Audit séance 01 :

Le terme anglais IPPF de l’I.I.A signifié le cadre de référence des pratiques professionnelles
de l`audit interne , ce terme est utilisé en Amérique mais ce terme est connu en France et
dans les pays francophone et en Europe sous le nom de CRIPAAI

Les document relatifs aux cadre de référence des pratiques professionnelles de l`audit
interne CRIPAAI :contient un peu Quesqu’ il guide quelqu`un ou une personne qui fait de
l`audit interne ou bien de la vérification interne

Exemple : ce fait on le ressemble comme un plombier qui a son guide ou bien ces outils pour
faire de la plomberie , Quesque il faut suivre ?
- Le comptable agrée il a le manuel de cca
- Le vérificateur interne il a le manuel qu`on appelle les des normes professionnelle de
l`audit interne

Aperçu du cadre de référence international des pratique de l`audit interne CRIPPAI

(IPPF) :

Ce schéma ci- dessus représente une bonne forme géométrique qui explique le cadre de
référence des pratiques professionnelles de l`audit interne ,

D`après le schéma on voit que tout département d`audit interne doit appliquer les dispositions
obligatoires qui sont :
 DEFINITION
Principes fondamentaux NORMES
MUST /DOIT
Disposition obligatoire CODE DE DEOTOLOGIES

mais aussi il n`est pas oblige d`appliquer

Lignes directives de mise en ouvre SHOULD
Des dispositions recommandées /DEVRAIT
Lignes directives complémentaires

Explication : ça veut dire que tout département de l`audit interne qui réclame qu`il respecte
les normes de vérification de l'institut des auditeurs internes ,il doit appliquer au minimum
tout ce qui est dit dans la partie supérieure du schéma , qu'on appelle les dispositions
obligatoires

 le département de l`audit interne s'il veut écrire dans ses rapports qui respectent les
normes professionnelles d'audit interne il faut qu'il démontre qu'il applique la partie
supérieure (disposition obligatoire ) minimalement sinon il a pas le droit d'écrire que
ce rapport la a été fait selon les normes professionnelle de l`audit interne car il peut
être suivi en justice .

 un département qui va stipule dans son rapport cette phrase (que lui il applique les
normes professionnelles de l`audit interne ) mais en revanche , il n`a jamais engagé un
évaluateur ou bien un consultant pour vérifier si il respecte ces normes-là alors il
sera en infraction. parce que c`est une phrase qui rends crédible les rapports du
département de l`audit interne aux yeux des comités de conseil d`administration .

 le département d`audit interne ne peut pas écrire qu`il applique les normes comme ça
il doit remmené des preuves en recrutant un consultant qui va visiter le département et
demander des dossiers et qui va questionner les vérificateurs pour savoir comment le
département fonctionne et il va rencontrer le président du conseil , le président du
comité d`audit , le chef de la vérification interne puis il va donner une note (si la note
dépasse les 65%) le consulte va dire que le département ( est conforme pour une
période par exemple de 3ans ).

Qu'est-ce qu'il y a dans les dispositions obligatoires ?

il y ‘a la définition de l`audit interne ,

Donc les normes vous disent que vous pouvez pas donnée n`importe qu`elle définition pour
l`audit interne mais il y`a une définition universelle c`est celle donne dans le cours .

Il y`a aussi les normes : document d`ordre professionnel promulgué par the internal auditing
standards board (comité interne de l`IIA charge d`élaborer les normes) afin de définir les
règles applicables à un large éventail d`activité d`audit interne et utilisables pour l`évaluation
de performance

Il y`a aussi le code déontologie : ce code comprend les principes applicables à la profession
et à la pratique de l`audit interne , ainsi que les règles de conduite décrivant le comportement
attendu des auditeurs internes . le code de déontologie s`applique à la fois aux personnes et
aux organismes qui fournissent des services d`audit interne . il a pour but de promouvoir une
culture de l`éthique au sein de la profession de l`audit interne .

Dans le code déontologie , on va parler de l`intégrité (c`est bien d`être intègre que ce soit
CFO,CPA peu importe votre certification ) , on va parler aussi de la confidentialité qui une
bonne qualité à avoir pour un professionnel .

La partie inferieur du schéma c`est les dispositions recommandées ça veut dire on souhaite
que ça soit appliquer dans les département d`audit interne mais on vous laisse l`initiative de
les appliquer ou pas .

La différence entre must / SHOULD :

Must / doit : utilisée dans les norme pour indiquer les exigences impérative

Explication du MUST ET DOIT : on a pas le choix de ne pas le faire car ces obligatoires ,
DANS LE CONTEXTE DE L`EXAMEN IL FAUT AFFIRME , il ne faut pas dire l`inverse

Should / Devrait : utilises dans les normes lorsque le respect de la disposition est
recommandé sauf si ,en faisant preuve de jugement professionnel , des adaptations sont
justifiése par les circonstances

Explication du Should /devrait : c`est des disposition recommandée et quand on parle de

recommandation ça veut dire que on est pas obligé de suivre la recommandation

Par exemple, un vérificateur interne ou externe qui fait un mandat d`audit peu importe le
sujet et le risque à la fin de la mission il va établir les constats puis il va formuler et adresser
es recommandations a son client ou bien audités . alors ce derniers n`est pas oblige
d`exécuter ou suivre les recommandations émise par le vérificateurs interne /externe car les
vérificateurs des fois on raison mais des fois on tort .

Le travail du vérificateur se termine quand il émis les recommandations et il ne peut pas dire
a l`audite qu`il va suivre ces recommandations . mais le vérificateur peut après avoir émis les
recommandations suivre le plan d`action lorsque auditée accepte ces recommandations car ces
recommandations peuvent lui ramène de la valeurs ajoutée .

la meilleure preuve a voir pour un vérificateurs quand l`audite accepte ces recommandations
c`est la présence d`un plan d`action . l`auditée va dire à l`auditeur qu'est-ce qu'il va faire pour
améliorer la situation au regard de ses recommandations .
si l`auditée ne donne pas un plan d'action et il va dire d`accord , c'est correct je vais suivre
ce que vérificateurs dit. cela ,c'est pas professionnel . il faut qu'il remis un plan d'action ou il
montre par rapport à telle recommandation voilà ce qu`il va faire .

EXEMPLE DE PLAN D`ACTION : pour une recommandation quelconque il va définir le

temps nécessaires pour la faire (il va la faire dans 3 semaines , dans un mois ) .

Pour une autre, il va dire par exemple , il va désigner un responsable qui sera nome x c'est un
acheteur ou bien c'est un gestionnaire marketing qui va s'assurer de l'exécution du plan
d'action pour corriger la situation indiquez dans les recommandation du vérificateur .
Par la suite le plan d`action va être soumis au département de la vérifications interne qui va
dire es ce les plans d'action sont suffisants pour répondre aux recommandations .

Donc quand on parle des recommandions il ne faut dire que ces commandements ou
bien que c`est des choses qui sont obligatoires car l`auditée peut ne pas accepter les
recommandations .

le vérificateurs interne a un grand défi car il est obligé de faire sortir des recommandations a
valeur ajoutée de tel façon que l`audite ne peut pas trouvée des excuses à ne pas les acceptées

Par exemple : si la recommandation du vérificateur interne stipule que l`audite doit faire un
un investissement de 2 millions alors que le département audite concerné par cette
recommandation et dans le négatif . alors c'est clair qu'il va rejeter cette dernière sous
prétexte d'une situation financière défavorable .

en outre, admettant que la recommandation du vérificateur révèle que l`audite doit acquérir
un tel logiciel et que ce derniers coûte 2 millions la aussi l`audite peut refuser la
recommandation et il va dire moi je peux pas. Le vérificateur peut proposer une autre par
exemple il va dire , c'est pas l'achat du logiciel qui va améliorer la situation mais peut-être je
vais mettre en place une procédure qui sera une meilleure façon de fonctionner et qui va
régler ou réduire le problème .

le vérificateurs doit être sûr de vendre la recommandation pour l`audite il faut pas
qu`il donne la chance a ce derniers de refuser la recommandation. le vérificateur doit
avoir de bons arguments pour convaincre l`audite .

Par exemple , le vérificateur doit convaincre l`audite que la recommandation ne coute pas
chère et que cet recommandation demande juste de réaffecter les taches des personnes . mais
si l`audite refuse , le vérificateur doit parle avec son gestionnaire qui va transmettre
l`information au conseil d`administration puis ça descend à la direction générale qui va s`en
charger à chercher la personne qui ne veut pas appliquer cette recommandation ou bien la
DG va chercher d`autres réelles raisons qui empêche la mise en place de cette
recommandation comme par exemple le manque d`argent , le manque de la volonté.

Un autre exemple , si le vérificateur émis une recommandations qui stipule un

investissement de 2 millions alors que l`entreprise se trouve dans la situation de faillite . dans
cette situation il sera blâme car il demande ces choses qui ne sont pas réalisables .
Explication de la définition DE L`AUDIT INTERNE selon le professeur   :

L’audit interne c`est une activité indépendante : vous ne pouvez pas dire que vous faites de
l`audit interne alors que vous vous trouvez dans une situation de conflit d`intérêt d`une
façon apparente ou bien réelle.

Si vous avez travaillé dans le département des finances puis il y a eu un embauche à

l`interne pour le département de l`audit interne et vous êtes devenu un auditeur interne ,
les normes stipule normalement que le nouveau recrus doit reste 1 ans avant de faire un
mandant qui va vérifier le processus du département pour lequel il a travaillé avant .

Le nouveau recrus doit réclame qu`il est en situation en apparence d`un conflit d`intérêt et
qu`il ne peut pas s`impliquer si il est appelé a faire un mandant de vérification dans le
département ou il a déjà travaille . il doit être professionnel et il doit sauvegarder
l`indépendance , il doit faire une activité sans qu`il y`est une influence quiconque.

on deux formes de l`indépendance :

- indépendance individuels ( du vérificateur lui-même )
- l`indépendance organisationnels (c`est l`indépendance de l`équipe de l`audit au
complet , du département complet ).

Par exemple : Le département de l`audit interne qui est sous la direction

CFO( directeur des finances) on peut pas dire qu`il est indépendant parce que il peut
pas faire un mandat sur un processus financier car il est sous influence et il peut pas
être objectif aussi .

L`indépendance c`est l`une des bases de l`audit interne , c`est pour cela chaque fin années
on doit la démontré par exemple , les travailleurs du département de l`audit interne doivent
remplir et signer une lettre ou ils vont s`engager à dire que toute en long de l`année ils ont
pas eu une situation où ils se sont retrouvée en conflit d`intérêt .
Et si dans le cas contraire , l`auditeur interne ne signe pas cette lettre il peut être appeler par
son gestionnaire pour voir pourquoi il n`a pas fait ça , le gestionnaire peut remonter
l`information aux membres du conseil d`administration .

L`indépendance du département : c`est lorsque le département est en doublement

rattachement

Le département est Rattache au conseil fonctionnellement et rattache la direction générale

administrativement ( ca veut dire la direction générale ne doit pas dire aux département
d`audit interne ce qu`il va faire ou bien ce qu’il doit audite mais c`est à lui de décider selon
les résultats des évaluations des risques qui fait , la direction générale est là pour payer les
employés du département , pour administrer le salaire , gérer les conges des employés ,
définir le budget du département de l`audit interne mais elle ne peut pas intervenir dans les
mandants du département , la direction peut suggérer au département d`audit interne de
faire une mission par exemple ,elle peut réclamer au département d`audit interne qu`elle
possède un garage que c`est dernier temps qu`elle remarque qu`il y`a des vols ). Dans ce cas
la le département d`audit interne a le choix de dire oui ou bien non . il peut ne pas accepter
la suggestion de la direction d`aller audite un processus ou bien une personnes .si il voit pas
qu`il y`a un risque important .

Objectivité : c`est toujours relier a l`individus

Exemple : admettant que vous faite une mission d`audit et dans le corridor ou bien quelque
part vous allez certainement rencontré une personne que vous vous allez échangé avec elle
des paroles et cet personnes va balancer des choses sur le processus que vous audite et vous
allez prendre ça comme une preuve ,comme une évidence dans votre dossier d`audit . ça
sera pas objective car vous avez entendu parle de quelque chose et vous voulez la rendre
évidence.

Le vérificateur interne est oblige de faire l`évidence approprier suffisante .

L`auditeur interne doit Objectif c`est à dire il doit devoir un opinion on se basant sur
évidence qu’il construit d`une façon professionnelle.

Assurance sur le degré des risques :

le vérificateur interne ou bien externe n`est pas là pour garantir à l`entreprise que les risques
sont bien géré , y`a aucun risque tout est beau…….. etc. mais le vérificateur doit donner une
assurance ca veut dire qu`il y`a des limites . en effet , l`assurance qu`il va donner c`est a
l`intérieur de ces connaissances qu`il la trouvé ou bien des connaissances transmise , alors si
il fait des constats alors qu`il n’a pas reçu toutes les connaissances alors l`assurance est
baisier .

Éviter de dire ce qu'on appelle les mots garantie car vérificateur interne ne donne jamais de
garantie pour audite

Mais le vérificateur donne une assurance pour la direction et les membres du conseil
d`administration ( il enlève un peu du stresse aux membre ,car il atteste que d`après les
contrôle qu`il a effectué le risque est bien en contrôle ) Alors il donne une assurance sur le
degré de maîtrise .
Apporte ces conseils : si jamais le vérificateur voit qu`il y`a pas en maitrise des risques alors
dans ce cas-là il va apporter à la direction générale ces conseils pour améliorer la situation
ces conseils vont contribuer à créer de la valeur ajoutée ,

Le mot clé de la valeur ajoutée est important , une des question posées a l`examen donner
moi un exemple de recommandation qui va apporter de la valeur ajoutée a l`entreprise .

Lorsque le vérificateur sort son rapport pour l`audite. ce derniers, peut dire que la
recommandation va me donner quoi ( elle va améliorer le temps , de mon travail , elle va
réduire la dépense va augmenter mes ventes ,va me protéger contre les malversations
contre la cybercriminalité )

Aide l`organisation à atteindre ces objectives : le vérificateur va identifier les risques qui
empêche l`organisation à atteindre des objective .

EXEMPLE :1 un élevé espère avoir A+ dans ce cours ça c`est un objectif c`est son rêve
,maintenant l`élevé planifie pour avoir cette note et là il va se demander quels sont les
risques qui vont m`empêche de ne pas arriver à ces objectifs fixes . par exemple il va
commencer par voir la disponibilité du temps qu`il peut donner pour son cours à titre
d`exemple si il dit 24 heure alors que lui il travaille alors cet objectif est irréaliste .c`est très
important que l`élevé fait ressortir toute cette panoplie de risques qui menace la réalisation
de son objectifs .

Exemple 2 : dans les entreprises des transports par exemple un des facteur des risque c`est
l`hiver parce que ça glisse , les bries , chauffeur non formes qui traine toujours dans la rue
qui ne prenne pas les bonne manouvre .

 Un objectifs peut avoir plusieurs risques

Dans l`examen final il va nous demander définir deux objectifs et quels sont les risques
associers pour chaque objectifs

Comment ça se fait un vérificateur interne qui connaît rien dans le business (il connaît rien
dans le métier des autres ) il sera apte ou capable d`aider une organisation à atteindre ces
objectifs ?

- Par La formation : la formation d`une semaine ne suiffait pas pour avoir les
connaissances dans la matière (le vérificateurs

- Par l ‘accompagnement :le vérificateur peut se renseigner on laissant des procédures

relatifs au processus il peut faire des réunion avec les audites .

- Par une connaissance déjà passe dans le domaine

Par ailleurs c`est jamais suffisant car le vérificateur ne peut pas se mettre dans la peau d`une
personne qui a 25 ans d`expérience dans le domaine mais l`expertise qui sera associer au
vérificateur c`est que il est capable de voir les risques contrairement aux opérationnels qui
ont de l`expérience car ces gens-là ne connaissent pas les méthodes d`identification et
l`évaluation des risques peut-être ils vont savoir quelques risques mais ils connaissent pas la
méthodologies de l`évaluation de tous les risques de tous les contrôles
Les opérationnels ces des personnes qui connaissement bien la job mais ne connaissent pas
les concepts risques , les concepts du contrôle.

Le domaine de l`évaluation des risques c`est un domaine d`expertise associer par

l`excellence au vérificateurs

Exemple :

Un opérationnels peut parler de la gestion des risques qui est toujours planifiée , il fait en
sorte de dire-moi si j`ai un anti-virus pas à jours je m`attend a être attaques d`ici 1 semaine a
2.

C`est l`anticipation des risques du fait qu`il y`a une vulnérabilité ( la non mise à jour de
votre anti-virus ) mais il doit le dire maintenant mais pas quand l`évènement arrive ( appareil
Fiji ).

Question posée par l`élève  :

Une question par rapport la structure dont une organisation on trouve un département de
gestion de risque dans ce cas la es ce que le rôle du vérificateur interne c`est de collecter les
informations auprès de la direction des risques ? ou bien d`examiner l`information et donner
son opinion ? ou bien de faire son travail appart et faire la comparaison avec les résultats qui
ont été déjà soulevé par la direction risques ?

Réponses du professeurs :

Dans la organisations ont trouvé une fonction de gestion de risques c`est une fonction qui
est rattache à la direction elle n`est pas indépendante . ça c`est un premier élément qui
distingue l`évaluation des risques de part de l`audit interne ou de part de la fonction de la
direction des risques . deuxième point , normalement l`audit interne veut s`aligner toujours
par tous ce qui fait par la fonction des risques mais il est pas oblige de suivre .

L`audit interne peut audit la direction des risque par exemple il va regarder es ce la
méthodologie suivit par cette fonction des gestion de risque la suit les normes et les bonnes
pratiques .

Dans les banques et assurances, la gestion des risque c`est une fonction qui fait partie de la
business elle même . par exemple : promettre a des clients des remboursement suit a des
sinistre a des risques , on voit que c`est une gestion des risques , donc dans ces secteurs là
c`est sûr que la fonction de gestion risques c`est un groupe d`excellence a part je vois pas
pourquoi l`audit interne va faire le même travaille alors que l`on a déjà une expertise très
mature .mais c`est pas le cas dans tous les secteurs souvent la fonction de gestion risque
n`existe pas .
deuxième cas de figure la fonction de gestion risque qui est associée avec l`audit interne
dans la même équipe

sinon l`audit interne peut faire son évaluation des risques qui est différente de l`évaluation
des risques qui faite pat la direction des risques .