Vous êtes sur la page 1sur 45

20 Questions

que les administrateurs


devraient poser sur
laudit interne
MIS JOUR EN 2015
Bruce Webster

The Institute of Internal Auditors


LInstitut des auditeurs internes
Canada
20 Questions
que les administrateurs
devraient poser sur
laudit interne
MIS JOUR EN 2015
Bruce Webster

The Institute of Internal Auditors


LInstitut des auditeurs internes
Canada
AVERTISSEMENT
La prsente publication, prpare par Comptables professionnels agrs du Canada
(CPA Canada) et la Fondation de recherche des dirigeants financiers du Canada
(FRDFC), lorgane de recherche de DFI Canada, contient des indications ne faisant
pas autorit.
CPA Canada et la FRDFC dclinent toute responsabilit ou obligation pouvant dcouler,
directement ou indirectement, de lutilisation ou de lapplication de cette publication.

Catalogage avant publication de Bibliothque et Archives Canada


Webster, Bruce J. (Bruce James)
[20 questions directors should ask about internal audit. Franais]
20 questions que les administrateurs devraient poser sur laudit
interne / par Bruce Webster. -- 3e dition.
(Collection 20 questions)
Traduction de : 20 questions directors should ask about internal audit.
Comprend des rfrences bibliographiques.
ISBN 978-1-55385-978-9
1. Vrification interne. 2. Vrification interne--Miscellanes.
I. Comptables professionnels agrs du Canada, organisme de publication
II. Titre. III. Titre: Vingt questions que les administrateurs devraient
poser sur laudit interne. IV. Titre: 20 questions directors should ask
about internal audit. Franais V. Collection: Collection 20 questions
(Comptables professionnels agrs du Canada)
HF5668.25.W4214 2016 657.458 C2016-900798-7
Copyright commun 2016 Comptables professionnels agrs du Canada et Fondation
de recherche des dirigeants financiers du Canada (FRDFC)
Tous droits rservs. Cette publication est protge par des droits dauteur et ne peut tre
reproduite, stocke dans un systme de recherche documentaire ou transmise de quelque
manire que ce soit (lectroniquement, mcaniquement, par photocopie, enregistrement
ou toute autre mthode) sans autorisation crite pralable.
Pour obtenir des renseignements concernant lobtention de cette autorisation, veuillez crire
permissions@cpacanada.ca.
iii

Prface

Le Conseil sur la surveillance des risques et la gouvernance (CSRG) des


Comptables professionnels agrs du Canada (CPA Canada) a command la
publication 20 Questions que les administrateurs devraient poser sur laudit
interne pour aider les administrateurs chargs de la surveillance de la fonction
daudit interne comprendre le contexte en constante volution dans lequel
les organisations exercent leurs activits. Les membres de la direction et les
professionnels de laudit interne peuvent aussi se servir de cette publication
pour orienter leurs discussions et se prparer leurs changes avec leur
conseil dadministration.

Cette publication de la collection 20 Questions porte sur laugmentation du


nombre et de la complexit des risques auxquels sont exposes les organisa-
tions et se concentre sur la faon dont la fonction daudit interne doit sadapter
pour gnrer de la valeur tout en contribuant attnuer ces risques.

Elle dresse la liste des questions les plus importantes auxquelles les conseils
dadministration devraient tre en mesure de rpondre pour surveiller effica-
cement laudit interne. Les questions et les rponses refltent les meilleures
pratiques en la matire ainsi que les Normes internationales pour la pratique
professionnelle de laudit interne de lInstitute of Internal Auditors (IIA).

Lauteur a abord les questions et rponses daprs plusieurs dfinitions du


terme valeur afin de constituer un cadre commun pour la publication
20 Questions. La question fondamentale de savoir si une organisation en parti-
culier devrait avoir une fonction daudit interne est pose demble. Elle sert de
point de dpart un examen en profondeur de plusieurs aspects importants
qui ont une incidence sur la fonction daudit interne :
Le mandat
Les relations
La conception de lorganisation et les ressources
iv 20 Questions que les administrateurs devraient poser sur laudit interne

La production de rapports et la communication dinformation


Lvaluation de la fonction daudit interne

En bref, cette publication donne une vue densemble des responsabilits des
administrateurs quant la surveillance de la fonction daudit interne dans un
contexte o les attentes lgard de lauditeur interne augmentent.

Le CSRG tient remercier les membres du Groupe consultatif des administra-


teurs de CPA Canada pour leurs prcieux conseils, lauteur, Bruce Webster, et
les collaborateurs de lIIA au Canada qui ont contribu au projet.

Bryan Held, FCPA, FCA, IAS.A


Conseil sur la surveillance des risques et la gouvernance

Auteur
Bruce Webster, CPA, CA.EJC, CFE, CFF
PwC s.r.l./s.e.n.c.r.l.

Lauteur souhaite remercier Mark Burnes et Richard Wilson de PwC pour leur
soutien tout au long de ce projet ainsi que pour les prcieuses contributions
quils ont apportes la publication.

Conseil sur la surveillance Groupe consultatif


des risques et la gouvernance des administrateurs
Bryan Held, FCPA, FCA, IAS.A, Giles Meikle, FCPA, FCA,
prsident par intrim prsident

Andrew Foley, J.D. Hugh Bolton, FCPA, FCA

Alex Guertin, MBA, CPA, CA John E. Caldwell, CPA, CA

Douglas Hayhurst, FCPA, FCA, IAS.A William Dimma, F.IAS, IAS.A

Giles Meikle, FCPA, FCA Carol Hansell, LL. B. F.IAS

Sue Payne, FCPA, FCA, C. Dir. Thomas C. Peddie, FCPA, FCA

Vincent Tophoff, RA Guylaine Saucier, CM, FCPA, FCA,


F.IAS
John E. Walker, CPA, CA, LL. B.
Hap Stephen, CPA, CA
Richard Wilson, HBA
Peter Stephenson, Ph. D., IAS.A

Janet Woodruff, FCPA, FCA, IAS.A


Prface v

Direction du projet, CPA Canada


Gigi Dawe, LL.M. Gordon Beal, CPA, CA, M. d.
Directrice de projets, Recherche, Vice-prsident, Recherche,
orientation et soutien orientation et soutien
Leader, Surveillance et gouvernance
des entreprises

Collaborateurs de lIIA Canada


Carmen E. Abela, MPA, CIA, CCSA, Hal Garyn, CIA, CRMA, CISA
C. Dir.
Carman Lapointe, CIA, CCSA
Richard G. Arthurs, MBA, CPA, CMA,
Jodie Lobana, MA, CPA, CA, CIA,
CIA, QIAL
CISA, PMP, IFRS
Brian G. Brown, CIA, CPA, CMA, C. Dir.
Amipal Manchanda, CPA, CA, CMA
Judith K. Burke, MBA, CCSA
Archie Thomas, CIA, FCPA, FCMA,
Jeff Erdman, CPA, CA, CIA, CRMA, C. Dir., CFE
CISA, CISSP

John Fraser, FCPA, FCA, CIA, CRMA


1

Table des matires

Prface iii

Introduction 3

Mandat 5

1. Notre organisation devrait-elle avoir une fonction daudit interne? 5

2. Quel est le rle du conseil et quelles sont ses responsabilits en ce qui


concerne laudit interne? 6

3. Quelle stratgie les chefs de laudit interne doivent-ils laborer et quelle


culture doivent-ils instaurer pour le service quils dirigent? 7

4. Comment la fonction daudit interne conserve-t-elle son indpendance


et son objectivit? 9

Relations 11

5. Quel type de relations laudit interne doit-il tablir avec ses parties
prenantes? 11

6. De qui laudit interne doit-il relever? 12

7. Comment le conseil peut-il optimiser sa relation avec le chef de


laudit interne? 13

Conception de lorganisation et ressources 15

8. Votre fonction daudit interne est-elle agile et prte samliorer


continuellement selon les besoins? 15
2 20 Questions que les administrateurs devraient poser sur laudit interne

9. Quelles qualits le chef de laudit interne devrait-il possder? 17

10. Quels sont les nouveaux outils dont se dotent aujourdhui les fonctions
daudit interne de premier plan? 18

11. Quelles sont les grandes priorits sous-tendant le plan daudit interne? 19

12. Laudit interne doit-il sappuyer sur dautres fonctions de certification? 20

13. Comment laudit interne prvoit-il lapparition de nouveaux risques


ou lvolution de risques existants, et comment sy adapte-t-il? 22

14. Comment tenir la direction responsable de la prise en considration


des constatations de laudit et de la mise en uvre des mesures
correctrices? 23

15. Comment laudit interne doit-il composer avec des proccupations


lgard de linconduite de la direction (et mme du conseil)? 24

Production de rapports et communication dinformation 27

16. Quelles informations laudit interne doit-il communiquer dans ses


rapports trimestriels au conseil? 27

17. Comment laudit interne dcide-t-il si un risque ou une question lie


au contrle doit tre communiqu au conseil? 29

18. Pour une utilisation efficace des sances huis clos : Y a-t-il dautres
questions que vous souhaitez porter la connaissance du conseil? 30

valuation de la fonction daudit interne 33

19. Comment le conseil doit-il valuer la fonction daudit interne? 33

20. Laudit interne applique-t-il en permanence les meilleures pratiques


du secteur? 34

Conclusion 37

Pour de plus amples informations 39

Au sujet de lauteur 41
3

Introduction

Depuis la publication de la premire dition de 20 Questions que les adminis-


trateurs devraient poser sur la vrification interne, la complexit des risques
auxquels les organisations sont exposes a considrablement volu. Cela
sexplique en partie par limportance prise par le cyberespace (cyberscurit,
technologies mobiles, mdias sociaux, mergence des mgadonnes) ainsi que
par lintensification de la rglementation, lincertitude conomique et politique,
limportance quont pris le dveloppement durable et lenvironnement et
la frquence accrue des catastrophes naturelles. Les attentes lgard de la
fonction daudit interne sont donc plus grandes.

Les conseils et les quipes de direction doivent sattendre ce que leurs


services daudit interne sadaptent ce nouveau contexte. Cette nouvelle
dition, intitule 20 Questions que les administrateurs devraient poser sur
laudit interne, tient compte de lvolution des enjeux; on y aborde des ques-
tions fondamentales sur le nouveau rle de la fonction daudit interne en ce qui
a trait la gouvernance, au risque et la conformit, ainsi que des questions
difficiles sur la valeur future que laudit interne peut crer. Les questions et
les rponses ont t rdiges en fonction des Normes internationales pour la
pratique professionnelle de laudit interne de lIIA (les normes de lIIA) et des
meilleures pratiques en matire daudit interne. Elles visent servir de base
une discussion claire entre les membres du conseil, la direction et la fonction
daudit interne sur la faon dont laudit interne peut sadapter aux nouvelles
attentes lgard de la profession, compte tenu des concepts ambitieux
sous-jacents.

Un thme rcurrent dans cette nouvelle dition est celui de la cration de


valeur . On demande de nombreux services daudit interne dvoluer, de
crer de la valeur durable pour leurs parties prenantes et de protger cette
valeur. Or, il existe plusieurs dfinitions concurrentes du terme valeur . Parle-
t-on daider lorganisation atteindre ses priorits stratgiques de faon plus
4 20 Questions que les administrateurs devraient poser sur laudit interne

efficace et efficiente? Sagit-il de soutenir lorganisation pour des initiatives cls


comme le lancement dun nouveau produit, un regroupement dentreprises ou
sa transformation? Ou bien de fournir une assurance lgard de la confor-
mit la rglementation externe et aux politiques et procdures internes? La
rponse ces questions dpendra de la nature et de la complexit des risques
auxquels est expose lorganisation ainsi que de la mesure dans laquelle cette
dernire estime que la fonction daudit interne pourrait aider la direction att-
nuer ces risques et fournir une assurance cet gard aux membres du conseil.

REMARQUE : Ce document a t rdig lintention de lorgane de direction


ou du comit qui est responsable de laudit interne. Il sagit habituellement
du comit daudit, mais parfois du conseil au complet, lorsque les entreprises
sont petites ou capital ferm. Dans le prsent document, conseil dsigne
indiffremment ces organes de direction.
5

Mandat

1. Notre organisation devrait-elle avoir


une fonction daudit interne?
Les conseils sont conscients de la complexit accrue de leur obligation
de reddition de comptes, qui dcoule de laccroissement des attentes
relatives la gouvernance, de lmergence de nouveaux risques et de
llaboration de nouveaux rglements. Des services indpendants de
certification et de services-conseils peuvent considrablement les aider
sacquitter de leurs responsabilits en matire de gouvernance.

Pour un membre du conseil dune entit cote, la question ne se pose


mme pas. Dans lventualit o lorganisation ne dispose pas dune fonc-
tion daudit interne, la dcision den crer une est un lment important
prendre en considration du point de vue de la gouvernance et du fonc-
tionnement. Laudit interne peut aider les administrateurs sacquitter de
leurs responsabilits, car elle leur fournit une assurance objective et ind-
pendante relativement la qualit des contrles mis en place lgard
des risques dans lorganisation. La fonction daudit interne peut aider
lorganisation grer les risques, les processus et les contrles et, partant,
atteindre ses principaux buts et objectifs stratgiques et rduire la
surveillance exerce son endroit par les autorits de rglementation.
Elle peut aussi, au besoin, aider la direction produire ses attestations
concernant la fraude et les contrles lgard de linformation financire.

La taille et la maturit de lorganisation sont des facteurs importants


prendre en considration, car laudit interne nest pas toujours ncessaire.
Les conseils de petites organisations peuvent estimer que les mcanismes
de surveillance en place leur permettent dobtenir une assurance suf-
fisante. Lautosurveillance, la supervision directe par le propritaire ou
la direction, la scurit des systmes dinformation et les contrles en
6 20 Questions que les administrateurs devraient poser sur laudit interne

matire de sant et scurit sont autant dexemples de ces mcanismes


de surveillance. Il est donc possible que les mesures de gestion des
risques adoptes dans les petites organisations leur fournissent un niveau
dassurance acceptable et rendent inutile une fonction daudit interne
structure. Les conseils devraient nanmoins tenir compte de la valeur
que les services de certification et services-conseils indpendants leur
confrent en les aidant sacquitter de leurs responsabilits en matire
de gouvernance.

Les conseils de petites organisations en pleine croissance devraient tenir


compte des risques supplmentaires lis au fait de prendre de lexpansion
et valuer sils peuvent profiter des services de certification et des ser-
vices-conseils indpendants que peut fournir une fonction daudit interne.
Ainsi, une fonction daudit interne peut aider les organisations pntrant
de nouveaux marchs ou lanant de nouvelles gammes de services ou de
produits composer avec un plus grand nombre de risques et elle peut
conseiller judicieusement la direction au fur et mesure que les proces-
sus et contrles ncessaires sont mis en place.

Des entreprises complexes peuvent tre exposes des risques qui


commandent un effort plus grand de surveillance et de contrle et une
expertise accrue. Leurs mesures de gestion des risques sont habituel-
lement complexes et rendent ncessaire une fonction daudit interne
indpendante pour tester la conception, lefficience et lefficacit de leur
environnement de contrle.

2. Quel est le rle du conseil et quelles


sont ses responsabilits en ce qui concerne
laudit interne?
Le conseil doit comprendre ce quil attend de laudit interne afin de
profiter au maximum de sa relation avec cette fonction.

Voici une description des responsabilits courantes du conseil en ce qui


concerne laudit interne :
Approuver la charte de la fonction daudit interneet la revoir
intervalles rguliers afin de sassurer quelle prvoit lindpendance
et le mandat voulus;
Participer la nomination, lvaluation, au remplacement et lta-
blissement de la rmunration du chef de laudit interne;
Sassurer dtablir une relation directe et franche et une communica-
tion suivie avec le chef de laudit interne;
Mandat 7

Approuver un plan daudit interne fond sur les risques, examiner le


processus ayant servi laborer ce plan et acqurir une compr-
hension de la raison pour laquelle dautres audits ventuels en ont
t exclus;
Sassurer que laudit interne dispose des ressources et du budget
suffisants pour mener bien le plan daudit;
Imposer au chef de laudit interne de faire priodiquement rapport
sur ltat davancement du plan daudit et les rsultats des activits
daudit interne;
Inviter le chef de laudit interne assister aux runions courantes du
comit daudit, y compris les sances huis clos.

De plus, mme sil est convenu quil incombe la direction et aux admi-
nistrateurs de dterminer la stratgie approprie pour lorganisation,
le conseil doit valuer sil souhaite la prsence de laudit interne aux
discussions sur ce sujet. Les fonctions daudit interne les plus efficaces
russissent fournir leurs conseils lassurance que les risques appro-
pris sont pris en compte et analyss par rapport la stratgie projete
et aux ventuelles retombes positives de sa mise en uvre. Les conseils
doivent cependant sassurer que laudit interne joue seulement un rle de
conseiller et ne participe pas directement aux discussions sur la stratgie
afin de veiller ce que cette fonction nait pas un pouvoir dcisionnel ou
nexerce pas une fonction de direction, ce qui pourrait nuire son ind-
pendance et son objectivit.

3. Quelle stratgie les chefs de laudit interne


doivent-ils laborer et quelle culture doivent-ils
instaurer pour le service quils dirigent?
Les conseils devraient consulter le chef de laudit interne pour dcider
avec lui du type de stratgie et de culture qui sont les plus appropries
et les plus utiles pour lorganisation.

titre de leaders, les chefs de laudit interne doivent faonner la stra-


tgie et la culture de leur fonction daudit interne. Dans ce contexte, la
stratgie dsigne la proposition de valeur cre par la fonction daudit
interne relativement la stratgie et aux objectifs de lorganisation, et la
faon dont elle continuera dtre soutenue et amliore au fil du temps.
Voici ce que cette stratgie doit comprendre :
8 20 Questions que les administrateurs devraient poser sur laudit interne

Prvoyance Penser lavenir afin de dterminer quels sont


les risques les plus pertinents et les plus pro-
bables auxquels est expose lorganisation
et qui pourraient nuire sa stratgie et ses
objectifs.
Clairvoyance Chercher de faon proactive les meilleures pra-
tiques en matire damlioration continue de la
gestion des risques, des contrles et des capaci-
ts de la fonction daudit interne.
Recul Fournir une assurance indpendante de la
mesure dans laquelle le programme de gestion
des risques et les contrles ont t efficaces et
efficients jusqu prsent.

Dans ce contexte, la culture dsigne les idaux, la philosophie et les


comportements rigs au rang de valeurs communes au sein du service
daudit interne. Les lments culturels essentiels que le conseil devrait
retrouver dans la fonction daudit interne sont les suivants :

Intgrit et valeurs Planifier des audits, les raliser et produire les


thiques rapports connexes de manire impartiale et
nuance, faire remonter les questions de don-
tologie par la voie hirarchique jusquau niveau
appropri, si ncessaire jusquau conseil, et pro-
duire des constatations et des recommandations
tayes par des preuves.
Importance accorde laborer un plan daudit en phase avec les plans
au risque stratgiques et les risques qui sy rattachent et
adopter une approche dynamique de la dlimi-
tation des travaux daudit et de la ralisation de
laudit qui tienne compte de la gestion du risque
dentreprise.
Efficience Maximiser lincidence de laudit interne avec
un budget fixe grce ltablissement de prio-
rits, un modle efficace de rpartition des
ressources, des processus daudit efficients
ainsi qu la normalisation des processus dans
la mesure du possible.
Mandat 9

Qualit et innovation Mettre profit les comptences appropries


pour raliser des audits valeur ajoute, instau-
rer un processus rigoureux dvaluation de la
qualit et utiliser les technologies et pratiques
les plus pertinentes pour excuter les audits.
Culture oriente Travailler avec ses clients (responsable de
service lactivit ou du processus) pour laborer des
solutions pratiques et ralisables.

4. Comment la fonction daudit interne conserve-


t-elle son indpendance et son objectivit?
La fonction daudit interne doit conserver son indpendance et son
objectivit pour que le conseil, le comit daudit et les parties externes
puissent sappuyer sur ses travaux.

Pour que lquipe daudit interne joue son rle avec efficacit et
efficience, le conseil et la direction doivent tre convaincus de lind-
pendance et de lobjectivit de tous les membres de cette quipe, des
ressources daudit en cotraitance et de toutes les activits de la fonction
daudit interne.

Chef de laudit interne et auditeurs internes : Le conseil sattend ce


que le chef de laudit interne recrute et dirige une quipe qui, dans le
cadre de ses fonctions, fait preuve dobjectivit, dindpendance, dint-
grit, de franchise et dquit, et il recherchera des preuves cet gard.
Le conseil doit rappeler rgulirement laudit interne que, comme les
auditeurs internes sont ses yeux et ses oreilles , leur indpendance est
primordiale.

La norme de qualification 1100 de lIIA dfinit ainsi lindpendance :


cest la capacit de laudit interne assumer, de manire impartiale,
ses responsabilits ; et lobjectivit est [] une attitude impartiale
qui permet aux auditeurs internes daccomplir leurs missions de telle
sorte quils soient certains de la qualit de leurs travaux, mens sans
compromis . Dans la rdaction des rapports sur leurs constatations, les
auditeurs internes ont-ils une raison dtre influencs par la direction?
La direction peut-elle exercer des pressions indues? Le fait dtablir une
relation hirarchique fonctionnelle en bonne et due forme entre laudit
interne et le conseil et le fait que le conseil fournisse un appui et des
conseils laudit interne rduisent considrablement ce risque.
10 20 Questions que les administrateurs devraient poser sur laudit interne

Ressources daudit interne en cotraitance : Le conseil doit sattendre


ce que les fournisseurs de services vitent les conflits dintrts avec
leurs clients, en plus de faire montre des qualits numres ci-dessus
pour les auditeurs internes et la fonction daudit interne, et il recherchera
des preuves cet gard. Le fournisseur de services rdige-t-il ses consta-
tations de faon tirer des revenus de mesures correctives ultrieures?
Plus la fonction daudit interne est indpendante dans le choix de ses
fournisseurs de services et plus elle suit de prs leur travail, moins
ceux-ci ont de motifs et doccasions de placer leurs intrts avant ceux
de lorganisation.

Activits daudit interne : Le conseil doit sattendre ce que les pro-


cessus de laudit interne visent identifier et valider, ainsi qu
communiquer la haute direction et au conseil, les risques importants
qui nont pas t attnus, et il recherchera des preuves cet gard.

La fonction daudit interne doit instaurer des politiques qui favorisent


ces comportements, fournir de la formation et faire un suivi continu. Les
conseils peuvent valuer lintgrit, les objectifs et la performance de
laudit interne en sentretenant avec le chef de laudit interne, ainsi quen
examinant les rsultats des contrles externes de la qualit.
11

Relations

5. Quel type de relations laudit interne doit-il


tablir avec ses parties prenantes?
Le conseil doit sassurer que laudit interne a une relation de travail
efficace avec la direction, lauditeur externe et les tiers ncessaires
pour mener bien le plan daudit.

Laudit interne doit composer avec les besoins et les attentes dun grand
nombre de parties prenantes. Le tableau qui suit contient une liste des
parties prenantes cls :

Partie prenante Nature de la relation avec laudit interne


Conseil / comit Le comit daudit du conseil, sil y en a un, est le plus souvent
daudit charg de surveiller laudit interne et de lui fournir encadre-
ment et orientation. Il lui incombe habituellement dexaminer
et dapprouver le mandat de laudit interne et le plan dau-
dit, de sassurer que la fonction daudit interne dispose des
ressources suffisantes pour sacquitter de ses tches et faire
rayonner la culture approprie, de soutenir laudit interne en
cas de questions lies la fraude et de maintenir les canaux
de communication ouverts avec le chef de laudit interne.
Il est important que le comit daudit tienne des sances
huis clos avec les auditeurs internes au moins quelques fois
par anne, car cela renforce lindpendance des auditeurs
internes par rapport la direction et leur donne loccasion
de sentretenir de problmes et de sujets de nature dlicate
en labsence de la direction. Il est tout aussi important que
le chef de laudit interne et le prsident du comit daudit
envisagent de se rencontrer dans un cadre officieux pour
consolider leur relation.
Les fonctions daudit interne les plus efficaces entretiennent
aussi des relations avec dautres comits pertinents du conseil
(risque, finance, gouvernance, etc.), le cas chant.
12 20 Questions que les administrateurs devraient poser sur laudit interne

Partie prenante Nature de la relation avec laudit interne


Cadres hirarchiques Laudit interne a besoin de la collaboration de la haute direc-
et cadres dirigeants tion pour mener bien son plan. Le conseil doit sassurer que
la relation de travail entre la direction et laudit interne est
(Chef de la direction,
efficace. Cela accrotra la probabilit que le travail de laudit
directeur financier et
interne se traduira par des observations et des recomman-
autres membres de
dations de valeur pour lentreprise et contribuera crer une
lquipe de direction)
culture axe sur lamlioration continue des processus strat-
giques et oprationnels de lorganisation, y compris en ce qui
concerne la gestion des risques.

Gestion du risque La fonction de gestion du risque dentreprise aide la direction


dentreprise identifier et grer le risque. Le conseil doit sassurer que
laudit interne tient compte des donnes de sortie appropries
manant de la fonction de gestion du risque dentreprise pour
laborer son plan daudit. Laudit interne doit avoir une relation
solide avec lquipe de gestion du risque dentreprise. Fournir
au conseil et la haute direction lassurance que les activits
de gestion du risque dentreprise sont efficaces fait cependant
galement partie des responsabilits de surveillance de la
fonction daudit interne.

Autres fonctions La fonction daudit interne doit tirer parti des travaux dautres
de certification fonctions de certification (p. ex. conformit, sant et scurit)
et dfinir la mesure dans laquelle elle peut sappuyer sur ces
travaux lorsquelle dlimite ltendue des travaux daudit
interne ncessaires dans ces domaines.

Auditeur externe Les auditeurs externes valuent lefficacit de laudit interne


dans le cadre de leur valuation de lenvironnement de
contrle. Ils peuvent aussi sappuyer sur le travail de laudit
interne pour tester certains contrles internes.

Laudit interne doit grer un certain nombre de relations avec des parties
prenantes aux besoins souvent antagonistes. Le chef de laudit interne
doit composer avec leurs besoins et leurs attentes et valuer priodi-
quement la performance de son quipe par rapport ces besoins et
ces attentes.

6. De qui laudit interne doit-il relever?


Lindpendance, relle et perue, de laudit interne est atteinte lorsque
le service daudit interne relve, sur le plan fonctionnel, du conseil ou
du comit daudit du conseil.

Pour remplir son mandat et fournir une assurance objective concernant


les activits de gouvernance, de gestion des risques et de contrle de
lorganisation, le service daudit interne doit tre indpendant de la
direction. LIIA fournit des directives sur le maintien de lindpendance,
indiquant que le fait que le chef de laudit interne relve du conseil sur
Relations 13

le plan fonctionnel et de la direction sur le plan administratif est une


bonne pratique. Le lien hirarchique fonctionnel avec le conseil permet
la participation de ce dernier des dcisions importantes comme lap-
probation du plan et du budget daudit interne ainsi que lapprobation de
la rmunration, de la nomination ou de la destitution du chef de laudit
interne. Laudit interne est responsable de la participation du conseil aux
dcisions cls concernant le personnel, les processus, la technologie et la
structure de la fonction, ainsi que pour ce qui est de linterprtation de
constatations daudit importantes. Dautres comits du conseil peuvent
aussi avoir intrt sentretenir priodiquement avec laudit interne, par
exemple le comit sur la gestion des risques, des mesures de protection
contre les risques oprationnels pertinents.

Selon les directives de lIIA, laudit interne devrait relever, sur le plan
administratif, du cadre le plus lev dans la hirarchie organisationnelle.
Le plus souvent, le chef de laudit interne relve sur le plan administratif
(pour ce qui est des pratiques recommandes) du chef de la direction,
du directeur des services juridiques et, ensuite, du directeur des finances.
La personne dont relve administrativement le chef de laudit peut avoir
une incidence importante sur le profil de la fonction et son influence
dans lorganisation. Le fait de relever du chef de la direction peut per-
mettre la fonction de travailler avec les services dexploitation qui sont
troitement aligns sur les objectifs stratgiques fondamentaux de lorga-
nisation et de les conseiller. Selon les pratiques de saine gouvernance, il
faut sassurer que la fonction daudit interne conserve son indpendance
et son objectivit, peu importe de qui elle relve sur le plan administratif.

Le fait de relever de la direction sur le plan administratif est important,


car cela permet laudit interne de fonctionner au quotidien sans inter-
vention directe du conseil et de jouer un rle de conseiller de confiance
indpendant auprs de la direction, dans un esprit de collaboration.

7. Comment le conseil peut-il optimiser sa relation


avec le chef de laudit interne?
La relation entre le prsident du comit daudit et le chef de laudit
interne est primordiale pour maximiser la valeur qua laudit interne
pour le conseil.

Une relation solide entre les deux personnes favorise des discussions
saines et franches.
14 20 Questions que les administrateurs devraient poser sur laudit interne

Un document publi en 2013 par lIIA Research Foundation et intitul


The Audit Committee and the CAE, Sustaining a Strategic Partnership,
souligne limportance dune relation fonde sur la confiance et louverture
entre le chef de laudit interne et le prsident du comit daudit et propose
quatre moyens dtablir de tels changes positifs :
Suivre des programmes de formation ensemble.
Participer des webmissions destines la fois aux chefs
de laudit interne et aux prsidents de comits daudit.
Se rencontrer pour des discussions libres intervalles rguliers,
parfois mme le soir ou le week-end.
Visiter ensemble les tablissements de lentreprise afin davoir
une mme comprhension des questions lies lexploitation
et aux activits.
15

Conception de lorganisation
et ressources

8. Votre fonction daudit interne est-elle agile


et prte samliorer continuellement selon
les besoins?
Les fonctions daudit interne visionnaires sinterrogent continuellement
sur les comptences qui seront ncessaires pour atteindre les objectifs
futurs.

Les conseils doivent, dune part, se sentir rassurs par la stratgie de


la fonction daudit interne et, dautre part, tablir si la fonction daudit
interne est suffisamment agile pour remplir son mandat.

Les conseils doivent vrifier que la fonction daudit interne prsente les
caractristiques suivantes :

Agilit : Laudit interne doit voluer au mme rythme que lorgani-


sation. La structure de la fonction doit tenir compte des nouveaux
risques auxquels est expose une organisation qui volue et se
dveloppe. En ce qui a trait aux comptences et lexprience, la
dotation en personnel de laudit interne doit tre fonction de son
plan daudit, ainsi que du profil de risque de lorganisation. Il faut
pour cela commencer par recruter les bonnes personnes et continuer
en mettant sur pied des programmes de formation lintention de
lquipe de base de laudit interne. Il faut galement pouvoir compter
sur des experts techniques internes ou externes selon les besoins, et
il est essentiel que les membres permanents du personnel du service
16 20 Questions que les administrateurs devraient poser sur laudit interne

daudit interne, de tous les chelons, soient affects une gamme


diversifie de missions pour quils puissent avoir une vue globale de
lorganisation.

Perfectionnement du personnel et expertise technique : Les


fonctions daudit interne trs efficaces ont recours avec succs la
rotation des postes et font appel des auditeurs invits. La rotation
des postes, avec dtachement dans dautres fonctions, permet aux
auditeurs internes dlargir leurs horizons et de devenir des profes-
sionnels accomplis. La rotation des postes a aussi pour effet de
consolider une relation de travail fonde sur la collaboration entre
laudit interne et les secteurs de lentreprise quils ont le mandat dau-
diter. Les rotations des postes du service daudit interne permettent
ceux qui ne sont pas des auditeurs internes (dtachs par dautres
services) de diversifier leur exprience et leurs connaissances et dap-
prcier le travail et lapport de laudit interne. On a souvent recours
des auditeurs invits comme experts techniques, mais il est essentiel
de trouver des personnes indpendantes de laspect vis par laudit.

Amlioration continue : Laudit interne se donne-t-il comme dfi


daccrotre la pertinence, lefficacit et lefficience de son travail, y
compris en ce qui concerne ses changes avec les diverses parties
prenantes et laide quil leur apporte? Par ailleurs, le fait que laudit
interne fasse rapport au conseil des valuations internes et externes
quil effectue indique gnralement quil vise constamment lamlio-
ration. Des comparaisons avec dautres groupes daudit interne ou au
sein du secteur dactivit peuvent constituer une excellente source de
meilleures pratiques et doccasions dchanger avec les organes de
direction et le comit daudit.

Pour sassurer que la fonction daudit interne est proportionnelle la taille


de lorganisation, cette dernire peut aussi envisager de faire appel du
personnel temps partiel ou de conclure des contrats de sous-traitance
ou dexternalisation au lieu dembaucher une quipe temps plein.
Conception de lorganisation et ressources 17

9. Quelles qualits le chef de laudit interne


devrait-il possder?
Le chef de laudit interne doit possder des qualits de chef, tre
dune intgrit toute preuve, avoir du courage, avoir une image de
leader, trs bien comprendre lentreprise, souhaiter apprendre, pouvoir
rpondre aux attentes et exercer une influence en plus dtre un excel-
lent communicateur.

Les qualits du chef de laudit interne sont habituellement focalises sur


le leadership, les relations humaines et les comptences organisationnelles
et analytiques. Le chef de laudit interne est un modle suivre pour les
autres membres de lquipe et il donne lexemple en ce qui a trait au
fonctionnement du service et ses rapports avec le conseil et le reste
de lorganisation. Il sait que la solidit et lefficacit de son quipe sont
primordiales pour la russite de son service et il choisit les personnes qui
la composeront en fonction de ces critres. En outre, ses comptences
interpersonnelles lui permettent de motiver les membres de son quipe
et de leur donner les moyens datteindre les objectifs de laudit interne.

Le chef de laudit interne moderne doit la fois jouer le rle tradition-


nel de certificateur que lon attend de lui et celui de conseiller. Outre
les qualits mentionnes ci-dessus, il doit donc avoir de lentregent, tre
diplomate, savoir faire preuve dhumilit, avoir de lassurance et tre en
mesure de gagner la confiance et le respect des parties prenantes avec
lesquelles il travaille. Il est aussi souple et proactif et a conscience que la
fonction daudit interne doit continuellement valuer si elle est en phase
avec les nouveaux risques et les changements organisationnels.

Le conseil doit chercher recruter quelquun qui sera considr comme


un leader tant au sein de son service que dans toute lorganisation. Il doit
galement exiger de la direction quelle invite le chef de laudit interne
toutes les runions ou discussions portant sur le leadership, la plani-
fication ou la stratgie afin que laudit interne puisse tenir compte des
priorits et des problmes nouveaux ou existants de lorganisation. (La
question se poser est la suivante : le chef de laudit interne a-t-il ltoffe
dun membre de la haute direction?
18 20 Questions que les administrateurs devraient poser sur laudit interne

10. Quels sont les nouveaux outils dont se dotent


aujourdhui les fonctions daudit interne de
premier plan?
Lmergence de nouveaux risques et les tendances au chapitre des
meilleures pratiques de contrle interne devraient orienter le choix des
nouveaux outils dans lesquels le groupe daudit interne devrait investir,
telle lexpertise en analytique des donnes et en cyberscurit.

Il est essentiel que la fonction daudit interne perfectionne et actualise


constamment ses comptences pour pouvoir composer avec les dfis
que son organisation aura relever (tendances sectorielles, lancement
de nouveaux produits ou services, nouveaux partenariats daffaires, etc.).
Raliser la bonne combinaison de comptences est fonction du profil
de risque de lorganisation et de la stratgie ou du plan daudit labors
pour fournir au conseil une assurance sur les contrles mis en place pour
ramener les risques un niveau acceptable. Il est impratif que cette
combinaison de comptences donne laudit interne les moyens voulus
pour mener bien le plan daudit. Les fonctions daudit interne les plus
efficaces recrutent des employs provenant dhorizons professionnels
divers qui correspondent aux activits et aux secteurs de risque de leurs
socits (par exemple des ingnieurs, des actuaires, des experts en
technologies de linformation ou en soins de sant). Avant dapprouver le
plan daudit, les conseils doivent se demander si la combinaison de com-
ptences runie au sein de la fonction daudit interne est suffisante pour
mener bien le plan daudit.

Les fonctions daudit interne ont de plus en plus souvent recours de


nouveaux outils comme lanalytique des donnes pour certains tests ou
pour la surveillance et laudit continus, et elles sen servent aussi pour
lanalyse prvisionnelle. La technologie et les logiciels devenant de plus
en plus perfectionns et conviviaux, lanalytique des donnes continuera
de se rpandre. Les fonctions daudit interne se dotent dun expert
interne en analytique ou alors elles externalisent cette activit.

Les organisations souhaitent galement pouvoir compter de plus en


plus sur le soutien de laudit interne pour la gouvernance des TI et la
cyberscurit, en particulier pour des risques importants comme les
cyberattaques qui perturbent les activits ou se traduisent par une
atteinte la vie prive ou la perte de renseignements confidentiels.

La fonction daudit interne doit sinterroger en permanence sur les


moyens qui seront ncessaires pour rpondre de nouveaux risques.
Conception de lorganisation et ressources 19

11. Quelles sont les grandes priorits sous-tendant


le plan daudit interne?
Les normes de lIIA exigent que le plan daudit soit fond sur les
risques et, de ce fait, lvaluation des risques par laudit interne
est la pierre angulaire du plan daudit.

Pour que les audits ncessaires ayant ltendue approprie soient


raliss, le plan daudit doit cadrer avec les objectifs stratgiques de
lorganisation. Cette cohrence entre le plan daudit et les objectifs
stratgiques aidera la fonction daudit interne fournir son conseil
lassurance que les risques susceptibles dentraver la ralisation des
objectifs font lobjet des mesures dattnuation appropries. Les normes
de lIIA exigent que le plan daudit soit fond sur les risques et, de ce fait,
lvaluation des risques par laudit interne est la pierre angulaire du plan
daudit. Laudit interne doit au moins acqurir une comprhension des
principaux secteurs de risque (nouveaux et existants) propres lorga-
nisation ainsi que des risques inhrents au secteur dactivit concern.
Le conseil doit sassurer que laudit interne tient compte des donnes de
sortie appropries manant de la fonction de gestion du risque dentre-
prise pour laborer son plan daudit. Les donnes dentre que laudit
interne doit prendre en considration pour laborer un plan daudit
interne visant ces secteurs de risque, pendant un laps de temps raison-
nable, sont indiques dans le tableau ci-dessous :

Relever les tendances actuelles et les faits


nouveaux en rglementation
Publications
sectorielles
Sert de point de dpart
puisque le plan stratgique Obtenir leurs commen-
prcise la finalit et lorien- Entretiens taires sur les initiatives
tation de lorganisation, ce Plan avec le conseil stratgiques venir
qui dfinit les risques et stratgique et la haute ainsi que sur les risques
les mesures prises pour les direction connexes et les mesures
attnuer que lquipe daudit
Donnes dattnuation
interne doit valuer dentre
courantes pour
llaboration
Tenir compte des autres fonc-
tions de certification dans le du plan Plans Examiner ces documents
Autres fonctions daaires, afin de complter la
but de sappuyer sur leurs
description des contrles
travaux plutt que de ra- de certification politiques et
et des processus faite par
liser des audits dans leurs procdures lquipe de direction
domaines de comptence
Risque
dentreprise
Obtenir de linformation sur les principaux
risques stratgiques identifis et grs par
lquipe de direction
20 20 Questions que les administrateurs devraient poser sur laudit interne

Une bonne pratique consiste laborer une stratgie pluriannuelle (au


plus trois ans) qui comprend un plan daudit dtaill renouvel tous les
12 18 mois. La stratgie et le plan sont mis jour continuellement dans
le cadre dun processus permanent dvaluation des risques afin que
laudit interne puisse rpondre aux nouveaux risques ou donner suite
aux nouveaux problmes. Laudit interne disposant habituellement dun
budget, des dcisions doivent tre prises quant aux risques ou aux sec-
teurs auditer. Pour cette raison, le plan doit non seulement numrer les
audits raliser, mais il doit aussi indiquer au conseil quels audits ont t
envisags, puis retirs du plan, et expliquer pourquoi les travaux daudit
ne porteront pas sur certains secteurs de risque cls, certaines priorits
ou certains problmes en particulier.

Le conseil doit approuver le plan daudit et ses modifications, sil en est.

12. Laudit interne doit-il sappuyer sur dautres


fonctions de certification?
Lappui sur des fonctions internes de certification, et la coordination
des efforts de chacune, rduit le double emploi et la lassitude lie aux
travaux daudit tout en fournissant un cadre propice pour changer des
conseils sur lvaluation des risques et les meilleures pratiques.

Outre la fonction daudit interne, dautres services de lorganisation


soccupent de certification, par exemple les groupes responsables de
la conformit, les fonctions de gestion de la qualit, les quipes respon-
sables du contrle interne qui valuent les contrles (p. ex., lgard de
linformation financire) et les groupes responsables de la gouvernance
des TI. Ces groupes sont des sources prcieuses de renseignements
sur lvaluation des risques et ils proposent des pistes pour trouver des
moyens encore plus rentables de fournir des services de certification et
des services-conseils.

Les groupes de lorganisation soccupant de certification avec lesquels


laudit interne pourrait travailler sont, par exemple, ceux qui soccupent
de la gestion du risque dentreprise, de la gouvernance des TI (y com-
pris la cyberscurit), de la protection de lenvironnement, de la sant
et scurit, de la sret, des assurances, des affaires juridiques et de la
dontologie, de la gestion des risques de projet.
Conception de lorganisation et ressources 21

Les lments qui doivent tre pris en considration lorsquon choisit de


sappuyer sur les travaux de tiers sont les suivants (Guide pratique de
lIIA sur la confiance accorde dautres prestataires de services de cer-
tification intitul Reliance by Internal Audit on Other Assurance Providers
et publi en dcembre 2011) :

1 2 3 4 5
Objectif Indpendance Comptence lments Communication
et objectivit de la des rsultats
pratique et des mesures
correctrices

Le prestataire Le jugement Le prestataire Le prestataire Le prestataire


de services de professionnel de services de de services de de services de
certification a un du prestataire certification certification certification
objectif prcis; il de services de a lexpertise instaure et communique
cherche fournir certification est des processus observe les les rsultats et
une assurance impartial et nest organisationnels politiques, les sattend ce que la
lgard pas indment voulue, les programmes et direction prenne les
dun secteur influenc par qualifications, les procdures mesures voulues en
de risque en dautres parties. lexprience appropris. temps opportun.
particulier professionnelle Le travail de Les faiblesses et
afin que son et les titres certification est les dficiences sont
travail soit professionnels dment planifi, communiques
pertinent pour pertinents, supervis, la personne
les objectifs et la formation document et qui il incombe
ltendue de continue rvis. Enfin, directement
laudit interne. ncessaire et les rsultats de prendre
la rputation reposent sur des mesures
davoir un bon des lments correctrices ainsi
jugement. probants quaux membres de
suffisants pour la direction ayant
tayer le degr des responsabilits
dassurance. de surveillance.

Lorsquune liste de prestataires fiables de services de certification a t


dresse, ltendue des travaux de chaque prestataire doit tre mise en
correspondance avec le plan daudit interne. Cette liste doit tre prsen-
te au conseil chaque anne en mme temps que le plan daudit afin
quil puisse valuer dans quelle mesure les diverses fonctions daudit et
de conformit ont t intgres au cadre gnral de gouvernance, de
gestion des risques et de certification de lorganisation.
22 20 Questions que les administrateurs devraient poser sur laudit interne

13. Comment laudit interne prvoit-il lapparition


de nouveaux risques ou lvolution de risques
existants, et comment sy adapte-t-il?
Laudit interne doit mobiliser en permanence les membres de la
haute direction et les autres parties prenantes internes et externes
autour des initiatives, des projets, des tendances externes et des
meilleures pratiques les plus rcents.

Lorganisation doit composer avec un large ventail de facteurs de risque


externes et internes, notamment :
linterruption des activits ou la perte de donnes dcoulant dune
cyberattaque;
des anomalies significatives dans les tats financiers dcoulant de
changements dans la composition de lquipe de direction;
le risque davoir subir des pnalits ou une atteinte la rputation
dcoulant du non-respect de nouvelles exigences rglementaires;
la perte de revenus dcoulant de la concurrence livre par dautres
entits, dautres produits et dautres services;
une baisse de la notation de crdit dcoulant de la conjoncture
conomique;
des problmes dordre juridique et rglementaire dcoulant de prises
de contrle hostiles;
des dpassements de cots dcoulant de modifications comme la
mise en uvre dun nouveau systme de gestion intgre;
des pertes financires dcoulant de grands projets dinvestissement;
des dpenses extraordinaires dcoulant des changements climatiques
et de faits environnementaux;
une baisse de la demande en raison de changements sociaux et
culturels;
une diminution de la part de march dcoulant de changements
technologiques et dinnovations dorganisations concurrentes;
des frais supplmentaires dcoulant de changements la tte de
ltat ou de modifications des politiques gouvernementales;
la baisse des marges dcoulant de variations des prix des marchan-
dises, du ptrole et du gaz et dautres intrants.

Le conseil doit sassurer que laudit interne a prvu ces risques et a valu
leur incidence sur ses objectifs, sa stratgie, son plan daudit, sa struc-
ture et ses ressources. Laudit interne doit mobiliser en permanence les
membres de la haute direction et les autres parties prenantes internes et
externes autour des initiatives, des projets et des faits nouveaux externes
Conception de lorganisation et ressources 23

les plus rcents. Le conseil peut aussi jouer un rle en renseignant laudit
interne sur les changements importants quil faudra peut-tre apporter
la planification. Il est possible quune fois au fait de ces changements, ce
mme conseil veuille rencontrer le chef de laudit interne pour sentretenir
avec lui des changements potentiels apporter au plan daudit.

14. Comment tenir la direction responsable de


la prise en considration des constatations
de laudit et de la mise en uvre des mesures
correctrices?
La direction constituera toujours la premire ligne de dfense pour
prvenir et dtecter les risques ou pour y rpondre et, par consquent,
on doit aussi sattendre ce quelle procde avec diligence la mise
en uvre des amliorations des contrles recommandes par laudit
interne.

Laudit interne doit laborer un programme pour surveiller ltat davan-


cement des plans daction de la direction dcoulant des constatations
de laudit et faire rapport cet gard. Ce programme peut consister en
points de contrle intervalles rguliers et en audits de suivi. Laudit
interne a ainsi la possibilit dexaminer en dtail les mesures correctrices
et de recueillir des lments probants pour tayer la conclusion de la
direction sur la question de savoir si les plans daction ont t mens
bien. Les rsultats de ces mesures de suivi doivent tre communiqus
au conseil.

Le conseil doit dterminer si la direction semploie concevoir et


raliser des plans daction pour attnuer les risques lis aux constata-
tions de laudit interne. Ltat davancement des plans daction en cours
doit faire lobjet dun rapport. De mme, les plans daction accusant
un retard important, lidentit des cadres responsables, les chances
et les raisons du retard doivent tre communiqus au conseil chaque
runion. Lorsque la direction ne respecte pas les chanciers fixs pour
les mesures prendre, le conseil peut dcider dinviter le cadre respon-
sable fournir un plan modifi et actualis. Travailler de faon proactive
la responsabilisation de la direction renforce lengagement du conseil
lgard des mesures correctrices et indique la haute direction quil est
important de rgler les problmes relevs dans le cadre des constatations
de laudit.
24 20 Questions que les administrateurs devraient poser sur laudit interne

Il peut arriver que la direction dcide de ne pas prendre de mesures


correctrices lies une constatation daudit. En pareil cas, laudit interne
doit consigner dans le dossier daudit que la haute direction comprend et
accepte le risque, et il doit ensuite en informer le conseil.

15. Comment laudit interne doit-il composer avec


des proccupations lgard de linconduite de
la direction (et mme du conseil)?
On fait souvent confiance au chef de laudit interne, en sa qualit de
leader indpendant qui relve du conseil sur le plan fonctionnel, pour
diriger ou soutenir des enqutes sur la fraude ou sur des proccupa-
tions lgard des membres de la direction ou du conseil.

Il faut rappeler au conseil que mme si laudit interne doit prendre les
fraudes en considration lorsquil effectue des travaux daudit dans des
secteurs vulnrables la fraude et teste les contrles pertinents, cest
la direction quil incombe vritablement de prvenir ou de dtecter les
fraudes. Quen est-il si la direction est souponne de fraude?

Le conseil doit ritrer limportance de le prvenir de tout cas din-


conduite de la direction. Il est plus facile de communiquer une telle
information lorsque la relation entre le chef de laudit interne et le
conseil est franche et ouverte, favorise par des changes constants
dans un cadre officiel ou informel, notamment des sances huis clos.
Par ailleurs, le conseil doit imprativement tablir un protocole qui pro-
tge le chef de laudit interne et lquipe daudit interne lorsque des
problmes ou des constatations de nature dlicate leur sont signals.

En pareils cas, le conseil doit interroger le chef de laudit interne


propos des lments ci-dessous afin de dcider des prochaines
mesures prendre :
Conception de lorganisation et ressources 25

Dans quelle mesure la source est-elle fiable? Lquipe daudit interne


1 a-t-elle observ ou repr elle-mme le cas dinconduite?

Quelles autres procdures de validation (sil en est) ou daudit lquipe


2 daudit interne doit-elle mettre en uvre?

3 Lquipe daudit interne doit-elle recommander la tenue dune enqute?

4 Le comportement contrevient-il au code de conduite de lorganisation?

Quelle est la nature de linconduite possible et quel est son


5 degr de gravit?

Quel est le rle de la haute direction (ou mme du conseil) dans lactivit
6 (qui dtermine si laudit interne doit contourner la voie hirarchique et
communiquer directement avec le conseil ou les autorits externes)?

Lorsque le conseil a dcid des mesures prendre, il peut confier lau-


dit interne le soin de coordonner les activits denqute, de contenir le
flux dinformation et de maintenir le secret professionnel, selon lidentit
du membre de la haute direction souponn dinconduite.
27

Production de rapports
et communication
dinformation

16. Quelles informations laudit interne doit-il


communiquer dans ses rapports trimestriels
au conseil?
Les fonctions daudit interne les plus efficaces prsentent les docu-
ments et les informations de faon claire et succincte en les classant
par ordre de priorit.

Les informations doivent tre prsentes sous forme de rsum dont


les thmes et les tendances sont mis en correspondance avec les princi-
pales stratgies et les principaux secteurs de risque de lorganisation. La
fonction daudit interne produit gnralement un rapport lintention du
conseil au moins une fois par trimestre. Voici les lments contenus dans
le rapport :

Observations et constatations : Les observations et constatations


importantes (ainsi que les plans daction de la direction visant
rpondre aux constatations) manant des audits internes termins
doivent tre classes par ordre de priorit et communiques au
conseil, et ce, sans exception. Le conseil demande en effet lau-
dit interne de lui fournir lassurance que les activits essentielles se
droulent comme prvu, que les contrles sont bien conus et que
les risques sont raisonnablement grs. Ltat davancement des plans
daction de la direction dcoulant des observations et constatations
antrieures risque lev doit aussi tre communiqu lorsque ces
plans accusent du retard.
28 20 Questions que les administrateurs devraient poser sur laudit interne

Indicateurs de performance / tableau de bord quilibr : Il est


important de comprendre le mandat et les objectifs de laudit interne,
ainsi que la performance de la fonction en ce qui les concerne. Lau-
dit interne doit faire rapport sur les indicateurs qui correspondent
leur mandat chaque fois que le conseil se runit. Les fonctions
daudit interne les plus efficaces adoptent une approche fonde
sur le tableau de bord quilibr et font rapport sur la performance
au regard du plan daudit, de la gestion du service daudit interne,
du perfectionnement des employs et des attentes des parties
prenantes.

valuation des risques, plan daudit interne et besoins en matire


de ressources : Laudit interne doit prsenter au conseil un plan
daudit interne fond sur les risques qui tablit les priorits pour
la fonction et ltendue des travaux dassurance dans lensemble
de lorganisation, ainsi que les ressources ncessaires pour mener
bien le plan. Le plan daudit doit aussi indiquer toute mission de
services-conseils prvue. Le conseil doit approuver le plan et les
ressources qui sy rattachent. Laudit interne fournit souvent des
informations claires sur dautres activits de certification et de
gestion des risques de lorganisation afin de donner une vue den-
semble de lassurance obtenue lgard des principaux risques dans
lorganisation.

Initiatives de gestion de la pratique : La gestion de la pratique


englobe toutes les activits entreprises par laudit interne pour
remplir son mandat et samliorer constamment pour devenir une
fonction de certification efficace. De telles activits sont, par exemple,
la planification et lordonnancement, la mise en uvre de logiciels
daudit et de technologies, la formation et le perfectionnement ainsi
que le recrutement et la rpartition des ressources.

Demandes de la direction : On demande souvent laudit interne


dapporter son soutien la direction soit en donnant des conseils, soit
en fournissant une assurance selon le modle daudit interne tradi-
tionnel. Il sagit notamment daider la prise de mesures en rponse
aux fraudes, aux checs aux contrles qualit, aux incidents de sant
et scurit, aux regroupements et aux cessions dentreprises ainsi
quaux autres situations survenant pendant lexercice et ayant pour
effet de restreindre les ressources de la direction. Avant de prendre
toute mesure concernant de telles demandes de la direction, laudit
Production de rapports et communication dinformation 29

interne doit valuer le risque relatif li la question et lincidence que


peut avoir le fait dy rpondre sur le plan daudit. Il est utile que le
conseil soit au courant de ces activits.

Activit de dnonciation et inconduite possible de la direction :


Laudit interne est souvent charg dadministrer certaines activits
de dnonciation, y compris celles de recevoir les plaintes et de les
transmettre au responsable appropri, qui peut tre le conseil pour
les accusations les plus graves.

Assurance de la qualit : Les normes de lIIA prconisent des va-


luations externes de la fonction daudit interne au moins tous les cinq
ans et des examens internes au moins une fois par an. Elles imposent
aussi au chef de laudit interne de communiquer au conseil les rsul-
tats des activits dassurance de la qualit concernant la fonction
daudit interne.

Lindpendance est un facteur quil faut prendre en considration pour


garantir que les informations ncessaires sont communiques au conseil.
Il est important de parler dindpendance avec le chef de laudit interne,
de lui faire savoir que le conseil doit tre inform de toute situation o
la haute direction cherche exercer une influence indue sur lui propos
des informations communiquer.

17. Comment laudit interne dcide-t-il si un risque


ou une question lie au contrle doit tre
communiqu au conseil?
Du jugement doit tre exerc pour dcider si un risque ou une
question lie au contrle est suffisamment important pour tre
communiqu au conseil, ce qui justifie en soi la dfinition de critres
de dcision.

Le conseil doit travailler avec le chef de laudit interne afin de dfinir


des critres permettant de dcider ce que la fonction daudit interne
doit communiquer au conseil. Les critres doivent en premier lieu tre
conformes aux normes de lIIA, qui prcisent que les constatations
daudit importantes, comme les risques (y compris les risques de fraude)
et les questions lies au contrle doivent tre communiques au conseil.
Du jugement est cependant ncessaire pour dterminer si un risque
ou une question lie au contrle est suffisamment important pour tre
30 20 Questions que les administrateurs devraient poser sur laudit interne

communiqu au conseil, ce qui justifie en soi la dfinition de critres.


Voici trois catgories de constatations ou de faits communiqus
habituellement au conseil :

Questions qui donnent lieu des risques rsiduels


plus importants que les limites fixes par lorgani-
sation pour la prise de risques
1

Questions dcoulant du fait que la direction


na pas communiqu son incapacit
datteindre les objectifs de performance 2
de lorganisation

Questions lies lintgrit organisationnelle


(fraude, comportement thique, responsabilit
sociale et autorisation sociale dexercer les activi- 3
ts, etc.)

Les critres devant tre remplis pour transmettre des questions daudit
au conseil doivent reflter ses priorits et ses choix. Le conseil doit tre
convaincu que laudit interne applique le cadre de travail systmatique-
ment, sans subir dinfluence ou de pressions de la direction ou de tiers
externes.

18. Pour une utilisation efficace des sances huis


clos : Y a-t-il dautres questions que vous
souhaitez porter la connaissance du conseil?
Le chef de laudit interne doit exercer son jugement professionnel
pour dterminer, dune part, quels lments dinformation de nature
dlicate doivent tre communiqus succinctement lors dune sance
huis clos et, dautre part, comment ils doivent ltre. Une sance huis
clos est aussi une excellente occasion de sassurer que le conseil a bien
compris les questions les plus importantes.

Il est important de prvoir du temps chaque runion du conseil (sous la


forme dune sance huis clos) pour permettre au chef de laudit interne
et son quipe de discuter de sujets qui nont pas t prsents dans les
documents dinformation pralables ou au cours de la runion. Il arrive
que des problmes survenant parfois quelques jours avant la runion
Production de rapports et communication dinformation 31

du conseil mritent dtre abords en runion. Il arrive aussi que le chef


de laudit interne hsite inclure certains points de discussion dans les
documents officiels de la runion. Lorsquil y a des digressions par rap-
port lordre du jour, que la discussion de certains points est retarde,
ou quelle est courte faute de temps, la question en titre constitue une
invitation aborder tous les points de discussion esquivs. Cette ques-
tion est un moyen simple et efficace de lever le voile sur le sous-texte
dun rapport daudit interne.
33

valuation de la fonction
daudit interne

19. Comment le conseil doit-il valuer la fonction


daudit interne?
Selon les normes de lIIA, les services daudit interne doivent subir
une valuation externe de la qualit tous les cinq ans.

Les conseils doivent valuer en permanence leurs fonctions daudit


interne pour renforcer le service daudit interne et accrotre sa perfor-
mance future (cette responsabilit doit tre inscrite dans la charte du
comit daudit). En plus de prendre en considration le point de vue des
administrateurs, lvaluation de laudit interne par le conseil doit tenir
compte des points de vue de la direction, des units fonctionnelles qui
ont t audites et du chef de laudit interne. Certaines pratiques recom-
mandes pour valuer laudit interne sont dcrites ci-dessous :

Indicateurs au niveau du conseilDfinir des indicateurs cls de


performance quantitatifs (nombre daudits par anne, nombre dau-
dits annuels par rapport au nombre demploys, temps consacr
laudit par rapport au budget, etc.) pour valuer la performance des
fonctions daudit interne.

valuation par la directionObtenir le point de vue de la direc-


tion sur la performance de laudit interne (exemples : Les auditeurs
internes comprennent-ils les activits de lorganisation? Lquipe dau-
dit interne a-t-elle les comptences et lexprience ncessaires pour
fournir des conseils valeur ajoute lorganisation? Les rsultats
daudit ont-ils t communiqus adquatement la direction? Les
recommandations daudit taient-elles applicables?).
34 20 Questions que les administrateurs devraient poser sur laudit interne

Autovaluation de laudit interneLe conseil doit sassurer que le


chef de laudit interne surveille la qualit des travaux de son quipe
(exemples : Les feuilles de travail sont-elles passes en revue? Des
valuations internes de la qualit des missions daudit sont-elles
effectues? Des sondages sur la satisfaction de la clientle ont-ils
t obtenus?).

Rsultats des valuations externes de la qualitEn vertu des


normes de lIIA, les services daudit interne doivent subir une valua-
tion externe de la qualit tous les cinq ans. Ces valuations fournissent
aux conseils des informations utiles sur la performance du service
daudit interne (notamment une valuation indpendante de la confor-
mit de leur fonction daudit interne des normes mondialement
reconnues, une comparaison de la performance avec celle dorga-
nisations analogues, une valuation de la structure hirarchique, du
personnel et des comptences ainsi quune valuation de la question
de savoir si les processus et pratiques de laudit interne cadrent avec
les attentes du conseil).

Rsultats de sondages sur la satisfaction de la clientleLa fonction


daudit interne doit raliser des sondages auprs des units fonction-
nelles audites aprs chaque mission. Les rsultats de ces sondages
peuvent dune part aider le conseil valuer la performance de laudit
interne et dautre part servir de base laccroissement de lefficacit
future du service (exemples : Les constatations et les recomman-
dations taient-elles appropries? Ajoutaient-elles de la valeur? Les
rapports taient-ils rdigs convenablement, prsents de faon
logique et faciles comprendre? Les communications taient-elles
coordonnes?).

20. Laudit interne applique-t-il en permanence les


meilleures pratiques du secteur?
Votre service daudit interne doit tre aussi dynamique et souple
que votre organisation et il doit toujours tre en qute doccasions
damlioration continue forte valeur.

Si votre conseil accomplit des tches de gouvernance et de surveillance


lgard de changements externes ou internes importants, les activits
de laudit interne doivent tre souples. Le conseil doit sassurer que les
auditeurs internes bnficient dune formation opportune et pertinente
valuation de la fonction daudit interne 35

qui leur permettra de fournir leurs services conformment aux exigences


en vigueur. Le chef de laudit interne doit tre en mesure de prouver au
conseil que les comptences de son quipe correspondent son mandat.

En plus de voir ce que les auditeurs internes maintiennent jour ou


acquirent les comptences requises, les membres du conseil doivent
sassurer quils comprennent lvolution des pratiques daudit et les
intgrent dans leur service. Les aspects de la performance de laudit
interne que les conseils devraient examiner sont les suivants * :

Les conseils doivent sinterroger sur la faon dont laudit interne sem-
ploie mettre en uvre un plan stratgique tourn vers lavenir pour
faire voluer les mthodes suivies.
37

Conclusion

Un grand nombre de fonctions daudit interne ont accru leur visibilit au sein
de leur organisation en se donnant les moyens dapporter une plus grande
valeur stratgique (la valeur tant dfinie par les principales parties pre-
nantes, y compris le conseil, le comit daudit, les cadres hirarchiques ainsi
que les autres fonctions de lorganisation axes sur les risques). Cette volu-
tion ncessite une approche selon laquelle ltendue des travaux dassurance
cadre troitement avec les objectifs stratgiques et prend en considration
les risques importants qui pourraient entraver la russite de lorganisation.
La capacit permanente dengager les parties prenantes dans un dialogue
constructif, de formuler des constatations judicieuses et de produire des
rapports qui rpondent aux besoins de ceux auxquels ils sont destins est
essentielle pour la russite future de lquipe daudit interne.

En conclusion :

Le conseil doit inciter le chef de laudit interne concevoir et grer le


service daudit interne de manire fournir une assurance objective et
formuler des recommandations utiles qui aideront son organisation
atteindre les objectifs stratgiques tout en rpondant de faon efficace
et efficiente aux risques pertinents.

Le service daudit interne doit tre conu de manire tre stratgique,


agile, clair, ax sur la collaboration et comptent. Les comptences en
gestion des relations et en communications devraient avoir le mme poids
que les comptences techniques en audit.
39

Pour de plus amples


informations

Publications de CPA Canada sur la gouvernance


(accessibles www.cpacanada.ca/gouvernance)

Collection lintention des administrateurs

Collection 20 Questions
20 Questions que les administrateurs devraient poser sur la constitution
et le maintien dun conseil dadministration efficace
20 Questions que les administrateurs devraient poser sur la relve du chef
de la direction
20 Questions que les administrateurs devraient poser sur les codes
dthique (deuxime dition)
20 Questions que les administrateurs devraient poser sur la gestion
de crises
20 Questions que les administrateurs devraient poser sur la gouvernance
des socits dtat
20 Questions que les administrateurs devraient poser sur la rmunration
du conseil
20 Questions que les administrateurs devraient poser sur lindemnisation
et lassurance responsabilit des administrateurs et des dirigeants
(deuxime dition)
20 Questions que les administrateurs devraient poser sur la rmunration
des dirigeants (deuxime dition)
20 Questions que les administrateurs devraient poser sur les valuations
de la gouvernance
40 20 Questions que les administrateurs devraient poser sur laudit interne

20 Questions que les administrateurs devraient poser sur les comits


de gouvernance
20 Questions que les administrateurs devraient poser sur linsolvabilit
20 Questions que les administrateurs devraient poser sur la vrification
interne (deuxime dition)
20 Questions que les administrateurs devraient poser sur les technologies
de linformation (deuxime dition)
20 Questions que les administrateurs devraient poser sur les mesures
prendre en cas dallgations dactes rprhensibles visant la socit
20 Questions que les administrateurs devraient poser sur le rle du comit
sur les ressources humaines et la rmunration
20 Questions que les administrateurs devraient poser sur les comits
spciaux (deuxime dition)
20 Questions que les administrateurs devraient poser sur la stratgie
(troisime dition)

Cahiers dinformation lintention des administrateurs


Surveillance exerce par le conseil sur le risque li la fiscalitQuestions
que les administrateurs devraient poser
Cahier dinformation sur les socits contrlesQuestions que les admi-
nistrateurs devraient poser
Cahier dinformation sur la diversitQuestions que les administrateurs
devraient poser
Recommandations lintention des administrateursCommunication de
linformation et attestation : quels sont les enjeux?
Recommandations lintention de la directionCommunication de linfor-
mation et attestation : quels sont les enjeux?
Cahier dinformation sur les interactions avec les actionnairesQuestions
que les administrateurs devraient poser
Cahier dinformation sur le dveloppement durable : enjeux environnemen-
taux et sociauxQuestions que les administrateurs devraient poser

Cadres
Un cadre de surveillance des risques lintention des conseils
dadministration
Fusions et acquisitions : cadre de surveillance lintention des conseils
dadministration

Directeurs financiers
Faire appel public lpargne : ce que les directeurs financiers doivent
savoir
41

Au sujet de lauteur

Bruce Webster
Associ, Services daudit interne
PwC s.r.l./ s.e.n.c.r.l.

Bruce Webster dirige les Services nationaux daudit interne de PwC Canada.
Il fournit conseils et assistance des entits du secteur public ainsi qu
des socits ouvertes et des socits capital ferm aux prises avec des
problmes daudit interne, de gestion des risques, de gouvernance et de
conformit.

titre dauditeur interne, M. Webster a rempli les mandats de direction et de


gestion suivants : chef intrimaire de laudit interne, externalisation complte
et partielle de la fonction daudit interne, audits internes lis des projets,
valuation des risques lchelle de lentreprise et transformation des rsultats
en plans stratgiques daudit interne fonds sur les risques, examens externes
de la conformit de la fonction daudit interne, tests lis lattestation des
contrles internes et examen des systmes de contrle interne aprs une
dfaillance des contrles afin dvaluer la manire dont les contrles ont t
contourns.

Bruce Webster a galement particip la prparation et la prsentation de


nombreux sminaires de perfectionnement professionnel lintention de clients
et dassociations ainsi que de professionnels de son propre cabinet.

Formation et associations :
Baccalaurat en commerce, Universit McMaster, 1986
Comptable agr, 1989, membre de lInstitut Canadien des Comptables
Agrs (ICCA) et membre de lInstitut des comptables agrs de lOntario
42 20 Questions que les administrateurs devraient poser sur laudit interne

Certified Fraud Examiner, 1993, membre de lAssociation of Certified Fraud


Examiners
Association canadienne des conseillers en assurance et en finance, 2000,
admis parmi les premiers CA spcialistes en juricomptabilit de lICCA
Certified in Financial Forensics, 2014, AICPA
Membre du conseil de lAlliance pour lexcellence en juricomptabilit (de
2000 2007)
Membre du comit dagrment de lICCA pour lAlliance pour lexcellence
en juricomptabilit (de 2007 2014)
Membre de lInstitut des auditeurs internes (IIA)
Gouverneur pour la section de Toronto de lIIA
277, RUE WELLINGTON OUEST
TORONTO (ONTARIO)CANADAM5V 3H2
TL. 416 977.3222TLC. 416 977.8585
WWW.CPACANADA.CA