CONTRÔLE INTERNE ET MÉTHODOLOGIE D’AUDIT

INTERNE

Animateur : MAIGA SOULEIMANA

MAI 2019
 SOMMAIRE

PREMIÈRE PARTIE : CONTRÔLE INTERNE SELON LE COSO

Chapitre I : Définitions et objectifs

I-1. Définitions
I-2. Objectifs

Chapitre II : Les composantes du contrôle interne

II-1. Environnement de contrôle

II-2. Évaluation des risques

II-3. Activité de contrôle

II-4. Information et communication

II-5. Pilotage

Chapitre III : Principes, limites et avantages, rôles et responsabilités

III-1. Principe

a- Organisation
b- Intégration
c- Permanence
d- Universalité du contrôle
e- Indépendance
f- Information
g- Harmonie du contrôle
h- Prévision
i- Qualité du Personnel
III-2. Limites et avantages du contrôle interne

III-3. Rôles et responsabilités

DEUXIÈME PARTIE : MÉTHODOLOGIE D’AUDIT INTERNE

Chapitre I : Présentation de l’Audit Interne

I-1. Définitions
I-2. Objectifs
I-3. Missions
Chapitre II : Initiation à l’Audit Interne

II-1. Attributions de l’auditeur interne

II-2. Typologie d’audit
II-3. Les référentiels de l’audit interne

Chapitre III : Organisation de l’auditeur interne

III-1. Rattachement hiérarchique

III-2. Organisation interne

III-3. Moyens de l’audit interne

Chapitre IV : Conduite de missions d’audit interne

IV-1. Phase de préparation

IV-2. Phase de réalisation ou de vérification

IV-3. Phase de conclusion

IV-3. Phase de suivi du rapport

IV-4. Outils et techniques d’audit

Chapitre V : Les organisations professionnelles d’Audit Interne

1 - The Institute of Internal Auditors (IIA)

2 - Union Francophone de l’Audit Interne (UFAI)
3- Institut Français de l’Audit et du Contrôle interne (IFACI)
3 – Association des Contrôleurs, Inspecteurs et Auditeurs du Mali (ACIAM)
PREMIÈRE PARTIE : CONTRÔLE INTERNE SELON LE COSO

Chapitre I : Définitions et objectifs

I-1. Définition du contrôle interne

La notion de contrôle

Plusieurs types de contrôles :

• Contrôles focalisés sur les Résultats = Contrôle de Gestion, Contrôle Budgétaire,

Contrôle Qualité, … ;

• Contrôles focalisés sur les comportements (fraude) = Inspection ;

• Contrôles focalisés sur les processus = contrôle interne

Important :

Lorsqu’on parle de contrôle interne, il faut l’entendre comme un état d’esprit, une
mentalité et non pas comme une fonction.

Pourquoi le contrôle interne ?

Deux phénomènes (parmi tant d’autres)

➢ La complexité croissante des entreprises et la dispersion des centres d’activités, ont fait
croître et développer la délégation de pouvoir, seul moyen permettant au dirigeant de
diriger à distance.

Ce phénomène a fait naître un certain

nombre de scandale financier

Perte de contrôle du management Perte de contrôle des actionnaires

sur les collaborateurs ou autorité de tutelle sur le management
➢ Le domaine du normatif n’a cessé de s’étendre : lois, règlements, contraintes
professionnelle et sociale…

C’est pour répondre à ces deux interrogations et à quelques autres, que des
initiatives ont été prises, lesquelles ont permis de définir avec précision les
spécificités du contrôle interne et de lui assigner des objectifs.

Définition

Le contrôle interne se définit selon le Committee of Sponsoring Organizations of the

Treadway Commission (COSO)

« Un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel

d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des
objectifs suivants:

• Réalisation et l’optimisation des opérations ;

• Fiabilité des informations financières et de gestion ;

• Conformité aux lois et aux réglementations en vigueur. »

Caractéristiques du Contrôle Interne

• C’est un processus :

✓ C’est un moyen, non une fin en soi ;

✓ Il est permanent. Il n’arrive pas une fois pour toute ou occasionnellement ;

✓ C’est un ensemble d’actions qui se répandent à travers toutes les activités de

l’entreprise ;

✓ Ce n’est pas une fonction.

• Il ne peut donner qu’une assurance raisonnable sur la réalisation des objectifs :

✓ Une assurance à 100% n’existe pas ;

 ✓ Cf. III.2 « Limites du Contrôle Interne ».

• La dimension culturelle :

✓ L’évaluation du contrôle interne ne doit jamais se faire « in abstracto ». Elle doit

impérativement tenir compte du milieu culturel de l’entreprise ;

✓ Une organisation jeune, en phase d’expansion  un système de contrôle interne

souple et adapté ;

✓ Une organisation complexe, arrivée à maturité un système de contrôle interne

plus élaboré.

▪ La dimension universelle :

✓ Le contrôle interne concerne toutes les activités de l’organisation ;

✓ Il se construit avec les mêmes dispositifs ;

✓ Il s’apprécie avec la même méthodologie et les mêmes outils.

▪ Rôle du Management :

✓ Quel que soit le dispositif mis en place, c’est le Management qui est responsable du
Contrôle Interne :

- Définition des tâches du personnel ;

- Définition des méthodes de travail ;

- Mise en place d’un système d’info. ;

- Supervision des activités.

I-2. Objectifs du contrôle interne

Nous pouvons citer 4 Objectifs :

▪ Protection et sauvegarde du patrimoine ;

▪ Qualité des informations ;

 ▪ Respect des directives ;

▪ Optimisation des ressources (efficience).

A- Protection et sauvegarde du patrimoine:

- Patrimoine : biens et dettes

- Protection : protéger ou défendre un éventuel agresseur

- Sauvegarde : conservation, préservation à plus long terme

B- Qualité des informations :

Ces informations doivent être :

- Fiables et Vérifiables ;

- Exhaustives ;

- Pertinentes (adaptées au but poursuivi) ;

- Disponibles.

C- Respect des directives :

- Dispositions législatives et réglementaires ;

- Politiques, plans et procédures ;

- Dispositions individuelles ou conjoncturelles.

D- Optimisation des ressources :

- L’entreprise a-t-elle les moyens de sa politique ?

- Les moyens dont dispose l’entreprise sont-ils utilisés de façon optimale ?

Chapitre II : Les composantes du contrôle interne
Il existe cinq (5) composantes autrement dit cinq (5) conditions essentielles qui sous-tendent la
mise en place d’un meilleur contrôle interne au sein d’une organisation :

▪ L’environnement de contrôle (culture de contrôle)

▪ Une évaluation des risques ;

▪ Des opérations de contrôle (activité de contrôle) ;

▪ Un système d’informations et une politique de communication ;

▪ Pilotage (suivi).
II-1. Environnement de contrôle

✓ Intégrité et sens de l’éthique ;

✓ Compétence ;

✓ Procédures, indicateurs de performance ;

✓ Plan d’organisation ;

✓ Délégations de pouvoirs ;

✓ Politique de GRH ;

✓ Comité d’audit.

II-2. Évaluation des risques

✓ Identification et analyse des risques susceptibles d’avoir un impact sur la réalisation des
objectifs ;

✓ Comment ?

- Définir les objectifs ;

- Identifier les risques

- Analyser les risques (gravité, probabilité, conséquences, etc.) ;

- Gérer les risques.

II-3. Activité de contrôle

✓ Ce sont les différents contrôles qui permettent de vérifier que les mesures sont prises
pour maîtriser les principaux risques ;

✓ Ces contrôles peuvent être de plusieurs types :

- Analyse des performances ;

 - Approbation, autorisation, etc. ;

- Vérification de l’exactitude, de l’exhaustivité ou de l’autorisation d’une transaction ;

- Contrôle physique (Ex : Inventaires) ;

- Séparation des tâches ;

- etc.

NB : Ces contrôles sont menés à tous les niveaux de l’organisation et par toutes les
fonctions.

II-4. Information et communication

✓ Les systèmes d’information et de communication doivent être articulés autour des

activités de contrôle ;

✓ Ces systèmes permettent au personnel de recueillir et d’échanger les informations

nécessaires à la conduite, à la gestion et au contrôle des opérations ;

✓ Nature des opérations :

- Informations financières ;

- Informations/Marché ;

- Informations/Biens et Services ;

- Etc.

Le personnel doit comprendre le rôle qu’il est appelé à jouer dans le système de
Contrôle Interne

II-5. Pilotage

✓ Système de suivi permanent dans le cadre des activités courantes de l’entreprise

(hiérarchie + ensemble du personnel) ;

✓ Évaluation périodique des systèmes de Contrôle Interne (Auditeurs Internes).

Chapitre III : Principes, limites et avantages, rôles et responsabilités

III-1. Principes

Selon le COSO nous pouvons citer 9 principes du contrôle interne :

A- Principes d’organisation

L’organisation doit être :

✓ préalable,

✓ adaptée et adaptable,

✓ vérifiable (existence d’organigramme et de procédures),

✓ formalisée.

✓ Séparation des fonctions

B- Principe d’intégration

Le contrôle interne doit être intégré à l’organisation de l’entreprise de telle sorte qu’il y ait
autocontrôle et que les procédures en vigueur signalent toutes erreurs ou anomalies.

C- Principe de permanence

La mise en place de l’organisation de l’entreprise et de son système de régulation- le contrôle

interne- suppose une certaine pérennité de ces systèmes. Il est évident que cette pérennité
repose nécessairement sur celle de l’exploitation.

D- Principe d’universalité

Ce principe signifie que le contrôle interne concerne toutes les personnes dans l’entreprise, en
tout temps et en tout lieu. Autrement dit personne n’est exclue du contrôle par quelques
considérations que ce soient: il n’y a ni privilège, ni domaines réservés, ni établissement mis en
dehors du CI.
 E- Principe d’indépendance

Le principe d’indépendance implique que les objectifs de contrôle interne sont à atteindre
indépendamment des méthodes, procédés et moyens de l’entreprise.

F- Principe d’information

✓ La pertinence

✓ L’utilité

✓ L’objectivité

✓ La communicabilité

✓ Vérifiabilité

G- Principe d’harmonie ou d’adéquation

On entend par « principe d’harmonie », l’adéquation du contrôle interne aux caractéristiques de

l’entreprise et de son environnement. Sinon le contrôle interne formerait un ensemble rigide et
contraignant qui n'est pas l'objectif recherché.

H- Principe de prévision

✓ Planification ;

✓ Approche volontariste du changement plutôt que déterministe.

I- Qualité du personnel

✓ Compétence;

✓ Moralité.
III-2. Limites et avantages du contrôle interne

▪ Limites/Objectifs :

Aucun système ne peut prévenir :

✓ L’erreur ;

✓ L’omission ;

✓ La fraude.

Cependant, le système doit permettre de détecter ces dysfonctionnements lorsqu’ils

surviennent, et surtout de les corriger.

▪ Limites/Moyens :

Établir le ratio Coût/Bénéfice  Relativiser la notion de Contrôle Interne ;

▪ Autres limites :

✓ Collusion ;

✓ Le Contrôle Interne ne peut rendre compétente une personne incompétente.

III-3. Rôles et responsabilités

▪ Le management (PDG, DG) :

✓ Posséder une éthique élevée ;

✓ Faire preuve d’intégrité ;

✓ Influer sur l’environnement de contrôle ;

✓ Définir les valeurs à partager ;

✓ Arrêter les objectifs généraux de l’entreprise.

▪ Le Conseil d’Administration :

✓ Piloter les activités ;

✓ Surveiller les activités ;

✓ Définir ses attentes ;

✓ Choisir les Hommes.

▪ Les Auditeurs Internes :

✓ Examiner et évaluer le système de Contrôle Interne ;

✓ Faire des recommandations pour une meilleure prise en charge.

▪ Les autres membres du personnel :

✓ Produire les informations utilisées dans le système de Contrôle Interne

✓ Communiquer aux supérieurs hiérarchiques des problèmes constatés au niveau des

opérations.
DEUXIÈME PARTIE : MÉTHODOLOGIE D’AUDIT INTERNE

Chapitre I : Présentation de l’Audit Interne

I-1. Définitions
A. Ancienne définition

« L’Audit Interne est à l’intérieur d’une organisation, une fonction indépendante

d’appréciation du contrôle des opérations, il est au service de l’organisation. C’est, dans ce
domaine, un contrôle qui a pour fonction d’estimer et d’évaluer l’efficacité des autres contrôles.
Son objectif est d’assister les membres de l’organisation dans l’exercice de leurs
responsabilités. A cette fin, l’Audit Interne fournit des analyses, des appréciations, des
recommandations, des avis et des informations concernant les activités examinées ».

Définition extraite de la « Déclaration des responsabilités de l’Audit Interne » de

l’IIA.
B. Nouvelle définition

« L’Audit Interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des
propositions pour renforcer leur efficacité ». (Adoptée par le CA de l’IIA du 29 juin 1999)
(Adoptée et traduit par l’IFACI en mars 2000)

Commentaires sur la nouvelle définition

Cette nouvelle définition montre que l’Audit Interne est une activité et non une fonction, comme
dans l’ancienne définition.

 L’Audit Interne s’oriente vers :

- une assurance sur le degré de maîtrise des risques, ce qui va au-delà de

l’évaluation d’une conformité à des critères préétablis,

- une réponse à des attentes d’aide et de conseils sans oublier ses missions
traditionnelles,
 - une création de valeur ajoutée à l’instar d’autres activités de l’entreprise : en
terme d’expertise de professionnalisme, d’adhésion aux meilleures pratiques en
faisant profiter l’organisation de notre connaissance approfondie de l’ensemble
de ses processus et des risques liés,

I-2. Les objectifs

Le but de l’Audit Interne est de seconder la direction dans l’accomplissement efficace de ses
responsabilités en déterminant, et en l’en informant, si les contrôles garantissent ou non :

• que les objectifs, les politiques, l’organisation, les procédures et les plans de la société
sont respectées et conformes aux réglementations légales. Dans ce but, l’audit Interne
doit être tenu informé des objectifs, politiques et plans.

• Que des sécurités efficaces existent afin de prévenir les pertes ou les dommages qui
pourraient survenir aux actifs corporels et incorporels de la société.

• Que les états et les rapports d’activité sont fiables. Cette appréciation devra porter, entre
autres choses, sur l’efficacité du contrôle budgétaire, la validité de données utilisées
pour l’évaluation des projets et plus particulièrement sur toute statistique utilisée par la
direction pour la prise de décision opérationnelle ou en matière d’investissement.

• Qu’un souci d’efficacité préside à l’utilisation des moyens matériels humains et

financiers.

I-3. Les missions

Deux types de mission :

- Missions d’assurance

- Missions de conseil

A. Mission d’assurance
Dans le cadre des missions d’assurance, l’auditeur interne procède à une évaluation objective
en vue de formuler en toute indépendance une opinion ou des conclusions sur un processus,
un système ou tout autre sujet. Il détermine la nature et l’étendue de ses missions qui
comportent généralement trois types d’intervenants : (1) la personne ou le groupe directement
impliqué dans le processus, le système ou le sujet examiné – autrement dit le propriétaire du
processus, (2) la personne ou le groupe réalisant l’évaluation – l’auditeur interne, et (3) la
personne ou le groupe qui utilise les résultats de l’évaluation – l’utilisateur.
 B. Mission de conseil

Les missions de conseil sont généralement entreprises à la demande d’un client. Leur
nature et leur périmètre font l’objet d’un accord avec ce dernier. Elles comportent
généralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils –
en l’occurrence l’auditeur interne, (2) et la personne ou le groupe donneur d’ordre auquel
ils sont destinés – le client.

Lors de la réalisation de missions de conseil, l’auditeur interne doit faire preuve

d’objectivité et n’assumer aucune fonction de management.

Chapitre II : Initiation à l’Audit Interne

II-1. Attributions de l’auditeur interne

A. Attributions générales
• Recevoir les objectifs et les moyens de la part de la Direction;
• Évaluer l’efficacité et la pertinence du système de contrôle interne ;
• Faire toutes propositions pour l’amélioration du système de contrôle interne.
• Promouvoir et aider les responsables à s’approprier le contrôle interne dans
l’organisation.
B. Attributions spécifiques
• La gestion de l'ensemble des procédures de l’organisation visant la sauvegarde
du patrimoine et la bonne circulation ainsi que la fiabilité des informations
financières et comptables;
• Le suivi de la mise en œuvre des procédures par tout le personnel;
• Le suivi de la mise à jour des procédures pour tenir compte des mutations dans
l'établissement;
• Le recensement et le classement de l'ensemble des notes de service;
• L'organisation, le suivi et le contrôle des inventaires de fin d'exercice (stocks,
caisse, immobilisations)
• Appréciation de :
- la pertinence du dispositif de contrôle interne,
 - la qualité et la performance du système d’information,
- l’efficacité des organisations et l’utilisation de leurs moyens et ressources,
- les moyens mis en place pour définir et appliquer la stratégie et les objectifs
définis par la direction générale.
• Interlocuteur des commissaires aux comptes (organisation de leurs interventions);
• Examiner et apprécier la rectitude, la suffisance et l’application des contrôles
comptables, financiers et opérationnels et promouvoir un contrôle efficace à un
coût raisonnable ;
• Vérifier le degré de mise en œuvre des politiques, des plans et des procédures
institués dans l’organisation ;
• Vérifier à quel point les actifs de l’organisation sont justifiés et préservés des
pertes de toutes sortes ;
• Vérifier le degré de confiance qui s’attache aux renseignements comptables et
autres élaborés dans le cadre de l’entreprise ;
• Apprécier la qualité avec laquelle sont remplies les différentes responsabilités
déléguées dans le cadre de l’organisation ;
• Recommander des améliorations opérationnelles.

Aptitudes professionnelles :
- Humilité
- Dynamisme
- Rigueur
- Intégrité
- Pouvoir de persuasion
- Sens élevé de relations humaines
- Pédagogie
- Recherche de l'excellence.
II-2. Typologie d’audit
• Audit de régularité

• Audit d’efficacité ou opérationnel

• Audit de management

• Audit stratégique
❖ Audit de régularité
- Vérification du respect des normes, des règlements, des procédures internes et
externes à l'entreprise ;
- Examen de la fiabilité et de l'exhaustivité des informations financières et de gestion ;
- Contrôle des dispositions prises pour assurer la sécurité physique des actifs.
❖ Audit d’efficacité ou opérationnel
- Examen du bien-fondé des méthodes et des procédures ;
- Appréciation de l'adéquation des moyens engagés par rapport aux objectifs ;
- Étude des performances et de la pertinence des structures.
❖ Audit de management
Examen des politiques, des systèmes de gestion et des modes opératoires en vue d’apprécier :
- L’efficacité
- Et l’efficience des opérations
❖ Audit stratégique
- Examen de l’adéquation du plan stratégique avec les exigences et l’évolution de
l’environnement interne et externe;
- Examen du positionnement dans l'entreprise de l'entité auditée, et de l'adéquation
des orientations et politiques décidées par les responsables;
- Évaluation de la qualité des méthodes de pilotage et de gestion ;
- Analyse de la sincérité des résultats obtenus.
II-3. Les référentiels de l’audit interne

▪ Les normes pour la pratique professionnelle de l’audit interne et enfin ;

▪ Le code de déontologie de l’audit interne.

A. Les normes pour la pratique professionnelle de l’audit interne

▪ Objet
Les Normes ont pour objet :

- de définir les principes de base que la pratique de l’audit interne doit suivre ;

- de fournir un cadre de référence pour la réalisation et la promotion d’un large

éventail d’activités d’audit interne apportant une valeur ajoutée ;

- d’établir les critères d’appréciation du fonctionnement de l’audit interne ;

- de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes se composent :

• des Normes de qualification, qui énoncent les caractéristiques que doivent présenter les
organisations et les personnes accomplissant des missions d'audit interne.

• des Normes de fonctionnement décrivent la nature des missions d'audit interne et

définissent des critères de qualité permettant de mesurer la performance des services
fournis.

Les Normes de qualification et les Normes de fonctionnement s’appliquent à tous les

services d’audit.

• des Normes de mise en œuvre précisent les Normes de qualification et les Normes de
fonctionnement en indiquant les exigences applicables dans les activités d’assurance
(A) ou de conseil (C).

A.1. Normes de qualification

1000 – Mission, pouvoir et responsabilité

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement
définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le
Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir
périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale
et du Conseil.

1000. A1 – La nature des missions d'assurance réalisées pour l'organisation doit être définie
dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de
l'organisation, leur nature doit être également définie dans la charte d'audit interne.

1000. C1 – La nature des missions de conseil doit être définie dans la charte d'audit interne.

1010 – Reconnaissance de la définition de l’audit interne, du Code de Déontologie ainsi

que des Normes dans la charte d'audit interne
Le caractère obligatoire de la définition de l’audit interne, du Code de Déontologie ainsi que des
Normes doit être reconnu dans la charte d'audit interne.
Le responsable de l’audit interne présente la définition de l’audit interne, le Code de
Déontologie ainsi que les Normes à la direction générale et au Conseil. Nouveau

1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux
avec objectivité.

1110 – Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de
l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le
responsable de l’audit interne doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation.

1110. A1 – L'audit interne ne doit subir aucune ingérence lors de la définition de son champ
d'intervention, de la réalisation du travail et de la communication des résultats.

1111 – Relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le
Conseil. Nouveau

1120 – Objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter
tout conflit d'intérêt.

1130 – Atteinte à l'indépendance ou à l'objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou
même en apparence, les parties concernées doivent en être informées de manière précise. La
forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.
1130. A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont
ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée
lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours
de l'année précédente.
1130. A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a
la charge doivent être supervisées par une personne ne relevant pas de l'audit interne.

1130. C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées
à des opérations dont ils ont été auparavant responsables.

1130. C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont susceptibles d'être

compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le
client donneur d'ordre avant de les accepter.

1200 – Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscience professionnelle.

1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit
interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de ses responsabilités.

1210. A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes

qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les
autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission.

1210. A2 – Les auditeurs internes doivent posséder des connaissances suffisantes pour
évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils
ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la
détection et l'investigation des fraudes.

1210. A3 – Les auditeurs internes doivent posséder une connaissance suffisante des principaux
risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit
informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont
confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder l'expertise d'un
auditeur dont la responsabilité première est l'audit informatique.

1210. C1 – Le responsable de l'audit interne doit décliner une mission de conseil ou obtenir
l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les
connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout
ou partie de la mission.

1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut
attendre d'un auditeur interne raisonnablement averti et compétent. La conscience
professionnelle n'implique pas l'infaillibilité.

1220. A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique
professionnelle en prenant en considération les éléments suivants :
• l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;

• la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont

appliquées les procédures propres aux missions d'assurance ;

• l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de management des

risques et de contrôle ;

• la probabilité d'erreurs significatives, de fraudes ou de non-conformité;

• le coût de la mise en place des contrôles par rapport aux avantages escomptés.

1220. A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit
envisager l'utilisation de techniques informatiques d’audit et d’analyse des données.

1220. A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard des
risques significatifs susceptibles d'affecter les objectifs, les opérations ou les ressources.
Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées avec la conscience
professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés.
1220. C1 – Les auditeurs internes doivent apporter à une mission de conseil toute leur conscience professionnelle, en
prenant en considération les éléments suivants :

• les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication
des résultats de la mission ;

• la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les objectifs fixés ;

• son coût par rapport aux avantages escomptés.

1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres
compétences par une formation professionnelle continue.

1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et
d'amélioration qualité portant sur tous les aspects de l'audit interne.

1310 – Exigences du programme d'assurance et d'amélioration qualité

Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant
internes qu’externes.

1311 – Évaluations internes

Les évaluations internes doivent comporter :

• une surveillance continue de la performance de l'audit interne ;

• des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de
l'organisation possédant une connaissance suffisante des pratiques d'audit interne.

1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit
interne doit s'entretenir avec le Conseil au sujet :

• du besoin d'augmenter la fréquence de ces évaluations externes ;

• des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur

indépendance y compris au regard de tout conflit d'intérêt potentiel.

1320 – Rapports relatifs au programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et
d'amélioration qualité à la direction générale ainsi qu’au Conseil.

1321 – Utilisation de la mention « conforme aux Normes internationales pour la pratique

professionnelle de l’audit interne »
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite
conformément aux Normes internationales pour la pratique professionnelle de l'audit interne
seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.

1322 – Indication de non-conformité

Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne, le Code
de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le
fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction
générale et le Conseil de cette non-conformité et de ses conséquences.

A.1. Normes de fonctionnement

2000 – Gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle
apporte une valeur ajoutée à l’organisation.

2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de
définir des priorités cohérentes avec les objectifs de l'organisation.

2010. A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et
réalisée au moins une fois par an. Les points de vue de la direction générale et du Conseil
doivent être pris en compte dans ce processus.

2010. C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne,
avant de l'accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la
valeur ajoutée, d'améliorer le management des risques et le fonctionnement de l'organisation.
Les missions de conseil qui ont été acceptées doivent être intégrées dans le plan d'audit.
2020 – Communication et approbation
Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son
plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important
susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également
signaler l'impact de toute limitation de ses ressources.

2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité
soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan
d'audit approuvé.

2040 – Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à
l'activité d'audit interne.

2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.

2060 – Rapports à la direction générale et au

Conseil
Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et
au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du
degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte :

• de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles
correspondants ;

• des sujets relatifs au gouvernement d’entreprise et ;

• de tout autre problème répondant à un besoin ou à une demande de la direction générale ou

du Conseil.

2100 – Nature du travail

L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.

2110 – Gouvernement d'entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des
recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le
processus répond aux objectifs suivants :
• promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation;

• garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de
rendre compte ;

• communiquer aux services concernés de l'organisation les informations relatives aux risques
et aux contrôles ;

• fournir une information adéquate au Conseil, aux auditeurs internes et externes et au

management, et assurer une coordination de leurs activités.

2110. A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité des
objectifs, des programmes et des activités de l'organisation liés à l'éthique.

2110. A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information de

l’organisation soutient et supporte la stratégie et les objectifs de l’organisation. Nouveau

2110. C1 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs et
objectifs généraux de l'organisation.

2120 – Management des risques

L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.

2120. A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux
opérations et aux systèmes d'information de l'organisation au regard de :

• la fiabilité et l'intégrité des informations financières et opérationnelles;

• l'efficacité et l'efficience des opérations;

• la protection des actifs;

• le respect des lois, règlements et contrats.

2120. A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est
géré par l’organisation. Nouveau

2120. C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir les risques
liés aux objectifs de la mission et demeurer vigilant vis-à-vis de l’existence de tout autre risque
susceptible d’être significatif.

2120. C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques acquises lors
de missions de conseil pour évaluer les processus de management des risques de
l'organisation.
2120. C3 – Lorsque les auditeurs internes aident le management dans la conception et
l’amélioration des processus de management des risques, ils doivent s’abstenir d’assumer une
responsabilité opérationnelle en la matière. Nouveau

2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en
évaluant son efficacité et son efficience et en encourageant son amélioration continue.

2130. A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes
d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :

• la fiabilité et l'intégrité des informations financières et opérationnelles ;

• l'efficacité et l'efficience des opérations ;

• la protection des actifs ;

• le respect des lois, règlements et contrats.

2130. A2 – Les auditeurs internes devraient déterminer dans quelle mesure des buts et
objectifs concernant les opérations et les programmes ont été définis et si ces buts et objectifs
sont conformes à ceux de l'organisation.

2130. A3 – Les auditeurs internes devraient passer en revue les opérations et les programmes
afin de déterminer dans quelle mesure les résultats suivent les buts et objectifs établis et si ces
opérations et programmes sont mis en œuvre ou réalisés comme prévu.

2130. C1 – Au cours des missions de conseil, les auditeurs internes doivent examiner les
dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'existence de tout
problème de contrôle significatif.

2130. C2 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs de
contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de contrôle de
l’organisation.

2200 – Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.

2201 – Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :

• les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques
significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et ses tâches
opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à
un niveau acceptable ;

• la pertinence et l'efficacité des processus de management des risques et de contrôle de

l'activité, en référence à un cadre ou modèle de contrôle approprié ;

• les opportunités d'améliorer de manière significative les processus de management des

risques et de contrôle de l'activité.

2201. A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation, les
auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la
mission, les responsabilités et les attentes respectives, et préciser les restrictions à observer en
matière de diffusion des résultats de la mission et d'accès aux dossiers.

2201. C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un accord sur
les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus
généralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet
accord doit être formalisé.

2210 – Objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.

2210. A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à
l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des
résultats de cette évaluation.

2210. A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte
de la probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de non-
conformité et d’autres risques importants.

2210. A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle. Les
auditeurs internes doivent déterminer dans quelle mesure le management a défini des critères
adéquats pour apprécier si les objectifs et les buts ont été atteints. Si ces critères sont
adéquats, les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats,
les auditeurs internes doivent travailler avec le management pour élaborer des critères
d'évaluation appropriés.

2210. C1 – Les objectifs d'une mission de conseil doivent porter sur les processus de
gouvernement d'entreprise, de management des risques et de contrôle dans la limite
convenue avec le client.

2220 – Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission.

2220. A1 – Le champ de la mission doit couvrir les systèmes, les documents, le personnel et
les biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers.
2220. A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités
en termes de conseil, un accord écrit devrait être conclu pour préciser les objectifs et le champ
de la mission de conseil, les responsabilités et les attentes respectives. Les résultats de la
mission de conseil sont communiqués conformément aux normes applicables à ces missions.

2220. C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer
que le champ d'intervention permet de répondre aux objectifs convenus. Si, en cours de
mission, les auditeurs internes émettent des réserves sur ce périmètre, ils doivent en discuter
avec le client donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission.

2230 – Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour
atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la
complexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter un programme de travail permettant
d'atteindre les objectifs de la mission.

2240. A1 – Le programme de travail doit faire référence aux procédures à appliquer pour
identifier, analyser, évaluer et documenter les informations lors de la mission. Le programme de
travail doit être approuvé avant sa mise en œuvre. Les ajustements éventuels doivent être
approuvés rapidement.

2240. C1 – Le programme de travail d'une mission de conseil peut varier, dans sa forme et son
contenu, selon la nature de la mission.

2300 – Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations
nécessaires pour atteindre les objectifs de la mission.

2310 – Identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles
pour atteindre les objectifs de la mission.

2320 – Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des
analyses et évaluations appropriées.

2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les
conclusions et les résultats de la mission.

2330. A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de
communiquer ces dossiers à des parties extérieures.
2330. A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation
des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent
être cohérentes avec les orientations définies par l'organisation et avec toute exigence
réglementaire ou autre.

2330. C1 – Le responsable de l'audit interne doit définir des procédures concernant la

protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion à
l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les
orientations définies par l'organisation et avec toute exigence réglementaire ou autre
appropriée.

2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs
sont atteints, la qualité assurée et le développement professionnel du personnel effectué.

2400 – Communication des résultats

Les auditeurs internes doivent communiquer les résultats de la mission.

2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.

2410. A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir
l'opinion globale des auditeurs internes et/ou leurs conclusions.

2410. A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la
communication des résultats de la mission.

2410. A3 – Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant
pas partie de l'organisation, les documents communiqués doivent préciser les restrictions à
observer en matière de diffusion et d'exploitation des résultats.

2410. C1 – La communication sur l'avancement et les résultats d'une mission de conseil variera
dans sa forme et son contenu en fonction de la nature de la mission et des besoins du client
donneur d'ordre.

2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise
en temps utile.

2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le responsable
de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la
version initiale.

2430 – Utilisation de la mention « conduit conformément aux Normes internationales

pour la pratique professionnelle de l’audit interne »
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites
conformément aux Normes internationales pour la pratique professionnelle de l’audit interne »
seulement si les résultats du programme d’assurance et d’amélioration qualité le démontrent.
Nouveau

2431 – Indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie ou aux
Normes, la communication des résultats doit indiquer :

• les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec
lesquelles la mission n’a pas été en conformité ;

• la ou les raisons de la non-conformité ;

• l'incidence de la non-conformité sur la mission et sur les résultats communiqués.

2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs
aux destinataires à même de garantir que ces résultats recevront l'attention nécessaire.

2440-A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le

responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les résultats à des
destinataires ne faisant pas partie de l'organisation :

• évaluer les risques potentiels pour l'organisation ;

• consulter la direction générale et/ou, selon les cas, un conseil juridique ;

• maîtriser la diffusion en imposant des restrictions quant à l'utilisation des résultats.

2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs
des missions de conseil à son client donneur d'ordre.

2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux
processus de gouvernement d'entreprise, de management des risques et de contrôle soient
identifiés. Chaque fois que ces problèmes sont significatifs pour l'organisation, ils doivent être
communiqués à la direction générale et au Conseil.

2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de
surveiller la suite donnée aux résultats communiqués au management.
2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi
permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre
par le management ou que la direction générale a accepté de prendre le risque de ne rien faire.

2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions de conseil
conformément à l'accord passé avec le client donneur d'ordre.

2600 – Acceptation des risques par la direction générale

Lorsque le responsable de l'audit interne estime que la direction générale a accepté un niveau
de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la
question avec elle. Si aucune décision concernant le risque résiduel n’est prise, le
responsable de l’audit interne doit soumettre la question au Conseil aux fins de résolution.

B. Le code déontologie de l’audit interne

Nous pouvons définir la déontologie comme étant l’ensemble règles qui régissent une
profession et la conduite de ceux qui l’exercent.

Le code de déontologie va au-delà de la définition de l’audit interne et inclut deux composantes

essentielles :
– Des principes fondamentaux pertinents pour la profession et pour la pratique de
l’audit interne;
– Des règles de conduite décrivant les normes de comportement attendues des
auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des
principes fondamentaux et ont pour but de guider la conduite éthique des
auditeurs internes.

Principes Fondamentaux :
Il est attendu des auditeurs internes qu’ils respectent
et appliquent les principes fondamentaux suivants:
Intégrité
Objectivité
Confidentialité
Compétence

B1. Principes fondamentaux

• Intégrité :

L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à

leur jugement.
 • Objectivité :

Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent
pas influencer dans leur jugement par leurs propres intérêts ou par autrui.

• Confidentialité :

Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.

• Compétence :

Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.

B.2. Règles de conduite

• Intégrité : Les auditeurs internes :

– Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.

– Doivent respecter la loi et faire les révélations requises par les lois et les règles
de la profession.

– Ne doivent pas sciemment prendre part à des activités illégales ou s’engager

dans des actes déshonorants pour la profession d’audit interne ou leur
organisation.

– Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur

organisation.

• Objectivité: Les auditeurs internes :

– Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur
jugement. Ce principe vaut également pour les activités ou relations d’affaires
qui pourraient entrer en conflit avec les intérêts de leur organisation.

– Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre

leur jugement professionnel.
 – Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils
n’étaient pas révélés, auraient pour conséquence de fausser le rapport sur les
activités examinées.

• Confidentialité: Les auditeurs internes :

– Doivent utiliser avec prudence et protéger les informations recueillies dans le

cadre de leurs activités.

– Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou

d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice
aux objectifs éthiques et légitimes de leur organisation.

• Compétence : Les auditeurs internes :

– Ne doivent s’engager que dans des travaux pour lesquels ils ont les
connaissances, le savoir faire et l’expérience nécessaires.

– Doivent réaliser leurs travaux d’audit interne dans le respect des Normes pour la
Pratique Professionnelle de l’Audit Interne.

– Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité

de leurs travaux.
Chapitre III : Organisation de l’auditeur interne

III-1. Rattachement hiérarchique

Les services d'audit doivent être rattachés à l'échelon le plus élevé pour garantir leur
indépendance et leur efficacité. On estime que le rattachement le plus approprié est la Direction
générale. On trouve pourtant des services d'audit rattachés à la direction financière.

Selon une étude de l'IFACI, en France, en dehors des banques, seule une entreprise sur deux
rattachent leur service audit à la Direction Générale.

Aux USA, les services d'audit interne sont rattachés à un comité d'audit qui a pouvoir de
décision sur le Plan d'Audit, le service des recommandations et la nomination du Directeur de
l'Audit Interne.

Il faut cependant se mettre à l'évidence que ce qui est important c’est plus l'esprit du
rattachement (comportement de celui auquel le service est rattaché) et la force de
caractère des auditeurs que le rattachement formel lui-même.

III-2. Organisation interne

Organisation hiérarchique

- Directeur de l'audit interne

- Directeur Adjoint

- Chef de mission

- Auditeur

Structure élémentaire
 Direction
générale

Service Audit interne

Chef de service

Autres fonctions

La fonction d'audit n'est exercée que par une et une seule personne. Ce dernier est l'homme
orchestre du service d'Audit Interne.

Structure simple

Direction
générale
Service Audit interne
Chef de service

Chef de mission

Auditeur Auditeur

Autres fonctions

• Existence d’un responsable, d’un ou plusieurs chefs de missions et d’auditeurs.

 • La mission d’Audit Interne est menée par une équipe d’auditeurs, dirigée par un chef de
mission. Les auditeurs produisent, le chef de mission conduit la mission, et le
responsable de l’Audit Interne dirige l’ensemble du service et en assume la
responsabilité générale.

• Le chef de mission est responsable du succès de la mission, vis-à-vis du responsable

du service d’Audit Interne et des audités. Son rôle est d’animer et de contrôler la
progression des travaux, d’assurer leurs bonnes qualités, et d’assumer l’interface avec
les audités.

• Les auditeurs mènent les investigations dont ils ont été chargés par le chef de mission.
Ils effectuent les travaux correspondants, y compris les FRAP, puis les font superviser
par les chefs de mission.

III-3. Moyens de l’audit interne

- La charte d’audit

- le manuel d’audit interne

- La cartographie des risques

- le plan d’audit

- le manuel de procédures

- les dossiers et papiers de travail

a- La charte d’audit
• Qu’est ce que c’est que la charte d’audit ?

Selon le CRIPP (Cadre de Référence International des Pratiques Professionnelles)

La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les
responsabilités de cette activité. La charte définit la position de l'audit interne dans
l'organisation ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la
réalisation des missions ; définit le champ des activités d'audit interne. L’approbation finale
de la charte d’audit interne relève de la responsabilité du Conseil.
 • Facteurs à prendre en compte

La charte doit remplir quatre conditions qui sont :

- le document doit être agréé et signé par la plus haute autorité de l’organisation ;

- il doit être distribué, et si possible, commenté, à tous les futurs audités ;

- les références normatives qui vont lui donner une autorité extérieure, doivent y
figurer ;

- il doit être conçu dans une forme cohérente avec la culture et les habitudes de
l’organisation.

• Contenu d’une charte d’audit

- principes et modalités d’application de la charte (rappel des exigences des normes)

missions de l’audit interne : distinction entre l’audit interne et d’autres fonctions, rôle
de l’audit interne, nature des travaux d’audit interne;

- organisation de la fonction audit interne : position hiérarchique, vocation,

composition et fonctionnement du comité d’audit ;

- domaines d’intervention.

- Nature des interventions : missions récurrentes et spécifiques;

- conditions d’exercice de l’audit interne : accès aux documents, aux locaux aux biens
et aux personnes, obligations de l’audit interne;

- règles de conduite et de déontologie de l’auditeur : rappel des exigences du code de

déontologie et des normes en la matière, limites du SAI qui ne peut donner une
assurance absolue ;

- incompatibilités : cumul de fonction d’auditeur interne avec des responsabilités

opérationnelles même par intérim sauf pour le contrôle de gestion en ce qui
concerne le chef de SAI. La responsabilité de l’observation des incompatibilités est
confiée au comité d’audit ;

- planification des activités : plan pluriannuel, plan annuel et missions hors

programme ;

- constitution des équipes d’audit interne : conditions de participation et composition

des équipes d’audit interne ;
 - déroulement d’une mission d’audit interne : préparation et réalisation de la mission,
restitution des conclusions (compte rendu oral, réunion de validation, droit de
dénonciation et de récusation du rapport aux responsables audités), suivi de mise
en œuvre des recommandations ;

- présentation, contenu et destinataires du rapport d’audit interne ;

- indicateurs de mesure de l’activité d’audit interne : indicateurs d’activité, de qualité et
de coût ;

- rapport annuel d’activité de l’audit interne ;

- manuel d’audit interne : élaboration d’un manuel décrivant organisation, méthodes et

procédures de travail pour la conduite des missions et le comportement des
auditeurs ;

- légitimité du pouvoir de contrôle de l’audit interne : inaliénable et conféré par la

charte ;

- modalités de mise à jour de la charte.

b- Le manuel d’audit interne

• Qu’est ce que c’est que le manuel d’audit ?

C’est un document matérialisant l’organisation et les procédures du service d’audit.

• Objectifs visés

- définir de façon précise le cadre de travail (organigramme du service, analyse des

postes des auditeurs, condition générale de travail) ;

- aider à la formation de l’auditeur débutant (objectifs et spécificités de fonctionnement

du service : procédures de travail de l’audit interne) ;

- servir de référentiel (normes et standard de l’audit interne, conduite d’une mission

d’audit).

• Contenu du manuel

- Cadre de travail: organigramme du service, analyse des postes des auditeurs,

condition générale de travail…;

- Normes et standards de l’audit interne ;

- Méthodologie, conduite d'une mission d'audit.

 c- La cartographie des risques

• Qu’est ce que c’est que la cartographie des risques ?

La cartographie des risques est un outil qui permet :

- de classer, de comparer et de hiérarchiser des risques entre eux ;

- de mettre en place des plans d’actions pour les gérer en fonction des ressources
disponibles ;

- d’en assurer le suivi ;

- de communiquer les informations sur les risques de l’organisation.

• Démarche d’élaboration

- Identification des risques;

- Analyse des risques identifiés:

- l’évaluation de l’importance du risque ;

- l’évaluation de la probabilité (ou fréquence) de survenance du risque ;

- l’évaluation des mesures de contrôle adéquates.

- Identification des meilleures pratiques en matière de maîtrise des risques ;

- Proposition d’améliorations des dispositifs de maîtrise des risques à intégrer dans

les nouvelles procédures.

d- Le plan d’audit

• Qu’est ce que c’est que le plan d’audit ?

Le plan d’audit permet d’assurer une planification du travail pour respecter l’esprit de rigueur et
de méthode qui caractérisent l’audit interne. Il est établi à partir d’une cartographie des risques
et permet ainsi de définir de façon efficace la stratégie d’audit.

• Utilité

- Comme tout document de planification, le plan constitue une référence pour les
programmes annuels qu’il couvre et fait l’objet d’adaptation pour prendre en compte
les préoccupations non prévues au départ. Il n’est pas figé à l’instar des autres
moyens déjà cités et se montre dans la pratique suffisamment flexible pour laisser
du temps à des missions imprévues.
 - Le plan est un moyen indispensable pour l’efficacité du service d’audit interne, car il
permet la prise en compte de tous les types de risques. Sans plan d’audit, le service
d’audit attend tout de la Direction Générale et tâtonne sur les activités à mener et ne
prend en compte que les risques matérialisés, alors qu’aujourd’hui, on recherche
que l’auditeur interne soit proactif et aide l’entreprise à éviter que le risque ne
survienne.

• Contenu du plan d’audit

- En général, le plan d’audit aborde les points suivants :

o analyse globale des risques ;

o recensement des activités et services devant faire l’objet d’audit ;

o définition des types d’intervention ;

o évaluation du budget des ressources humaines, temporelles et financières ;

o élaboration d’un planning d’intervention ;

o soumission du plan à l’approbation de la direction pour lui donner force

exécutoire et le rendre fonctionnel.

e- Manuel des procédures

• Qu’est ce que c’est que le manuel des procédures ?

Le manuel des procédures peut être défini comme étant un référentiel à usage commun pour
tous les acteurs au sein de l’entreprise:

- la Direction Générale,
- les services opérationnels,
- les auditeurs internes.

Le manuel des procédures est un document qui, sous la forme d’instructions claires et précises,
contient l’ensemble des opérations courantes de l’entreprise.

Le manuel des procédures indique le circuit de traitement de ces opérations en spécifiant

notamment les :

- tâches à faire (quoi ?)

- niveaux de responsabilités (qui ?)
- différentes étapes de traitement (quand ?)
- lieux de réalisation (où ?)
- modalités d’exécution (comment ?)
 • Objectifs du manuel

Les objectifs du manuel des procédures sont :

- Expliquer les modalités d’application des différentes procédures suivant les activités
ou cycles de l’entreprise :

- Achat/fournisseurs,
- comptables,
- gestion des stocks
- administratifs.

- Assurer l’uniformité des modalités d’exécution en les formalisant. Ce qui exclut les
disparités dans la manière de traiter les opérations qui, en l’absence de manuel,
dépendent le plus souvent :

- du style,
- de l’expression personnelle déjà acquise,
- mais aussi de la culture des opérationnels.

- Sauvegarder les actifs de l’entreprise par des procédures de contrôle interne

performantes.

• Structure du manuel

Dans le manuel des procédures, l’ensemble des opérations traitées dans l’entreprise est
découpé en :

- Cycles : qui correspondent aux activités de l’entreprise,

- Procédures : est un enchainement de tâches élémentaires standardisées

déclenchées en amont par l’expression d’un besoin et limité en aval par l’obtention
d’un résultat attendu.

- Opération : acte ou ensemble d'actes qui permettent d'obtenir un résultat

déterminé

L’architecture classique retenue est de type pyramidal et se présente comme suit :

 CYCLE

PROCÉDURES PROCÉDURES PROCÉDURES

SP SP SP SP SP SP SP

OPERATIONS
 • Démarche d’élaboration du manuel des procédures

- Programme de travail et prise de connaissance

- Évaluation des procédures actuelles

- Élaboration de la cartographie des risques

- Conception du manuel de procédures

- Rédaction des procédures

- Validation des procédures et du manuel

- Diffusion du manuel, formation et rapport

f- Les dossiers et papiers de travail

• Les dossiers d’audit

A chaque mission d’audit doit correspondre un dossier constitué des informations récoltées
et produites au cours de la mission qui servent d’éléments probants et des papiers de travail
les plus significatifs. Cette exigence se justifie par :

- exigence de preuve : il regroupe l’ensemble des justificatifs des affirmations

signalées dans le rapport d’audit interne.

- Exigence d’efficacité : mine d’informations pour aller plus vite et mieux faire surtout
pour les audits récurrents ;

- Exigence de formation : document de formation pour les auditeurs débutants, car il

constitue une illustration pratique.

La tenue des dossiers revêt une importance particulière en audit car, en principe, une mission
d’audit ne se termine que lorsque le dossier d’audit est en ordre et prêt pour le classement et le
temps consacré à cette tâche est imputable à la mission.

Organisation des dossiers: il n’y a pas de présentation type universelle, chacun y va à sa

manière ; l’essentiel pour ce point, c’est d’en avoir une. Toutefois, on peut retenir le modèle
suivant: dossier d’analyse et dossier de synthèse.

- Le dossier d’analyse: il comprend les papiers de travail explicatifs, jugés utiles à la

conservation.

- Le dossier de synthèse: il comprend

 - Les rapports d’audit,

- Les notes de suivi et de mise en œuvre des recommandations

- et les informations générales.

Il fait l’objet d’un nettoyage permanent avant et après la mission.

• Papiers de travail

Ils sont établis généralement sur des imprimés de papier coloré qui permettent le
référencement. Le papier de travail est le support des constats et observations, car en audit, on
doit tout noter et éviter de se fier à la mémoire.

L’objet des papiers de travail est de servir de support à l’opinion des auditeurs en donnant une
preuve documentée des procédures utilisées, des informations reçues et des conclusions
tirées.
Chapitre IV : Conduite de missions d’audit interne

IV-1. Phase de préparation

• Ordre de mission

• Plan d’approche

• Tableau des Forces et faiblesses apparentes (TFfA)

• Rapport d’orientation

a- Ordre de mission

Toute mission d’Audit Interne est conditionnée par l’autorisation du Directeur Général.
« L’ordre de mission est le mandat donné par la Direction Générale à l’Audit Interne, qui informe
les principaux responsables concernés de l’intervention imminente des auditeurs. » (cf. La
conduite d’une mission d’Audit Interne) d’Olivier LEMANT.

b- Plan d’approche

• Définition

Définition : « Le plan d’approche conclut la phase de reconnaissance du domaine défini par

l’ordre de mission, il matérialise une étape de la conduite d’une mission : la définition des
objectifs de la phase d’étude et des modalités de mise en œuvre de l’analyse des risques
correspondante ». (cf. La conduite d’une mission d’Audit Interne) par Olivier LEMANT.
• Élaboration du plan d’approche

- La recherche de tous éléments de définition, de connaissance, d’analyse de l’activité

à cerner ;

- La consultation de bases documentaires ;

- Identification des méthodes de gestion propres à l’entité auditée ;

 - La consultation de rapports d’audit antérieurs ;

- La pratique d’interview préliminaire.

Le plan d’approche, élaborer de cette manière, permettra de définir le temps nécessaire pour
mener toute la phase de préparation et surtout préciser les dates décidées pour l’établissement
de trois documents principaux, à savoir :

- le TFfa ;

- le Rapport d’orientation ;

- le plan de vérification.

• Tableau des forces et faiblesses apparentes

Le tableau des forces et faiblesses apparentes conclut la phase d’analyse des risques réalisées
sur la base des objectifs définis dans le plan d’approche, il présente de manière synthétique et
argumentée les présomptions ou l’avis de l’auditeur sur chacun des thèmes analysés. Il
constitue l’état des lieux des forces et faiblesses réelles ou potentielles, et permet de
hiérarchiser les risques dans le but de préparer le rapport d’orientation.

Domaine/opération Objectifs Risques Indicateur Opinion Commentaires

spécifiques
F/f Conséq Degré de
confiance

Les quatre premières colonnes sont renseignées à l’étape d’élaboration du plan d’approche.
Les quatre dernières seront remplies après l’analyse des risques et un survol du terrain qui
précède son examen attentif.
 • Rapport d’orientation

Il définit et formalise les axes d’intervention de la mission et ses limites, il les exprime en
objectifs à atteindre par l’audit pour le demandeur et les audités :

- Objectifs généraux : ce sont les objectifs permanents du contrôle interne ;

- Objectifs spécifiques : ce sont les dispositifs du CI concernés par les tests ;

- Champ d’action : fonctions et zones géographiques concernées par la mission.

IV-2. Phase de réalisation ou de vérification

• Réunion d’ouverture

• Programme de travail

• Travail sur le terrain

a- Réunion d’ouverture

La réunion d’ouverture doit se tenir sur les lieux où la mission doit se dérouler car c’est en cet
endroit qu’on dispose de maximum d’informations et de documents susceptibles d’être
consultés au cours de la réunion.

Elle peut être présidée par le chef de mission mais il est souhaitable que ce soit le responsable
de l’audit interne. Elle réunit les auditeurs en charges de la mission et les responsables audités
et si possible la hiérarchie supérieure de la fonction auditée.

• Ordre du jour

- Présentation : présenter les auditeurs, et se faire présenter les responsables audités

et l’activité ;

- le rappel sur l’audit interne : clarifier le rôle de la fonction d’audit interne et son
objectif, et d’écrire la place du service dans l’organisation ;

- le rapport d’orientation : exposer le rapport d’orientation ;

 - la logistique de la mission : clarifier la logistique de la mission ;

- le rappel de la procédure d’audit : annoncer le déroulement prévisionnel de la

mission et discuter des modalités de collaboration entre auditeurs et audités .

b- Programme de vérification

• Définition

C’est l’ensemble des diligences à mettre en œuvre pour atteindre les objectifs du rapport
d’orientation pour confirmer les forces et faiblesses apparentes. C’est un document interne à
l’audit, destiné à définir et à repartir les tâches entre les membres de l’équipe, à planifier et à
suivre les travaux des auditeurs.

• Contenu

- les questionnaires spécifiques à utiliser pendant les travaux de terrain ;

- les procédures à employer ;

- la répartition des tâches entre les auditeurs et le calendrier d’exécution de ces

tâches.

• Critères de constitution d’une équipe d’audit

La composition de l’équipe d’une mission d’audit est fonction :

- des objectifs de la mission ;

- des contraintes liées à l’expérience ;

- des contraintes liées à la compétence ;

- des connaissances linguistiques ;

- de la personnalité des audités ;

- de la nécessité de cultiver un esprit d’équipe.

c- Travail sur le terrain

Il se déroule conformément au programme de vérification. Le programme de vérification n’est
qu’un guide et rien n’empêche son amélioration à condition que toute modification soit discutée
et consignée.

Il est réalisé grâce :

- aux constats/observations

- aux recherches et validations de preuves (test de cohérence)

- appréciation de la qualité du contrôle interne

• Retour au bureau

Réunion de synthèse interne au service d’audit afin que les auditeurs ayant participé à la
mission puisse apporter les éclaircissements nécessaires.

IV-3. Phase de conclusion

- Projet de rapport

- Réunion de clôture

- Rapport définitif

• Projet de rapport d’audit

L’ossature du rapport est élaborer à partir des problèmes figurant sur les FRAP, c’est en
quelque sorte un rassemblement des FRAP d’une manière cohérente et selon une logique de
hiérarchisation des problèmes rencontrés assorti d’un commentaire descriptif.

Il comprend un sommaire, une introduction, une synthèse et une mention des destinataires. Il a
les mêles caractéristiques que les rapports définitifs à trois exceptions près :

- son contenu n’est pas encore validé en réunion de clôture,

- les audités n’ont pas encore réagi aux recommandations,

- il n’est pas accompagné d’un plan d’action.

 • Réunion de clôture

- Réuni normalement les mêmes participants à la réunion d’ouverture,

- Elle permet aux auditeurs de commenter les résultats de leurs investigations à

l’intention des audités,

- Elle permet aux auditeurs de procéder à une validation générale du projet de rapport
et de passer ensuite à la rédaction du rapport définit.

• Rapport défini

Il contient :

- Les objectifs de la mission,

- Le champ d’action,

- La méthodologie utilisée,

- Les constats,

- Les recommandations.

Structure du rapport :

- une page de garde,

- un sommaire,

- une introduction qui rappelle : les objectifs de la mission, le champ d’action les
limites des investigations, une brève d’description de la structure auditée,

- une synthèse d’une ou deux pages maximum qui informe la hiérarchisation des
principaux constats de la mission,

- un corps détaillé qui comporte les constats, les recommandations,

- un plan d’action : son but est d’engager l’audité à dire qui fera quoi et quand pour
chaque recommandation,
 - des annexes : ce sont tous les documents susceptibles de démontrer les constats
d’audit.

IV-4. Phase de suivi du rapport

- Retour de l’auditeur sur le terrain afin de s’enquérir des suites données à son
rapport,

- S’informer de la suite donnée aux recommandations, ce qui permettra à l’audit

interne de faire des audits ultérieurs,

- Faire un point d’exécution du plan d’action de mise en œuvre des recommandations

IV-5. Outils et techniques d’audit

- Outils et techniques d’approche d’audit,

- Les outils et techniques de compréhension,

- Outils de description,

- Outils de diagnostic

- Outils de validation

• Outils et techniques d’approche d’audit

- L’analyse du risque d’audit,

- L’étude des procédures,

- La prise en compte du seuil de signification,

- Les sondages sur les comptes.

• Les outils et techniques de compréhension

- Les entretiens,

- Revue analytique préliminaires,

- Évaluation de l’environnement de contrôle,

- Note d’orientation et choix des techniques d’audit,

- L’observation physique,
• Outils de description

- Le diagramme de circulation,

- La piste d’audit,

- La narration,

• Outils de diagnostic

- Le questionnaire de contrôle interne

- La grille d’analyse des tâches

- Les tableaux des Forces et faiblesses apparentes (TFfA)

- FRAP.

• Outils de validation

- L’observation,

- Le rapprochement,

- La reconstitution,

- Le sondage,

- La confirmation directe.
Chapitre V : Les organisations professionnelles d’Audit Interne
V.1 - The Institute of Internal Auditors (IIA)

L'institut des auditeurs internes créé aux Etats-Unis en 1941 est une organisation internationale
qui fournit à 70000 membres des informations et ressources en audit et contrôle interne, en
audit des technologies de l'information et en sécurité interne à travers plus d'une centaine de
pays.
Cette organisation anime entre autres de nombreuses conférences et séminaires destinés
principalement aux professionnels de l'audit et aux chercheurs via sa fondation pour la
recherche.

V.2 - Union Francophone de l’Audit Interne (UFAI)

Créée en janvier 1988, l’UFAI est passée au fil des ans d’un fonctionnement « Club » à celui
d’une véritable Union de professionnels.

En 2004, sa reconnaissance par l’IIA en tant qu’organisation régionale ayant un rôle important à
jouer dans le développement de l’audit interne dans les pays totalement ou partiellement
d’expression française, a permis de consolider sa crédibilité.

Aujourd’hui, les objectifs poursuivis sont en grande partie réalisés : grâce aux conférences, aux
échanges de documentation et à la formation, l’UFAI a contribué au développement du
professionnalisme des auditeurs internes francophones et à la promotion de la fonction au sein
des pays membres.

V.3- Institut Français de l’Audit et du Contrôle interne (IFACI)

Fondé en 1965 sous le statut associatif, l'IFACI fédère 4 000 auditeurs issus de quelque 900
entreprises et institutions publiques.

Affilié à l'IIA (The Institute of Internal Auditors ou Institut des Auditeurs Internes), l'IFACI
bénéficie d'un réseau de plus de 165 000 spécialistes de l'audit répartis dans 160 pays.

La mission de l' IFACI est d'assurer le "leadership dynamique" de la profession de l' audit
interne. Ceci inclut :
 • Défendre et promouvoir les valeurs que les professionnels de l'audit interne
apportent à leurs organisations;

• Proposer une formation professionnelle complète et des opportunités de

développement personnel ; développer des standards professionnels et des
best-practices (bonnes pratiques) ; proposer un programme de certification;

• La recherche, la dissémination et la promotion auprès des praticiens et des

autres parties concernées, des connaissances en matière d'audit interne et de
son rôle dans le contrôle interne, dans la gestion des risques, et la gouvernance
d'entreprise;

• Former les praticiens et tout public concerné ou intéressé aux meilleures

pratiques de l'audit interne;

• Réunir les auditeurs internes de tous pays, pour le partage de l'expérience et de

l'information relative à la pratique de l'audit interne.

V.4- Association des Contrôleurs, Inspecteurs et Auditeurs du Mali (ACIAM)

Elle a été créée le 14 juillet 1998. C'est une Association qui entend rassembler tous ceux qui
exercent la fonction de contrôle au Mali. Elle se fixe comme Objectifs : la promotion de la
fonction audit et la formation de ses membres.
A la date d’aujourd’hui l’ACIAM est membre de l’Union Francophone de l’Audit Interne (UFAI) et
de l’Institut International d’Audit (IIA) des États-Unis.

Depuis sa création, L’ACIAM a pu réaliser plusieurs activités entre autres :

Des conférences débats qui ont porté sur :

• Fraude et corruption : Éthique, Déontologie et Rôles de l’auditeur,
• Comment fonctionne l’État au quotidien : Réflexion autour de l’Anthropologie de la
corruption ;
• Gouvernement d’entreprise et Réalités Maliennes ;

Des séminaires de formation.