Académique Documents
Professionnel Documents
Culture Documents
Objectifs
1. Identifier la fonction d’Audit Interne
2. Cerner son champ d’application
3. Identifier ses clients et ses processus
4. Distinguer la fonction d’Audit Interne des fonctions voisines
5. Comprendre ses exigences qualités
1
01/02/2018
Bibliographie
• COSO report: la pratique du contrôle mars 2002
• COSO référentiel intégré de contrôle interne IFACI mai 2014
• Théorie et pratique de l’Audit Interne, 9ème édition / Jacques Renard –Ed.
d’organisation, 2015
• Les normes professionnelles de l’Audit Interne: mises à jour en janvier
2017
• Le management des risques de l’entreprise COSO report II / IFACI
octobre 2005
• Le management des risques de l’entreprise – une démarche intégrée à la
stratégie et à la performance
Plan
Clients, Processus et
compétences de l’AI
CRIPP
L’AI et les fonctions
voisines Champ d’application de
l’AI
Évolution de l’AI
2
01/02/2018
Evolution de l’AI
Evolution de l’AI
L’apparition de l’AI moderne remonte à la crise économique de 1929 aux
Etats-Unis, les entreprises subissaient de plein fouet les effets de la crise et
il fallait réduire les charges.
3
01/02/2018
Evolution de l’AI
La crise passée, compte tenu des connaissances acquises, la pratique des
méthodes et outils appliqués au comptable, les entreprises ont continué à
garder l’activité et même élargir le champ d’application et modifier les
objectifs.
Evolution de l’AI
Il regroupe des membres dans plus de 170 pays, directement ou via des chapitres
affiliés. L’IIA veut être la voix de la profession, son principal représentant et le
défenseur de ses intérêts. Le siège de l’IIA est à Altamonte Springs, Floride, Etats-
Unis.
4
01/02/2018
Evolution de l’AI
• Développer des standards professionnels et des bonnes pratiques;
• Proposer un programme de certification;
• La recherche, la dissémination et la promotion auprès des praticiens et
autres parties concernées, des connaissances en matière d’AI et de son rôle
dans le contrôle interne, dans la gestion des risques et la gouvernance
d’entreprise;
• Former les praticiens et tout public concerné ou intéressé aux meilleures
pratiques de l’AI;
• Réunir les Auditeurs Internes de tous pays, pour le partage de l’expérience
et de l’information relatives à la pratique de l’AI.
Evolution de l’AI
La fonction est apparue en France en 1960 uniquement dans le domaine
comptable et ce n’est qu’à partir des années 1980 que les spécificités
commencèrent à se dégager.
Vers la fin des années 1980 et avec l’instauration des programmes d’ajustement
structurel, la fonction a fait son apparition au Mali.
10
5
01/02/2018
Définition
L’AI a vu se succéder plusieurs définitions avant que la notion ne soit
stabilisée. Parmi ces définitions, il peut être retenu:
Définition
• Réalisé par un service de l’entreprise de l’AI consiste à vérifier si les règles
édictées par la société elle-même sont respectées.
6
01/02/2018
Définition
Activité indépendante et objective qui donne à une organisation une assurance sur le
degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
L’activité d’AI aide cette organisation à atteindre ses objectifs en évaluant, par
une approche systématique et méthodique, ses processus de management des risques, de
contrôle, et de gouvernement d’entreprise, en faisant des propositions pour renforcer
leur efficacité.
Définition
Activité : il faut certainement voir là une nouvelle expression de la porte ouverte
à l’externalisation qui a fait débat et continuera à le faire.
7
01/02/2018
Définition
Objectivité : est une attitude impartiale qui permet aux auditeurs internes
d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de
leurs travaux menés sans compromis. L’objectivité implique que les auditeurs
internes ne subordonnent pas leur propre jugement à celui d’autres personnes.
Définition
Assurance et conseils : il s’agit là des deux activités exercées par les auditeurs
internes, les missions d’assurance et de conseils.
8
01/02/2018
Définition
Valeur ajoutée: cette exigence se traduit dans les recommandations de l’auditeur
qui s’apprécie d’un triple point de vue:
▪ L’auditeur ne doit pas être uniquement là pour remettre les choses en état, il
doit faire des recommandations qui améliorent la situation antérieure;
▪ L’auditeur ne propose pas seulement des dispositions nouvelles mais fait
supprimer des dispositions existantes pénalisantes;
▪ L’exigence s’applique également aux mission de conseil.
Définition
Systématique et méthodique : le métier d’auditeur ne s’improvise pas, l’exercice de la
fonction est lié à des exigences professionnelles.
9
01/02/2018
Caractéristiques de l’AI
Fonction universelle: ce qualificatif est perçu dans un double sens car elle
s’applique à toutes les organisations et à toutes les fonctions là ou elle s’exerce.
L’AI s’applique à toutes les tailles d’entreprises ainsi qu’à toutes les natures
d’entreprises. Au delà des entreprises l’AI concerne toutes les activités
économiques quelque soit la forme juridique.
Caractéristiques de l’AI
Fonction périodique: fonction permanente au sein de l’entreprise, l’AI est une
fonction périodique pour ceux qui la rencontre.
10
01/02/2018
Activités d’AI
Mission d’assurance: Examen objectif d’éléments probants, effectué en vue de
fournir à l’organisation une évaluation indépendante des processus de
gouvernement d’entreprise, de management des risques et de contrôle.
Activités d’AI
Les intervenants
Utilisateur de l’évaluation
Audit Audit
Audité Audité
interne interne
11
01/02/2018
La Direction Générale
L’encadrement
12
01/02/2018
AI - CAC
Au plan de la définition
AI - CAC
Au plan du statut
13
01/02/2018
AI - CAC
Au plan de l’indépendance
AI - CAC
Au plan de l’objectif
14
01/02/2018
AI - CAC
Au plan du champ d’investigation
AI - CAC
Au plan de la périodicité des interventions
L’AI intervient de manière permanente au sein de
l’organisation, dans le cadre de la réalisation des missions le
AI plus souvent planifiées en avance mais pouvant être, selon les
circonstances, non programmées ou décidées en urgence.
15
01/02/2018
AI - CAC
Coopération Elle est prévue dans les normes des deux professions et
entre les se traduit par la transmission de rapport, les réunions de
deux travail périodique etc.
fonctions
AI - Inspection
Au plan de l’approche et de la méthode
L’AI contrôle le respect des règles et leur pertinence puis
AI remonte aux causes pour élaborer les recommandations.
16
01/02/2018
AI - Inspection
Au plan de l’évaluation
L’AI critique le système et non les hommes, évalue le
fonctionnement du système à travers le management de
AI
risque, le contrôle et le gouvernement d’entreprise.
AI - Inspection
17
01/02/2018
AI - Qualité
Au plan de la définition
Activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses
AI
opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
AI - Qualité
Au plan de l’approche
Les missions d’AI sont plus approfondies, conduisent à des
recommandations qui doivent faire l’objet de plan d’actions
AI destinées à corriger les dysfonctionnements. L’AI met en
place un programme de suivi.
L’Audit qualité fournit un diagnostic, les rapports indiquent les
écarts par rapport au système qualité de l’organisation, au ISO,
mais sans formuler de recommandation. Il appartient ensuite à
Qualité l’audité d’élaborer l’action corrective à mettre en place pour
corriger cet écart. La fonction qualité s’assure de l’existence des
actions correctives et mesure leur efficacité.
18
01/02/2018
AI - Qualité
Au plan de la finalité
• La finalité de l’AI est d’évaluer tous les processus de
management des risques, de contrôle et de gouvernement
AI d’entreprise.
• Le rattachement hiérarchique se situe au plus haut niveau.
• La finalité est d’élaborer le SMQ, d’aider à leur application
et de garantir la conformité de ce SMQ à la norme ISO, par
la conduite d’audit qualité.
Qualité
• Le rattachement de la qualité se situe de manière variable
selon les entreprises mais cohérente avec l’orientation
d’assistance et d’accompagnement des opérationnels.
Cours 2017 TechnoLAB ISTA préparé par Nourou LY 37
AI – Contrôle de gestion
19
01/02/2018
AI - Qualité
Au plan de la méthode
AI CG
AI - Qualité
Au plan de la méthode
AI CG
• Investigue le passé seule réalité pour • Pour maîtriser l’avenir (plan), analyse
trouver ce qu’on aurait pu faire de pourquoi le présent ne lui ressemble
mieux et l’appliquer à l’avenir; pas (écarts);
• Découvre les moyens organisationnels • Élabore (mais ne décide pas) les
pour atteindre les objectifs. objectifs en s’appuyant sur des
hypothèses explicites.
20
01/02/2018
AI – Risk Management
Au plan de la méthode
AI
RM
• Identifie et évalue les risques internes et • est particulièrement attentif aux risques
externes de l’entreprise, compte tenu de stratégiques, politiques,
la globalité de la fonction ; environnementaux…;
• A partir de l’identification et l’évaluation • A partir de cette identification élabore
réalise ses missions de façon efficace et une cartographie des risques
efficiente. Il en constitue une base de permettant de les apprécier;
données pouvant servir de base pour la
cartographie des risques;
• Se saisit de la cartographie des risques et
la décline au niveau opérationnel.
AI – Risk Management
Au plan de la méthode
AI RM
21
01/02/2018
AI – Contrôle Interne
Au plan de la finalité
La finalité de l’AI est d’évaluer tous les processus de
management des risques, de contrôle et de gouvernement
AI d’entreprise.
AI – Contrôle Interne
Au plan de la méthode
Démarche systématique et méthodique.
AI
22
01/02/2018
Champ d’évaluation
Gouvernement
d’entreprise
Management
des risques
Contrôle
Interne
23
01/02/2018
Contrôle interne
Le développement du CI correspond à trois besoins différents:
1. La dérive des pratiques des entreprises: laxisme de l’application des règles de
gestion, l’oubli des règles de contrôle ou de sécurité, des fraudes internes
etc. Elle est due à la perte de certains repères et à l’effacement progressif de
la frontière entre ce qui est permis et ce qui n’est ne l’est pas;
2. La montée des risques liés à la globalisation, à la dématérialisation des
opérations;
3. Le développement des systèmes d’information.
Contrôle interne
Il existe plusieurs définitions du contrôle interne, le plus souvent les définitions
sont fonction du domaine d’activité.
De toute les définitions apparaît une évidence, le CI n’est pas une fonction et on
ne saurait parler de service de contrôle interne.
Compte tenu de la complexité croissante des activités et le souci de pouvoir les
maîtriser, le sénateur américain TREADWAY a initié en 1980 une importante
commission dénommée COSO (Committee of Sponsoring Organisation of the
Treadway).
24
01/02/2018
Contrôle interne
La recherche ne s’est pas limitée uniquement au COSO d’autres pays ont
emboité le pas et plusieurs modèles, rapports et règlementations ont vu le jour:
- Committee of Sponsoring Organisation of the Treadway (COSO),
1992: le contrôle interne est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personne d’une organisation destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs
suivants:
• la réalisation et l’optimisation des opérations;
• la fiabilité des informations financières;
• la conformité aux lois et aux règlementations en vigueur.
Contrôle interne
La recherche ne s’est pas limitée uniquement au COSO d’autres pays ont
emboité le pas et plusieurs modèles, rapports et règlementations ont vu le jour:
- Criteria on Control Committee (CoCo), 1995: le contrôle interne est
constitué des éléments d'une organisation (y compris les ressources, les
systèmes, les processus, la culture, la structure, et les tâches) qui collectivement
aident les gens à réaliser les objectifs de l'organisation, qui font partie des trois
catégories suivantes :
· efficacité et efficience du fonctionnement ;
· fiabilité de l'information interne et externe ;
· conformité aux lois, aux règlements et aux politiques internes
25
01/02/2018
Contrôle interne
- Turnbull report, 1999 : un système de contrôle interne englobe les politiques,
processus, tâches, comportements et autres aspects d’une entreprise qui, combinés:
• Facilitent l’efficacité et l’efficience des opérations en aidant la société à répondre de
manière appropriée aux risques commerciaux, opérationnels, financiers, de
conformité et tout autre risque, afin d’atteindre ses objectifs;
• Aident à assurer la qualité du reporting externe et interne ce qui nécessite de
conserver les enregistrements appropriés et de maintenir le processus qui génèrent
le flux d’informations pertinentes et fiables en provenance de l’intérieur et de
l’extérieur de l’organisation;
• Aident à assurer la conformité aux lois et règlements ainsi qu’aux politiques internes
relatives à la conduite des affaires.
Contrôle interne
- Le cadre de référence de l’Autorité des Marchés Financiers, 2007 : le
contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux caractéristiques propres de chaque société
qui: contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à
l’utilisation efficiente de ses ressources, et doit lui permettre de prendre en
contre de manière appropriée les risques significatifs, qu’ils soient opérationnels,
financiers ou de conformités.
26
01/02/2018
Contrôle interne
- Le cadre de référence de l’Autorité des Marchés Financiers, 2007 : Le
dispositif vise plus particulièrement à assurer:
• La conformité aux lois et règlements;
• L’application des instructions et des orientations fixées par la direction
générale ou le directoire;
• Le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde de ses actifs;
• La fiabilité des informations financières.
Contrôle interne
Ces recherches ont aboutit à l’adoption de la loi Sarbanes-Oxley et la LSF
La SOX, votée en 2002 suite au nombreux scandales aux USA, dont Enron et
Worldcom, repose sur les principes suivants:
• La responsabilité des dirigeants de l’entreprise est engagée vis-à-vis des états
financiers publiés;
• La direction doit se prononcer sur l’évaluation de l’efficacité du contrôle
interne portant sur le reporting financier;
• Les CAC doivent certifier et établir un rapport sur:
• L’évaluation du CI faite par le management;
• Leur propre évaluation de l’efficacité du CI concernant le reporting financier;
• Les défaillances significatives doivent être signalées à la SEC
27
01/02/2018
Contrôle interne
Ces recherches ont aboutit à l’adoption de la loi Sarbanes-Oxley et la LSF
L’article 117 de loi sur la sécurité financière révisée en juillet 2005 exige des
présidents des sociétés cotées de rendre compte à l’assemblée:
• Des conditions de préparation et d’organisation des travaux du conseil
d’administration ou du conseil de surveillance;
• Des procédures de contrôle interne mis en place par la société;
• Des éventuelles limitations que le CA apporte aux pouvoirs du directeur
général.
Élargit le rôle des CAC à la validation des procédures décrites dans le rapport
du président pour autant qu’elles concernent l’élaboration et le traitement de
l’information comptable et financière.
Contrôle interne
De ces recherches, une définition générique de référence est retenu. Le contrôle
interne (dispositif de contrôle) est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personne d’une organisation destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs suivants:
• efficacité et efficience des opérations;
• fiabilité des états financiers publiés;
• respect des lois et des règlements en vigueur.
28
01/02/2018
Les composantes du CI
Le COSO et le CDR de l’AMF ont en commun le même nombre de
composantes (environnement de contrôle, évaluation de risque, activités de
contrôle, information et communication, pilotage) et la même approche
pragmatique. Toutefois, la dénomination des composantes diffère le plus
souvent et leur contenu d’apparence très proches présente parfois quelques
nuances.
Le COCO propose un modèle reposant sur quatre critères inter reliés (le but,
l’engagement, la capacité, suivi et apprentissage).
Les composantes du CI
Le Turnbull indique que le système de contrôle interne comporte:
• Les activités de contrôle;
• Le processus d’information et de communication;
• Les processus pour piloter et suivre l’efficacité du contrôle interne.
29
01/02/2018
Le modèle COSO
Opérations
Conformité
Information Financière
Activité B
Pilotage
Activité A
Information et communication
Activités de contrôle
Environnement de contrôle
Le modèle COSO
L’environnement de contrôle: reflète la culture d’une organisation puisqu’il
détermine le niveau de sensibilisation de son personnel au besoin de contrôle. Il
constitue le fondement de toutes les autres composantes du contrôle interne, en
fournissant une discipline et une structure.
Des activités de contrôle s’appuyant sur un environnement de contrôle sain:
• Définition et communication de valeurs éthiques et d’intégrité;
• Philosophie et style de management des dirigeants congruents avec ces
valeurs;
30
01/02/2018
Le modèle COSO
Des activités de contrôle s’appuyant sur un environnement de contrôle sain:
• Compétence des acteurs du contrôle interne ;
• Importance du rôle du conseil d’administration ou du comité d’audit;
• Alignement de la structure organisationnelle sur les objectifs;
• Affectation de l’autorité et de la responsabilité nécessaires aux différents
acteurs du contrôle interne;
• Gestion des ressources humaines permettant à chacun d’accomplir ses tâches
de contrôle.
Le modèle COSO
L’évaluation des risques : le processus qui consiste à identifier et à analyser les
risques pertinents susceptibles d’affecter la réalisation des objectif de
l’organisation, et à déterminer la réponse à y apporter.
Les étapes du processus d’évaluation des risques:
• Fixer les objectifs
• Identifier et analyser les facteurs du risques
• Maintenir un niveau de risques acceptables.
31
01/02/2018
Le modèle COSO
L’un des principaux déterminants de la stratégie de réponse aux risques réside
dans le degré d’aversion au risque de l’organisation.
Le degré d’aversion au risque d’une organisation correspond au niveau de risque
qu’elle est prête à courir avant d’estimer qu’il est nécessaire d’intervenir.
Déterminer comment gérer ces risques: quatre catégories de réponses sont
envisagées tolérance, transfert, traitement et évitement.
Gérer le changement.
Le modèle COSO
Les activités de contrôle : elles doivent être fonction d’une évaluation des
risques. A titre d’exemple: les normes, les politiques, les procédures..
Pour s’assurer que les mesures nécessaires sont prises pour maîtriser les risques
et atteindre les objectifs.
Propres à chaque organisation et à chaque fonction.
Exemple: séparation des tâches, contrôle physique, approbation etc.
32
01/02/2018
Le modèle COSO
Information et communication : des activités de contrôle supportées par un
système d’information et de communication adéquat.
- Système d’information:
• de qualité (exactitude et diffusion à temps);
• concerne tous les niveaux;
• permet un échange entre les fonctions.
Le modèle COSO
- Communication :
• Interne en fonction du besoin et véhiculer de façon horizontale et
verticale;
• Externe avec les clients, les fournisseurs, les autorités de tutelle, les
actionnaires..
33
01/02/2018
Le modèle COSO
Le pilotage : Un système de CI piloté afin d’en évaluer la qualité dans le temps:
• Opérations courantes (supervision);
• Opérations d’évaluation ponctuelle à la fréquence et au champ variable
(auto-évaluation, audit interne, audit externe etc.)
34
01/02/2018
35
01/02/2018
36
01/02/2018
37
01/02/2018
38
01/02/2018
Conformité
Unité de gestion
Opérations
Environnement interne
Division
Fixation des objectifs
Entreprise
Identification des événements
Evaluation des risques
Traitement des risques
Activités de contrôle
Information et communication
Pilotage
39
01/02/2018
40
01/02/2018
41
01/02/2018
42
01/02/2018
43
01/02/2018
Il peut et devrait être utilisé par tous types d’organisations, des petites entreprises
à celles qui investissent dans l’économie sociale et solidaire ; des établissements
publics aux grandes capitalisations boursières.
Evolution du COSO II
Le document mis à jour, intitulé « Le management des risques de l’entreprise –
une démarche intégrée à la stratégie et à la performance », souligne l’importance
de prendre en considération les risques tant dans le processus d’élaboration de la
stratégie que dans le pilotage de la performance.
44
01/02/2018
Evolution du COSO II
Le document mis à jour, intitulé « Le management des risques de l’entreprise –
une démarche intégrée à la stratégie et à la performance », souligne l’importance
de prendre en considération les risques tant dans le processus d’élaboration de la
stratégie que dans le pilotage de la performance.
Evolution du COSO II
En résumé, la mise à jour:
▪ Éclaircit l’intérêt du management des risques lors de l’élaboration et de la mise
en œuvre d’une stratégie;
▪ Renforce l’articulation entre la performance et le management des risques de
l’entreprise afin d’améliorer la définition de performance et la compréhension
de l’impact des risques sur la performance;
▪ Tient compte des attentes en matière de gouvernance et de surveillance;
▪ Reconnait la mondialisation des marchés et des activités ainsi que la nécessité
d’avoir une approche à la fois commune et modulée selon les zones
géographiques.
45
01/02/2018
Evolution du COSO II
En résumé, la mise à jour:
▪ Présentent de nouvelles manières d’appréhender les risques liés à la définition
et à la réalisation des objectifs dans un contexte de complexité accrue;
▪ Élargit le reporting pour répondre aux attentes d’une plus grandes
transparence de la part des parties prenantes;
▪ Tient compte de l’évolution des technologie et du foisonnement des données
et des analyses requises pour étayer la prise de décisions;
▪ Propose des définitions, des composantes et des principes pour chaque niveau
du management impliqué dans la conception, la mise en œuvre et le pilotage
des pratiques de management des risques de l’entreprise.
Evolution du COSO II
Le management des risques de l’entreprise – une démarché intégrée à la
performance précise l’importance du management des risques dans la
planification stratégique et dans l’intégration de la stratégie à travers
l’organisation. En effet, dans tous les départements et dans toutes les fonctions,
les risques influencent et ajustent la stratégie et la performance.
46
01/02/2018
Evolution du COSO II
Stratégie et Information
Gouvernance et Revue et
définition des Performance communication et
culture amendement
objectifs reporting
Evolution du COSO II
Les composantes:
1. Gouvernance et culture: la gouvernance donne le ton dans l’organisation, en insistant
sur l’importance du management des risques de l’entreprise et en définissant les
responsabilités de surveillance de cette démarche. La culture correspond aux valeurs
éthiques, aux comportements souhaités et la compréhension des risques dans l’entité.
47
01/02/2018
Evolution du COSO II
Les composantes:
3. Performance: les risques qui peuvent affecter la réalisation de la stratégie et des
objectifs opérationnels doivent être identifiés et évalués. Les risques sont priorisés selon
leur criticité dans le contexte de l’appétence pour le risque de l’organisation. L’organisation
sélectionne ensuite les modalités de traitement des risques et analyse en termes de
portefeuille le niveau de risque assumé. Les résultats de ce processus sont communiqués
aux parties prenantes clés concernées par les risques.
Evolution du COSO II
Les composantes:
5. Information, communication et reporting: le management des risques de l’entreprise
exige un processus permanent d’obtention et de partage des informations nécessaires,
provenant de sources internes et externes, qui sont transmises de façon ascendantes,
descendante ou transversale dans l’organisation.
48
01/02/2018
Evolution du COSO II
Gouvernance et Stratégie et Performance Revue et Information
culture définition des amendement communication et
objectifs reporting
1. Exercer une 6. Analyser le contexte 10. Identifier les risques 15. Évaluer le 18. Tirer parti des
surveillance des risques de l’organisation 11. Évaluer la criticité changement substantiels données et des
par le conseil 7. Définir l’appétence des risques 16. Réexaminer les technologies
2. Définir les structures pour le risque 12. Prioriser les risques risques et la 19. Communiquer les
organisationnelles 8. Évaluer les stratégies 13 Mettre en œuvre les performance informations relatives
3. Définir la culture alternatives modalités de traitement 17. Poursuivre aux risques
souhaitée 9. Définir les objectifs des risques l’amélioration du 20. Rendre compte des
4. Démontrer opérationnels 14. Développer une management des risques risques de la culture et
l’engagement en faveur vision globale du de l’entreprise de la performance.
de valeurs portefeuille de risques
fondamentales
5. Attirer, former et
fidéliser des personnes
compétentes
Le processus de gouvernance
Il existe une gamme d’information du terme « gouvernance » selon une variété de
circonstance, d’environnements, de structures, de cultures et d’aspects légaux.
Ou encore: ensemble des mécanismes qui ont pour effet de délimiter les pouvoirs
et l’influence des dirigeants, autrement dit, qui gouvernent leur conduite et
délimitent leur espace discrétionnaire.
49
01/02/2018
Le processus de gouvernance
On distingue :
La gouvernance corporate composée des actionnaires, du CA et de la Direction,
définit la relation entre les actionnaires, le conseil et les dirigeants.
Le processus de gouvernance
Rôle de l’audit interne dans la gouvernance de l’organisation
L’audit interne doit évaluer le processus de gouvernement d’entreprise et formuler
des recommandations appropriées en vue de son amélioration et déterminer si le
processus répond au objectifs suivants:
• Promouvoir des règles d’éthique et des valeurs appropriées au sein de
l’organisation,
• Garantir une gestion efficace des performances de l’organisation, assortie d’une
obligation de rendre compte,
• Communiquer aux services concernés de l’organisation des informations
relatives aux risques et aux contrôles,
• Fournir une information adéquate au conseil, aux AI et Externes et au
management et assurer une coordination de leurs activités.
50
01/02/2018
Le processus de gouvernance
Evaluation des processus relatifs à la conception et la mise en œuvre des
règles d’éthique et des valeurs appropriées au sein de l’organisation
• Des principes et des valeurs clairement définis,
• Un code d’éthique qui explique ce que l’on attend de chacun et ce qui est
interdit,
• Un Directeur de la conformité et de l’éthique qui s’assure qu’un système
efficace est en place,
• Un comité de l’éthique qui supervise les travaux du Directeur de la conformité
et de l’éthique
Le processus de gouvernance
Evaluation des processus relatifs à la conception et la mise en œuvre des
règles d’éthique et des valeurs appropriées au sein de l’organisation
• Une stratégie de communication pour s’assurer que les employés possèdent les
informations nécessaires en matière d’éthique,
• Des formations adéquates,
• Une « help line » pour répondre aux questions et donner des directions, des avis
si les procédures ne sont pas claires,
• Une « hot line » pour reporter les incidents potentiels,
• Un système de mesures, de récompenses et de sanctions,
• Le Leadership en matière d’éthique.
51
01/02/2018
Le processus de gouvernance
Evaluation des processus de management des risques
• Rôles et responsabilités clairement définis,
• Implication de la direction au plus haut niveau,
• Existence d’une analyse des risques à partir d’une méthodologie homogène et
rigoureuse,
• Définition des catégories et/ou types de risques,
• Cartographie des risques à partir de critères d’évaluation précis et connus,
• Mode de gestion des risques et stratégie de réponse aux risques.
Le processus de gouvernance
Evaluation du dispositif de contrôle interne
• Identification des risques à partir d’entretiens, de l’analyse des documents
existants
• Évaluation des risques et « priorisation » des audits,
• Recensement des activités de contrôle interne existantes et appréciation de leur
pertinence,
• Vérification de leur réalité opérationnelle (test, interview, observation,
vérification, réexécution du contrôle),
• Évaluer le dispositif de contrôle interne en identifiant les dysfonctionnements
et en proposant des actions correctives,
• Optimiser le dispositif de contrôle interne pour sa mise en conformité avec le
cadre de référence.
52
01/02/2018
Le processus de gouvernance
Evaluation du processus de gouvernance des entreprises
• Structure du conseil d’administration,
• Processus de nomination des administrateurs et indépendance des membres,
• Règles de fonctionnement: collégialité, confidentialité, décisions, diversité
femmes/hommes,
• L’assiduité et la vigilance de l’administrateur,
• Durée des mandats et renouvellements,
• Le renforcement des compétence par la formation,
• La préparation de la documentation et de la convocation du conseil
• Le registre des présences, les archives et les procès-verbaux,
• L’ordre du jour et l’organisation des travaux.
Le processus de gouvernance
Evaluation du processus de gouvernance des entreprises
• Le règlement intérieur et les « chartes de gouvernance »,
• Le rôle du président et la question de la dissociation des fonctions de direction
générale,
• Les comités spécialisés et leur mode de fonctionnement,
• Conformité aux codes et principes,
• La gestion des conflits d’intérêt,
• Sélection des auditeurs externes et indépendants,
• L’évaluation des travaux du conseil, son efficacité et alignement avec les intérêts
à long terme des actionnaires – mode de rémunération, évaluation de
performance,
• Communication sur la rémunération des membres du Conseil et des exécutifs.
53
01/02/2018
54
01/02/2018
1 2 3 4 5
Définir les
Évaluer les priorités de
Communiquer
risques Planifier le l’audit en Obtenir
Le
Point de vue programme cohérence l’accord
programme
par le DG et d’audit avec les conseil / DG
d’audit
le Conseil objectifs de
l’organisation
Fait
générateur Valeur
Données Client
ajoutée
d’entrée
Programme
de travail
Accomplissement de la mission
Résultats
Rapport(s)
55
01/02/2018
1 2 3
Résultat de la
mission Appréciation de la
réponse du Résultat du suivi
Compte-rendu management
du management
Fait générateur
Données d’entrée
1 2 3 4
Programme
d’audit
Résultat des Communiquer les Garantir le degré
Acceptation du
audits résultats du de maîtrise des
risque par le
Résultat du suivi programme activités de
Conseil et la DG
Mission, pouvoir d’audit l’organisation
et responsabilité
du SAI
56
01/02/2018
Evaluations externes
• Tous les 5 ans
• Évaluateur qualité, indépendant et extérieur à l’organisation
• Communication des résultats à la Direction Générale et au Conseil
Buts du programme
• Aider l’audit interne à apporter de la valeur ajoutée
• Garantir la conformité aux Normes
Eléments Eléments
Définition
Définition
57
01/02/2018
Le CRIPP
La réalisation des missions d’audit repose sur la mise en œuvre de l’ensemble des
dispositions obligatoires et recommandées du CRIPP.
Les dispositions obligatoires
• Les principes fondamentaux
• La définition
• Le code de déontologie
• Les normes internationales
Le CRIPP
Les dispositions recommandées
• Les lignes directrices de mise en œuvres
• Les lignes directrices complémentaires
Les dispositions recommandées sont des bonnes pratiques pour la mise en œuvre
des lignes directrices.
Adaptées par l’IIA dans le cadre d’un processus formel d’adoption, les dispositions
recommandées présentent des pratiques pour une mise en œuvre efficace de la
définition, des principes fondamentaux, du code de déontologie et des normes.
58
01/02/2018
Le CRIPP
Les principes fondamentaux
Les principes fondamentaux pris dans leur ensemble sont constitutifs de
l’efficacité de l’audit interne.
Pour qu’une fonction d’audit interne soit efficace, l’ensemble des principes doivent
être effectivement mis en place et fonctionner. Le non-respect de l’un de ces
principes pourrait impliquer que l’activité d’audit interne ne réalise pas sa mission
aussi efficacement qu’elle pourrait:
Le CRIPP
Les principes fondamentaux
Ils sont:
• Faire preuve d’intégrité
• Faire preuve de compétence et de conscience professionnelle
• Etre objectif et libre de toute influence indue (indépendance)
• Etre en phase avec la stratégie, les objectifs et les risques de l’organisation
• Etre positionné de manière appropriée et disposer des ressources adéquates
• Démontrer la qualité de l’audit interne et son amélioration continue
• Communiquer de manière efficace
• Fournir une assurance fondée sur une approche par les risques
• Etre perspicace, proactif et orienté vers le futur
• Encourager le progrès au sein de l’organisation
59
01/02/2018
Le CRIPP
Le code de déontologie
Le but est de promouvoir une culture de l’éthique compte tenu de la confiance
placée en l’AI pour donner une assurance sur les processus de management des
risques, de contrôle et de gouvernement d’entreprise, il est nécessaire que la
profession se dote d’un tel code.
Le CRIPP
Le code de déontologie inclut deux composantes:
• Des principes fondamentaux pertinents pour la profession et pour la pratique
de l’AI,
• Des règles de conduite décrivant les normes de comportement attendues des
AI.
60
01/02/2018
Le CRIPP
Quatre principes fondamentaux
• Objectivité : les auditeurs internes montrent le plus haut degré d’objectivité
professionnelle en collectant, évaluant et communiquant les informations
relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de
manière équitable tous les éléments pertinents et ne se laissent pas influencer
dans leur jugement par leurs propres intérêts ou par autrui.
• Confidentialité: les auditeurs internes respectent la valeur et la propriété des
informations qu’ils reçoivent, ils ne divulguent ces informations qu’avec les
autorisations requises, à moins qu’une obligation légale ou professionnelle ne
les obliges à le faire.
Le CRIPP
Quatre principes fondamentaux
• Compétence : les auditeurs internes utilisent et appliquent les connaissances, le
savoir-faire et expérience requis pour la réalisation des travaux.
61
01/02/2018
Le CRIPP
Quatre règles de conduite
• Objectivité: les AI ne doivent pas prendre part à des activités ou établir des
relations qui pourraient compromettre ou risquer de compromettre le caractère
impartial de leur jugement; ne doivent rien accepter qui pourrait compromettre
leur jugement professionnel; doivent révéler tous les faits matériels dont ils ont
connaissance et qui, s’ils n’étaient pas révélés, auraient pour conséquence de
fausser le rapport sur les activités examinées.
• Confidentialité : les auditeurs internes doivent utiliser avec prudence et
protéger les informations recueillies dans le cadre de leurs activités; ne doivent
pas utiliser ces informations pour en tirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux
objectifs éthiques et légitimes de leur organisation.
Le CRIPP
Quatre règles de conduite
• Compétence : les AI ne doivent s’engager que dans des travaux pour lesquels
ils ont les connaissances, le savoir-faire et l’expérience nécessaires; doivent
réaliser leurs travaux d’AI dans le respect des normes; doivent toujours
s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leur travaux.
62
01/02/2018
Le CRIPP
Les normes internationales
Les normes ont pour objet de :
• Définir les principes fondamentaux de la pratique de l’AI,
• Fournir un cadre de référence pour la réalisation et la promotion d’un large
champ d’intervention d’audit interne à valeur ajoutée,
• Établir les critères d’appréciation du fonctionnement de l’AI,
• Favoriser l’amélioration des processus organisationnels et des opérations.
Le CRIPP
Normes de Normes de
qualificati fonctionne
on ment
Normes de mise
en œuvre
63
01/02/2018
Le CRIPP
Les normes de qualification: énoncent les caractéristiques que doivent présenter
les organisations et les personnes accomplissant des activités d’audit interne.
Le CRIPP
128
64
01/02/2018
Le CRIPP
129
CRIPP
Introduction des Lignes Directives de Mise en œuvre: il s’agit de nouvelles
instructions visant à aider les auditeurs à mettre en œuvre les normes.
Elles proposent des outils, des techniques, des programmes, des modèles livrables.
65
01/02/2018
CRIPP
Les MPA et les Guides pratiques: ne seront pas immédiatement supprimés. Ils
seront revus et remplacés petit à petit par les lignes directrices de mise en œuvre et
de lignes directrices complémentaires.
Le contenu de celles fournissant des instructions aux auditeurs sera intégré aux
lignes directrices complémentaires.
Le CRIPP
Le glossaire
Contient des termes qui sont utilisés dans des acceptations particulières au sein des
normes.
66