situation. Elle contient
des informations, ainsi que des suggestions concernant les facteurs qui peuvent tre
pris en compte par lauditeur, mais elle na pas pour objet de procder un examen
exhaustif de la question, ni de fournir lauditeur des conseils juridiques ou un avis
dexpert. Les auditeurs internes doivent consulter un conseiller juridique lorsque la
situation est sensible et a des consquences significatives. La prsente MPA a t la-
bore avec le plus grand soin et aprs mre rflexion. Toutefois, lIIA et lIFACI ne sont
pas responsables de lusage qui est fait des informations contenues dans la prsente
MPA, ni de son application dans la pratique des situations particulires. Ils ne garan-
tissent nullement que les mesures prconises seront couronnes de succs.
JUIN 2004
16
SRIE 2400 - COMMUNICATION DES RSULTATS
JUIN 2004
17
NORMES DE FONCTIONNEMENT
mentaires, aux stupfiants ou la pollution, ou de tout autre acte illgal, tel que la
corruption ou toute autre forme de versement irrgulier effectu en faveur de fonc-
tionnaires ou dagents de fournisseurs ou de clients.
6. La plupart des tudes relatives au droit dalerte indique que la majorit des personnes
donnant lalerte divulgue les informations sensibles en interne, si ncessaire en marge
de leur ligne de rattachement, en particulier si elles ont confiance dans la capacit
des procdures et des dispositifs en place dans lorganisation dclencher une
enqute et les mesures appropries en cas dallgation dopration illgale ou irrgu-
lire. Toutefois, il peut arriver que certaines personnes en possession dinformations
sensibles dcident de les divulguer en dehors de lorganisation, en particulier si elles
redoutent des reprsailles de la part de leur employeur ou de salaris, si elles dou-
tent que laffaire fasse lobjet dune enqute approprie, si elles pensent quelle sera
dissimule ou si elles dtiennent la preuve dune opration illgale ou irrgulire met-
tant en pril la sant, la scurit ou le bien-tre de membres de lorganisation ou de
la communaut. La principale motivation des personnes qui donnent lalerte et qui
agissent en toute bonne foi, est de mettre un terme aux agissements illgaux,
dommageables ou irrguliers.
7. Lauditeur interne, lorsquil est confront ce type de dilemme et quil doit envisager
toutes les options possibles, doit valuer les diffrents moyens de communiquer le
risque une personne ou un groupe qui ne fait pas partie de sa voie hirarchique
et fonctionnelle. tant donn les rpercussions et les risques lis ces approches,
lauditeur interne doit prendre soin de bien peser le caractre probant et raisonnable
de ses conclusions et dexaminer les avantages et inconvnients de chacune des
mesures envisageables. Une dmarche de ce type peut savrer approprie pour
lauditeur si elle doit aboutir ladoption de mesures responsables par la direction
gnrale ou les personnes impliques dans le gouvernement dentreprise, tels que les
membres du Conseil ou de lun de ses comits. Il est probable que lauditeur interne
nenvisagera quen dernier ressort de communiquer ces informations lextrieur du
dispositif de gouvernement dentreprise de lorganisation. Il nagira ainsi que dans les
rares cas o il est convaincu de la gravit du risque et de ses consquences ven-
tuelles, et sil estime quil existe de fortes probabilits pour que la direction gnrale de
JUIN 2004
18
SRIE 2400 - COMMUNICATION DES RSULTATS
JUIN 2004
19
NORMES DE FONCTIONNEMENT
tif dune profession rside dans le fait quelle accepte des responsabilits ten-
dues envers le public et quelle entend prserver le bien-tre gnral. Outre lexamen
des obligations lgales, les membres de lInstitut, ainsi que tous les auditeurs
internes CIA doivent suivre les rgles prescrites par le Code de dontologie de lIIA en
matire dagissements illgaux ou contraires lthique.
LIFACI, sollicit par la Commission Bancaire sur son document consultatif sur
laudit interne dans les organisations bancaires (juillet 2000), a pris ce sujet une
position trs claire : la mission dalerte des auditeurs internes doit concerner
exclusivement les organes de dcision internes, Direction Gnrale, Conseil
dAdministration et, sil existe, le Comit dAudit. LIFACI prconise que le
responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit
pour des faits minemment graves commis par la Direction Gnrale et pouvant
mettre en danger la continuit dexploitation, condition que ces faits soient
avrs et que le rle de laudit interne en la matire soit dment explicit dans
une charte dthique. En revanche, pour ce qui est du rle dalerte que laudit
interne pourrait jouer auprs des superviseurs bancaires et des Commissaires
aux comptes, cette ventualit ne parat pas approprie.
La Commission Bancaire a adopt le mme point de vue. Elle considre en effet
que le fait dimposer aux auditeurs internes une obligation dalerte auprs des
tiers (Commission Bancaire, Commissaires aux comptes, ) pourrait tre de
nature affaiblir leur position et leur crdibilit au sein des entreprises, ce qui
nuirait lefficacit de leurs contrles .
JUIN 2004
20
SRIE 2400 - COMMUNICATION DES RSULTATS
JUIN 2004
21
NORMES DE FONCTIONNEMENT
2440.C2
Pour que le client d'une mission de conseil n'ait pas l'impression que sa
confiance a t trahie, cette communication possible la direction gnrale et au
Conseil doit figurer dans la charte (Norme 1000.C1) et avoir t rappele avant
le dbut de la mission : lors de son acceptation et de sa planification.
OCTOBRE 2002
22
MPA SRIE 2500
Surveillance des actions de progrs
2500 S URVEILLANCE DES ACTIONS DE PROGRS
MPA 2500-1
Surveillance des actions de progrs
1. Le responsable de laudit interne doit tablir des procdures couvrant les aspects sui-
vants :
un dlai dans lequel le management doit rpondre aux observations et recomman-
dations de l'audit ;
une apprciation de la rponse du management ;
une vrification de la rponse (si ncessaire) ;
une mission de suivi (si ncessaire) ;
une procdure pour porter, lattention du niveau appropri de management, les
rponses/actions non satisfaisantes et lacceptation du risque qui en rsulte.
2. Certaines observations et recommandations de l'audit peuvent tre dune importance
telle quelles ncessitent une action immdiate de la part du management. Ces situa-
OCTOBRE 2002
3
NORMES DE FONCTIONNEMENT
tions doivent tre surveilles par l'audit interne jusqu leur correction, en raison des
consquences quelles peuvent avoir sur lorganisation.
2500.A1
MPA 2500.A1-1
Processus de suivi de la mission
OCTOBRE 2002
4
SRIE 2500 - SURVEILLANCE DES ACTIONS DE PROGRS
accept le risque de ne pas engager dactions correctives sur des observations figu-
rant dans le rapport.
2. Le suivi par les auditeurs internes se dfinit comme un procd suivant lequel ils
apprcient si les actions entreprises par le management, en rponse aux observations
et recommandations, y compris celles de l'audit externe ou d'autres intervenants, sont
appropries, relles et entreprises temps.
3. La responsabilit du suivi doit tre dfinie par crit dans la charte de laudit interne.
La nature, le calendrier et l'tendue du suivi doivent tre fixs par le responsable de
laudit interne. Les facteurs prendre en considration pour dterminer les proc-
dures de suivi appropries sont :
4. Il peut y avoir des cas o le responsable de laudit interne juge que la rponse crite
ou orale du management montre que l'action dj entreprise est suffisante en regard
de limportance relative de l'observation et de la recommandation de l'audit. Dans de
tels cas, le suivi peut tre fait au cours de la mission suivante.
Ceci implique que, dans les autres cas, l'audit interne doit effectuer un suivi sp-
cifique.
5. Les auditeurs doivent sassurer que les actions prises suite aux observations et recom-
mandations corrigent les situations sous-jacentes.
OCTOBRE 2002
5
MPA SRIE 2600
Acceptation des risques par la Direction Gnrale
2 6 0 0 A C C E P TAT I O N D E S R I S Q U E S
PA R L A D I R E C T I O N G N R A L E
MPA 2600-1
Acceptation des risques par la direction gnrale
JUIN 2004
3
NORMES DE FONCTIONNEMENT
OCTOBRE 2002
4