SERIE 2000

NORME Thèmes de l’Examen CIA traités par la Norme (utiliser la

numérotation des thèmes)
Nome 2000 – Gestion Thème T1/P2 :
de l’Audit interne L’Audit interne est géré efficacement quand :
 Les objectifs et responsabilités définis dans la Charte d’Audit
interne sont atteints ;
 L’activité d’audit interne est menée conformément aux Normes
;
 Les membres de l’équipe d’audit respectent le Code de
déontologie et les Normes.
Norme 2010 – Thèmes T2/P2 et T3/P2 :
Planification Dans le développement du plan d’activité de l’audit interne, les RAI
décident de la nécessité première de développer ou mettre à jour
l’univers d’audit. L’univers d’audit est la liste de toutes les missions
possibles qui pourraient être réalisées.
Le RAI pourrait obtenir les éléments d’entrée de l’univers d’audit
auprès de la Direction générale et le Conseil.
L’univers d’audit peut comprendre les composantes du plan stratégique
Norme 2010 – de l’organisation. L’univers d’audit sera normalement influencé par les
Planification (suite) résultats du processus d’évaluation des risques. Les mêmes facteurs
environnementaux pourraient impacter l’univers d’audit et l’évaluation
des risques associés.
Le RAI prépare le plan d’activité de l’audit interne sur la base de
l’univers d’audit, des demandes de la Direction générale et du Conseil
avec l’assurance que les informations pourraient les amener à atteindre
les objectifs de l’organisation, incluant une évaluation de la mise en
œuvre effective des activités du processus d’évaluation des risques.
L’univers d’audit en lien avec le plan d’audit sont mis à jour selon les
changements intervenus au niveau organisationnel, des objectifs,
contraintes, et buts. Il est préférable de procéder à une évaluation de
l’univers d’audit sur une base au moins annuel pour assurer qu’il reflète
les stratégies actuelles et la direction de l’organisation.
Dans certains cas, le plan d’audit doit être mise à jour plus
fréquemment (par exemple trimestriellement) en réponse aux
changements dans les activités de l’organisation, les opérations, les
programmes, les systèmes, et les contrôles.
Thème T4/P2 :
Les programmes de travail d’audit sont basés sur un certain nombre de
facteurs, une évaluation des risques et des menaces. La priorisation des
missions est nécessaire pour les prises de décisions en matière
d’allocation des ressources.
La planification en audit interne devrait utiliser le processus
d’évaluation des risques de l’organisation, quand un a été développé.
Dans la planification d’une mission, les auditeurs internes considèrent
les risques significatifs au niveau des activités, et les moyens dont
dispose le management pour mitiger le niveau du risque à un niveau
acceptable.
Les auditeurs internes utilisent les techniques de l’évaluation des
 risques pour développer le plan d’activités de l’audit interne et pour
déterminer les priorités dans l’allocation des ressources.
L’évaluation des risques est utilisée pour examiner les objets auditables
et sélectionner les zones à risques significatifs à inclure dans le plan
d’activité de l’audit interne.
Thème T5/P2 et T6/P2 :
L’auditeur interne doit être en mesure d’identifier différents types
d’activités à inclure dans le plan d’activité de l’audit interne, à savoir :
 La revue des contrôles/activités d’assurance où l’auditeur
interne évalue l’adéquation et l’efficience des systèmes de
contrôle et fournit une assurance quant à l’effectivité de la mise
en œuvre des contrôles et la maîtrise des risques.
 Activités d’enquête, où la direction de l’organisation a un
niveau inacceptable quant à la certitude des contrôles au niveau
des activités ou le niveau de risque identifié et l’auditeur
interne réalise des tests de procédures afin d’obtenir une
meilleure compréhension du risque résiduel.
Norme 2010 –  Des activités de conseil, où l’auditeur interne assiste la
Planification (suite) direction de l’organisation dans le développement de systèmes
de contrôle pour mitiger les risques actuels de niveau
inacceptable.
Norme 2020 – Thème T8/P2 :
Communication et Le RAI devrait soumettre annuellement à la Direction générale et au
approbation Conseil pour examen et approbation un résumé du plan d’audit interne,
le calendrier, la planification des ressources et le budget financier. Ce
résumé devra informer la Direction générale et le Conseil de l’étendue
des travaux d’audit interne et des limitations au périmètre d’audit. Le
RAI devra soumettre tous les changements significatifs intervenus pour
approbation et information.
Thème T9/P2 :
La communication doit également inclure les expositions aux risques
significatifs et le résultat des contrôles, y compris les risques de fraude,
les questions de gouvernance, et autres sujets à la demande de la
Direction générale et du Conseil.
Les expositions aux risques significatifs et les résultats des contrôles
sont les conditions qui, selon le jugement du RAI, pourrait affecter
l’organisation et sa capacité à atteindre ses objectifs stratégiques,
reporting financier, opérationnel et objectifs de conformité.
Thème T10/P2 :
Le but de la communication est de fournir l’assurance à la Direction
générale et au Conseil au regard des processus de gouvernance, de
gestion des risques et de contrôle interne.
Thème T11/P2 :
Le RAI doit communiquer les résultats du programme Assurance
Qualité à la Direction générale et au Conseil.
La communication de la performance devrait être relative au plan
d’audit le plus récemment approuvé afin d’informer la Direction
générale et le Conseil des écarts significatifs par rapport au plan d’audit
approuvé, l’allocation des ressources, et le budget financier, les raisons
de ces écarts, et les actions à prendre ou entreprises.
Norme 2030 – Gestion Thème T7/P2 :
des ressources Le RAI doit veiller à ce que les ressources affectées à l’audit interne
soient adéquates, suffisantes et mises en œuvre de façon efficace pour
réaliser le plan d’audit approuvé.
Aussi, les responsabilités relatives aux activités traditionnelles en
matière d’assurance étant partagées à travers l’organisation entre,
l’audit interne, la gestion des risques, et conformité, il est important
que les activités d’assurance soient coordonnées afin de s’assurer que
les ressources sont utilisées de façon efficiente et efficace.
Norme 2040 - Règles et Thème T1/P2 :
procédures Le RAI doit établir des règles et procédures pour orienter l’activité
d’audit interne.
Des procédures administratives et techniques formalisées et manuel
d’audit ne devraient pas être nécessairement utiles pour toutes les
activités de l’audit interne. Les petites activités d’audit interne peuvent
être gérés de façon informelle. Toutefois, pour les activités importantes
d’audit interne, des règles et procédures formalisés et compréhensives
sont nécessaire pour orienter l’équipe d’audit interne dans l’exécution
du plan d’audit interne.
Les procédures d’audit interne peuvent concernées les activités d’audit
suivantes :
 Préparation du plan d’audit interne sur une approche orientée
risques
 Planification d’une mission d’audit et préparation du
programme de travail de la mission
 Réalisation des missions d’audit
 Documentation des travaux d’audit
 Communication des résultats
 Processus de suivi des recommandations d’audit
 Mise en place d’un programme Assurance Qualité
 Gestion administrative de la fonction d’audit (formation et
certification, exigences de développement professionnel,
évaluations des performances)
Thème T7/P2 :
La coordination des travaux de l’audit interne et externe est de la
responsabilité du RAI.
Sans une coordination efficiente et communication appropriée, les
travaux peuvent être dupliqués ou les principaux risques peuvent être
omis ou maltraités.
L’auditeur interne peut utiliser les travaux d’autres prestataires
Norme 2050 – fournisseurs internes ou externes d’assurance en rapport avec la
Coordination et gouvernance, la gestion des risques, et l’assurance quant aux contrôles
utilisation des travaux au Conseil.
d’autres professionnels Les prestataires internes correspondent aux fonctions qui relèvent de la
Direction générale ou qui y sont rattachées. Leurs domaines de
compétences sont les suivants : questions environnementales, contrôle
financier, hygiène et sécurité, systèmes d’information, affaires
juridiques, management des risques, conformité ou assurance qualité.
Les prestataires externes peuvent rendre compte à la Direction
générale, à des parties prenantes externes ou au RAI. Par exemples : les
 cabinets indépendants d’audit, les partenaires en joint-venture, les
auditeurs externes...
Thème T10 /P2 :
La communication et les rapports du RAI à la Direction générale et au
Conseil doivent inclure entres autres :
 Le plan d’audit et son état d’avancement ;
Norme 2060 –  Les résultats des activités d’audit interne ;
Communication à la  La conformité avec le Code de déontologie et les Normes et le
Direction générale et au plan d’actions prévu en cas de non-conformités significatives ;
Conseil  Les sujets relatifs à la gouvernance ;
 Les processus d’identification des risques significatifs, y
compris les risques de fraude, et des contrôles correspondants.

Norme 2070 - Thème T7/P2 :

Responsabilité de Quand l’auditeur interne fait appel à une assistance de de prestataire
l’organisation en cas de d’assurance, l’auditeur devrait documenter les résultats attendus de la
recours à un prestataire mission dans un contrat ou lettre de mission. Les attentes minimums
pour ses activités devraient être précisés quant à la nature des livrables à fournir, les
d’audit interne méthodes et/ou techniques, la nature des diligences et informations à
utiliser, le processus de reporting ou de supervision afin de s’assurer
que les travaux seront bien menés, et les exigences en matière de
communication.
Les ordres du jour et les PV des réunions avec la Direction générale et
le Conseil peuvent indiquer que le prestataire externe a fait part à
l’organisation des responsabilités qui lui incombent concernant le
maintien d’un audit interne efficace.
Norme 2100 – Nature Thème T10/P2 :
du travail Les auditeurs internes peuvent être sollicités à différents niveaux de
leurs capacités dans l’évaluation et l’amélioration des pratiques de
gouvernance d’entreprise. Généralement, les auditeurs internes
fournissent une évaluation indépendante, objective de la définition et
de la mise en œuvre des pratiques de gouvernance d’entreprise.
Thème T22/P1 :
La détermination quant à l’effectivité des processus de gestion de
risques est un jugement résultant des évaluations de l’audit interne à
travers :
 Les objectifs de l’organisation qui supportent et sont alignés à
la mission de l’organisation ;
 Les risques significatifs sont identifiés et évaluées ;
 Des réponses appropriées aux risques sont sélectionnées et
alignés à l’appétence du risque de l’organisation ;
 L’informations pertinente relative aux risques est consignée et
communiquée dans les délais requis à travers l’organisation,
aux différentes directions, à la Direction générale et au Conseil
quant à leurs responsabilités.
Thème T26/P1 :
Le RAI formule une opinion globale sur l’adéquation et l’efficacité des
processus de contrôle. L’expression de cette opinion du RAI sur les
 évidences suffisantes d’audit à travers la réalisation des audits.
Dans l’évaluation de l’efficacité globale des processus de contrôle de
l’organisation, le RAI considère :
 Les dysfonctionnements significatifs et points faibles qui ont
été décelés ;
 Les corrections ou améliorations qui ont été faites après leurs
découvertes ;
 Les anomalies découvertes et leurs conséquences potentielles
conduisent à une conclusion quant à l’existence de niveau de
risque inacceptable.
Thème T16/P1 :
Les normes définissent la gouvernance comme une combinaison des
processus et structures mis en œuvre par le Conseil pour informer,
diriger, gérer, et superviser les activités de l’organisation en vue de
l’atteinte de ses objectifs.
Thème 17/P1 :
Lorsqu’une organisation définit et pratique les principes d’une
gouvernance efficace, cela varie en fonction de la taille, de la
complexité et du degré de maturité de l’organisation, la composition de
ses actionnaires, les exigences culturelles et légales, et bien d’autres.
Thème 20/P1 :
Les activités de gouvernance d’entreprise considèrent les risques dans
Norme 2110 – l’atteinte de la stratégie de l’organisation.
Gouvernance De la même manière, la gestion des risques est liée à la gouvernance
d’entreprise (par exemples : au plus haut niveau, l’appétence du risque
et le seuil de tolérance, la culture du risque et à travers la gestion
globale des risques.
Thème T23/P1 :
L’auditeur interne devrait comprendre les processus de gouvernance
d’entreprise, et les relations existantes entre la gouvernance, les risques
et le contrôle.
Le plan d’audit devrait être basé sur une évaluation des risques de
l’organisation. Tous les processus de gouvernance d’entreprise
devraient être considérés dans l’évaluation des risques. Le plan devrait
inclure les niveaux de risques élevés au niveau des processus de
gouvernance, y compris une évaluation des différents processus où les
zones à risque où la Direction ou le Conseil a demandé qu’une mission
devrait être réalisée. Le plan devrait définir la nature des travaux à
réaliser, les différents processus concernés, et la nature des différentes
évaluations qui doivent être menées (par exemple au niveau macro si
l’on considère la cadre de référence de la gouvernance d’entreprise, ou
au niveau micro si l’on considère, les risques spécifiques, les
processus, les activités, ou les deux niveaux à la fois).
L’activité d’audit interne est une partie prenante importante du
processus de gouvernance d’entreprise.

Thème T27/ P 1 :
Le fait de savoir si les processus de management des risques sont
efficaces est un jugement de l’audit interne résultant d’une évaluation
 de :
 L’alignement des objectifs de l’organisation à la mission de
l’organisation ;
 Les risques significatifs sont identifiés et évalués ;
 Les réponses d’atténuation appropriées des risques sont
définies et alignées aux risques et l’appétence des risques de
l’organisation ;
 L’information sur les risques significatifs est disponible et
Norme 2120 – communiquée en temps opportun à travers l’organisation,
Management des obligeant des différents niveaux hiérarchiques, la Direction, et
risques le Conseil d’Administration à prendre leurs responsabilités.
Thème 28/P1 :
L’activité d’audit devrait évaluer le potentiel d’occurrence des fraudes
et comment l’organisation gère le risque de fraude.

Thème 29/P1 :
Chaque organisation a été confrontée à des déficiences de contrôle.
Souvent les mesures de contrôle sont inadaptées ou les risques
surviennent. L’activité d’audit interne doit être un facteur de
contribution à la :
 L’incapacité des processus de gestion des risques à identifier
les principales zones à risque au cours de la stratégie
d’évaluation des risques aussi bien que dans la définition du
plan d’audit ;
 L’échec dans la définition de procédures d’audit efficaces pour
évaluer les risques réels et les bonnes mesures de contrôle ;
 L’échec dans l’évaluation de l’adéquation de la mise en œuvre
effective des contrôles et la définition des procédures d’audit ;
 L’utilisation d’équipe d’audit n’ayant pas un niveau de
compétence appropriée basée sur l’expérience ou la
connaissance des différentes zones à risque ;
 Des prises de décisions erronées lorsqu’il existe des évidences
de fraude.
 L’échec dans la communication des suspicions de fraude aux
personnes appropriées ;
 L’échec d’un reporting adéquat.
Parmi les actions supplémentaires que l’audit interne peut réaliser pour
promouvoir l’amélioration de l’efficacité des dispositifs de contrôle
interne, figurent notamment :
 Les formations sur les processus de contrôle et d’au-
évaluation ;
 L’animation de sessions d’évaluation des contrôles (ou des
risques et des contrôles à travers la matrice risques/contrôles) à
l’endroit de la Direction générale ;
Thème 30/P1 :
L’activité d’audit peut implémenter les bonnes pratiques suivantes pour
mitiger certains risques :
 C’est important pour l’activité d’audit interne d’implémenter
un programme assurance qualité effectif ;
  La revue périodique de l’univers d’audit :
 La revue périodique du plan d’audit ;
Norme 2120 –  La mise en œuvre effective de la planification ;
Management des  La revue effective de la gestion et des procédures ;
risques (suite)  La bonne allocation des ressources d’audit ;
 L’élaboration de matrices risques/contrôles et de cartographie
des risques ;
 Les résultats des tests de contrôle.

Norme 2130 – Contrôle Thèmes T21/P1 :

L’audit interne peut envisager de recourir à un référentiel de
management des risques ou de contrôle qui existe déjà pour contribuer
à l’identification des risques (par exemple, les référentiels COSO –
Committee of Sponsoring Organization’s of the Treadway Commission
ou ISO 31000).
Thème T25/P1 :
Il est important que les auditeurs internes aient une compréhension
approfondie du référentiel (s) de contrôles adopté(s) de façon formelle
ou informelle par l’organisation, et se familiarisent avec les référentiels
de contrôle complets et mondialement reconnus comme le référentiel
intégré de contrôle interne, publié par le COSO.
Norme 2200 – Thème T12/P2 :
Planification de la Lors de la planification d’une mission d’audit, les auditeurs définissent
mission les objectifs et le périmètre d’intervention de la mission. Ce faisant les
auditeurs internes peuvent évaluer ce qui doit être vérifié dans le
domaine ou processus audité. Cela leur permet également de prioriser
les activités au sein du périmètre d’intervention en fonction du
caractère significatif des risques identifiés.

Norme 2201 – Thème 13/P2 :

Considérations L’utilisation d’une approche top-down basée sur les risques afin
relatives à la d’identifier les contrôles devant être évalués au cours de la mission
planification d’audit.
La mise en œuvre pratique de cette norme permet de s’assurer que les
objectifs ont été déterminés et les risques ont identifiés dans le
processus de planification de la mission d’audit. Elle fournit une
orientation de l’utilisation du top-down, une approche risque pour
identifier et inclure dans le périmètre d’audit les contrôles clés ayant
trait à la gestion des risques.

Thème T12/P2 :
Tout d’abord au commencement de toute mission, l’auditeur interne
prépare un plan de mission qui :
 Détermine les objectifs de la mission ;
 Identifie les techniques requises, objectifs, risques, processus,
et transactions qui doivent être vérifiés ;
 Détermine la nature et l’étendue des travaux requis ;
 Documente les procédures d’audit interne de collecte,
d’analyse, d’interprétation et de documentation des
informations tour au long de la mission.
 Les objectifs de la mission sont liés aux risques du domaine audité. Les
Norme 2210 – Objectifs évaluations réalisées dans le cadre des missions antérieures et les
de la mission rapports de ces missions sont aussi à considérer.
Après avoir défini les objectifs de la mission en fonction des risques
identifiés, le périmètre d’intervention de la mission pourra être défini.
Les auditeurs internes identifient généralement les informations
nécessaires dans le cadre du périmètre d’intervention. Ils
communiquent au management ce périmètre pour lui permettre de se
préparer en conséquence.
Thème T14/P2 :
Les objectifs préliminaires des missions lors de l’élaboration du plan
d’audit annuel sont précisés au moyen de l’évaluation des risques pour
couvrir la gouvernance, le management des risques et les processus de
contrôle interne du domaine ou processus audité.
La définition des objectifs de ma mission permet à l’auditeur interne de
prioriser les évaluations de risques et de contrôles relatifs aux
processus et aux systèmes pendant la mission.
Norme 2220 –Périmètre Thème T12/P2 :
d’intervention de la Pendant la planification, les auditeurs internes ébauchent un périmètre
mission en précisant ce qui sera inclus ou non dans la mission (par exemple
l’étendue du domaine ou des processus, des sites concernés et hors
périmètre, les sous-processus, les composantes des domaines ou du
processus et la période couverte par la mission).

Thème T16/P2 :
Les auditeurs internes doivent déterminer les ressources appropriées et
suffisantes pour atteindre les objectifs de la mission basé sur une
évaluation de la nature et de la complexité de chaque mission.
Les auditeurs internes considèrent les éléments suivants dans la
détermination de ressources appropriées et suffisantes :
 Le nombre d’année et niveau d’expérience de l’équipe d’audit ;
Norme 2230 –  La connaissance, les outils et autres compétences de dans la
Ressources affectées à sélection des membres de l’équipe pour la mission ;
la mission  La disponibilité des ressources externes quand des
connaissances supplémentaires et les compétences sont
requises ;
 Formation requise pour les auditeurs internes pour chaque
mission d’audit

Norme 2240 – Thème T15/P2 :

Programme de travail Les auditeurs internes doivent élaborer et documenter leur programme
de la mission de travail qui leur permettent d’atteindre les objectifs de la mission.
Les programmes de travail doivent contenir les procédures
d’identification, d’analyse, d’évaluation et de documentation des
informations tout au long de la mission.
Le programme de travail doit être approuvé avant son déroulement, et
les éventuels ajustements approuvés.

Norme 2300 – Thème T17P2 :

Réalisation de la Il s’agit de la réalisation des vérifications décrites dans la phase de
mission planification, ainsi que l’évaluation et la documentation des résultats.
Les auditeurs internes abordent généralement les missions avec un
esprit objectif et curieux ainsi qu’une stratégie de recherche
d’informations (par exemple les éléments probants) qui pourraient
permettre d’atteindre les objectifs de la mission.

Norme 2310 – Thème T17/P2 :

Identification des Les informations relatives à la mission devraient être recueillies et
informations documentées de telle sorte qu’une personne prudente et avisée, par
exemple, un autre auditeur interne ou évaluateur externe, puisse itérer
la mission et confirmer les résultats de l’auditeur interne par une
raisonnement logique aboutissement aux mêmes conclusions.
Etant donné que les ressources sont limitées, il est important que les
auditeurs internes identifient et hiérarchisent les informations les plus
pertinentes et utiles (c’est-à-dire des informations qui étayent ou
renforcent la crédibilité des constats et recommandations).
La fiabilité des informations dépend de l’utilisation de techniques
d’audit appropriées.
En général, les procédures d’audit manuelles élémentaires consistent à :
 Inspecter les preuves matériels, tels que les actifs physiques du
domaine audité (technique de l’observation) ;
 Examiner la documentation provenant de l’audité ou de
sources externes (technique d’inspection sur pièces/technique
de rapprochement d’informations) ;
 Rassembler les témoignages au moyen d’entretiens, d’enquêtes
ou d’auto-évaluations des risques et des courbes (technique
d’entretiens/enquêtes) ;
 Effectuer les tests de cheminement de la mise en œuvre du
processus (tests e procédures).
Thème T18/P2 :
Lors de la planification de la mission et de l’élaboration du programme
de travail, les auditeurs internes peuvent être amenés à réaliser
plusieurs activités qui génèrent des informations importantes à savoir :
Norme 2310 – Les listes de contrôle ;
Identification des  Les logigrammes ou notes descriptives des processus ;
informations (suite)  Les matrices risques contrôles ;
 Les cartographies des risques par processus.
Thème T19/P2 :
Les auditeurs internes peuvent tester une population complète ou un
échantillon représentatif d’informations.
S’ils décident de sélectionner un échantillon, ils sont responsables de
l’application de méthodes (non statistique ou analyse statistique)
permettant de s’assurer que l’échantillon sélectionné représente la
population entière et/ou la période pour laquelle les résultats sont
généralisés. Dans ce cas, ils sont exposés au risque d’échantillonnage.

Norme 2320 – Analyse Thème T20/P2 :

et évaluation La méthode d’évaluation de l’auditeur interne comporte souvent une
combinaison de procédures manuelles et de techniques d’audit assistées
 par ordinateur (Computer – Assisted Audit Technique ou CAATs).
L’utilisation de techniques d’audit informatisées peut permettre
l’analyse d’une population entière d’informations au lieu de se limiter à
un échantillon.
Thème T21/P2 :
La réalisation d’une mission d’audit implique généralement de mener
les vérifications pour recueillir des preuves de la mise en œuvre
effective des contrôles clés.
L’étendue des vérifications dépend du caractère suffisant et pertinent
des preuves d’audit sur lesquelles les auditeurs internes peuvent
s‘appuyer pour leurs conclusions ou leurs conseils.
Lorsque les auditeurs internes disposent d’informations suffisantes sur
l’adéquation de la conception et de la mise en œuvre effective des
contrôles, ces derniers peuvent se prononcer sur l’adéquation des
contrôles existants au regard de l’atteinte des objectifs du domaine
audité.
Thème T22/P2 :
Des procédures analytiques peuvent être utilisées pour comparer les
informations à des cibles, sur la base d’une source indépendante (c’est-
à-dire impartiale) et l’hypothèse que certaines relations entre les
informations peuvent être raisonnablement attendues toutes choses
Norme 2320 – Analyse égales par ailleurs.
et évaluation (suite) Les procédures analytiques sont souvent utilisées par les auditeurs
internes comme les moyens efficientes et efficaces pour obtenir des
preuves d’audit.
Les procédures analytiques impliquent l’analyse et la comparaison de
relations entre des informations à la fois financières et non financières.
Les procédures analytiques sont souvent utilisées dans l’identification :
 D’écarts ou différences inexpliqués ;
 Des erreurs potentielles ;
 Des fraudes potentiels ou actes illégaux ;
 D’autres transactions ou évènements non récurrents.
Thème T23/P2 :
Des procédures analytiques peuvent également être utilisées lors de la
planification. Par exemples :
 Analyses des ratios, de tendances ou de régression ;
 Tests de vraisemblance ;
 Comparaison entre périodes ;
 Analyse des données prévisionnelles ;
 Comparaisons d’informations concernant des entités similaires
évoluant dans le secteur d’activité ou l’organisation.
Norme 2330 – Thème T24/P2 :
Documentation des Les auditeurs internes élaborent des documents de travail. Ces
informations documents de travail matérialisent les informations obtenues, les
analyses réalisées, et les supports des conclusions et les résultats de la
mission.
Généralement, ils sont utilisés lors de la mission :
 Aident à a planification, la réalisation, et la revue de la
mission ;
 Fournissent les principaux supports relatifs aux résultats de la
 mission ;
 Présentent si les objectifs de la mission ont été atteints ;
 Supportent la validité et la complétude des travaux menés ;
 Facilitent les revues par les différentes parties prenantes
(Direction générale, Conseil et la direction du domaine audité).
Thème T25/P2 :
Les auditeurs internes doivent documenter les informations qui sous-
entendent d’une manière logique les résultats et les conclusions de la
mission.

Norme 2340 – Thème T26/P2 :

Supervision de la Les missions d’audit doivent faire l’objet d’une supervision appropriée
mission afin de s’assurer que les objectifs sont atteints, la qualité y est et que les
équipes d’audit se développent professionnellement.
Le RAI ou son second doit assumer de façon appropriée la supervision
des missions d’audit.
La supervision est un processus qui débute depuis la planification de la
mission et se poursuit tout au long de la réalisation de la mission.
Le processus de supervision comprend :
 S’assurer que les auditeurs assignés à la mission possèdent les
connaissances requises, les techniques et autres compétences
pour mener la mission ;
 Fournir des instructions appropriées pendant la planification de
la mission et l’approbation du programme de travail ;
 S’assurer que le programme de travail est complet
indépendamment des changements justifiés ou autorisés ;
 Elaborer des documents de travail comme support aux
observations, aux conclusions et aux recommandations ;
 S’assurer que les communications de la mission sont exactes,
objectives, claires, concises, constructives et transmises dans le
temps (dans les délais) ;

 S’assurer que les objectifs de la mission sont atteints ;

 Fournir des opportunités de développement des connaissances,
des techniques, et autres compétences des auditeurs internes.

Norme 2400 – Thème T27/P2 :

Communication des La communication auprès des parties prenantes exige une planification
résultats minutieuse. Dans la mesure du possible, il est recommandé de
développer un plan de communication de la mission et d’en discuter
avec les parties prenantes concernées.
La communication finale des résultats de la mission doit, lorsque cela
est approprié, contenir l’opinion et/ou les conclusions de l’auditeur
interne. Si tel est le cas, une opinion ou conclusion doit tenir compte
des attentes de la direction générale, du Conseil, et autres actionnaires
et devra être soutenu par des informations suffisantes, fiables,
pertinentes et utiles.
 Thème T29/P2 :
Les auditeurs internes communiquent les objectifs, le périmètre
d’intervention et les résultats provisoires de la mission.
Lors de la planification de la communication finale, les auditeurs
internes tiennent compte des communications intermédiaires avec la
direction du domaine audité.
Norme 2410 –Contenu Thème T28/P2 :
de la communication Le format et le contenu de la communication final d’une mission
d’audit varient d’une organisation à une autre, ou du type de mission,
ils contiennent, au minimum, les objectifs, l’étendue ou champ
d’application et les résultats de la mission.
Les objectifs de la mission informent le lecteur pourquoi la mission a
été conduite et quels sont les résultats escomptés ;
Le champ d’application identifie les activités audités et inclus des
informations supports, tels que la période revue, et les éventuelles
limitations. Le champ d’application peut décrire la nature et l’étendue
des travaux à réaliser.
Les résultats comprennent les observations, conclusions, opinions,
recommandations, et les plans d’actions.
Les observations sont l’état des faits pertinents. L’auditeur interne peut
communiquer de façon informelle les observations ou les
recommandations non significatives eut égard au niveau des risques
identifiés.
Les observations et les recommandations sont basés sur les attributs
suivants :
 Critère : les normes, les mesures ou attentes utilisées dans
l’évaluation et/ou la vérification (la situation souhaitée) ;
 Condition : les évidences factuelles que les auditeurs ont trouvé
au cours de leur analyse (la situation actuelle) ;
 Cause : la raison de la différence les conditions souhaitées et
les conditions actuelles ;
 Effets : le risque d’exposition de l’organisation parce que la
situation actuelle est non conforme au critère défini.
Les observations et les recommandations peuvent inclure les
engagements des clients, en relation avec les conclusions de la mission
et les informations supports.

Norme 2420 – Qualité Thème T28/P2 :

de la communication La communication doit être exacte, objective, claire, concise,
constructive, complète et émise en temps opportun. Pour ce faire, les
auditeurs doivent :
 Evaluer et résumer les données et les évidences avec soin et
précision ;
 Dériver et exprimer des observations, des conclusions, et
recommandations sans aucun préjudice, intérêts personnels, et
sous aucune influence.
 Développer la clarté en évitant les techniques de langage non
utiles, et présenter toutes les informations pertinentes et
significatives dans leur contexte ;
 Développer des communications avec objectivité en précisant
 la signification de chaque élément mais de façon succincte ;
 Planifier le temps de présentation des résultats de la mission
pour éviter les pertes de temps.
Thème T30/P2 :
Utiliser des contenus avec des significations utiles, positives et orientés
vers les objectifs de l’organisations ;
S’assurer que la communication est en rapport avec le style et la culture
de l’organisation.
Norme 2421 – Erreurs Thème T28/P2 :
ou omissions Si la communication finale contient des erreurs ou des omissions
significatives, le RAI doit communiquer l’information corrigée à toutes
les parties prenantes qui ont reçu la communication initiale.
Le RAI peut envisager les questions suivantes afin de déterminer le
caractère significatif de l’erreur ou de l’omission :
 Modifie-t-elle les résultats de la mission ?
 Modifie-t-elle l’opinion du lecteur quant à la sévérité des
constats ;
 Modifie-t-elle une opinion ?
 Modifie-t-elle une recommandation ?
Norme 2430 – Thème T28/P2 :
Utilisation de la Lorsqu’il est fait mention, dans les rapports de mission, de la
mention « conduite mention « conduite conformément aux Normes internationales pour la
conformément aux pratique professionnelle de l’audit interne », les résultats des
Normes internationales programmes assurance qualité suffisent la plupart pour prouver la
pour la pratique conformité à la Norme.
professionnelle de Les modalités d’utilisation de cette mention dans les communications
l’audit interne » finales peuvent être documentées dans le modèle de rapport de mission
d’audit ou d’autres supports de communication ou dans les règles et
procédures de l’audit interne.
Inversement, l’audit interne peut décider de ne jamais faire mention de
la déclaration de conformité dans ses rapports de mission d’audit. Cette
décision doit être également documentée comme preuve acceptable de
la conformité.

Norme 2431 – Thème T28/P2 :

Indication de non- Certaines circonstances peuvent empêcher les auditeurs internes d’agir
conformité conformément au Code de déontologie ou aux Normes pendant la
réalisation d’une mission.
En général, il s’agit de circonstances ou de l’indépendance et/ou de
l’objectivité d’un auditeur interne sont altérées, ou lorsqu’un auditeur
interne constate que les données ne sont pas fiables, des informations
font défaut, le périmètre est restreint ou fait face à des contraintes.
Dans de telles circonstances, l’auditeur interne doit identifier les
principes, règles de conduite ou normes pour lesquels il y’a non-
conformité et doit définir si cette situation a une incidence sur les
résultats de la mission. Si tel est le cas, les communications relatives à
la mission devront décrire la raison de cette non-conformité et l’impact
sur les résultats de la mission d’audit.
Les déclarations de ce type sont généralement documentées dans les
papiers de travail de la mission.
 Le RAI définira s’il doit et comment il doit communiquer ces
problèmes à la Direction générale et le Conseil.
Souvent, ces déclarations impliquent une discussion avec la Direction
générale et sont faite lors d’une réunion du Conseil.
Norme 2440 –Diffusion Thème T31/P2 :
des résultats Le RAI prend généralement connaissance des protocoles de
communication et de l’organigramme de l’organisation. Ce dernier
devrait également tenir compte des attentes de la Direction générale et
du Conseil en ce qui concerne les communications des missions
d’audit.
Par le biais des discussions avec le Conseil et l’analyse des protocoles
de communication de l’organisation, le RAI détermine qui sont les
destinataires des résultats de la mission ainsi que la forme des
communications.
Avant de communiquer les résultats, il est recommandé que le RAI
révise le ou les projet(s) de communication.
Les résultats peuvent être communiqués verbalement ou par écrit, et le
format peut varier selon le destinataire. Le RAI détermine quel format
utiliser pour chaque destinataire. Par exemple, certains destinataires
recevront une synthèse, alors que d’autres recevront le rapport complet.
Le RAI peut envoyer des versions électroniques et/ou version papier
Norme 2440 –Diffusion des rapports définitifs de la mission aux parties prenantes internes et
des résultats externes concernées, comme convenu lors de la phase de planification
(suite) de la mission, et/ou comme l’exige la charte d’audit et les protocoles de
communication. Généralement, les destinataires sont les parties
prenantes à même de gérer les résultats de la mission d’audit.
En outre le RAI doit tenir compte des conséquences de la
communication d’informations sensibles dans la mesure où celles-ci
peuvent avoir une incidence sur la réputation, la compétitivité, les
revenus et la valeur du marché. Le RAI peut faire appel à un conseiller
juridique et aux autres experts en matière de conformité au sein de
l’organisation.
Norme 2450 – Thème T31/P2 :
Les opinions globales Une opinion globale invoque le jugement professionnel du RAI sur la
base des résultats d’un certain nombre de missions ou d’autres activités
– comme les travaux d’autres prestataires d’assurance – sur une période
donnée.
Le RAI devra évaluer chaque activité d’un prestataire d’assurance
interne ou externe qu’il envisage d’utiliser afin d’en déterminer le
niveau de fiabilité.
E outre, le RAI identifie le référentiel des risques ou des contrôles ou
tout autre critère pour formuler l’opinion globale.
Avant d’émettre une opinion globale, le RAI devrait connaître la
stratégie, les objectifs, les risques de l’organisation, ainsi que les
attentes du Conseil et de la Direction générale.
L’opinion globale doit également s’appuyer sur une information
suffisante, fiable, pertinente et utile.
Les opinions globales sont généralement communiquées par écrit,
même si aucune exigence en la matière n’est indiquée dans les Normes.
 Thème T34/P2 :
Il important que le RAI élabore un processus de suivi des actions de
progrès qui couvre les constats pertinents, les mesures correctives
adoptées et leur état d’avancement.
Les informations suivies et collectées à propos des plans d’actions
concernent généralement :
 Les constats communiqués au management et le niveau de
risque correspondant ;
 La nature des mesures correctives adoptées ;
 Le calendrier/ l’échéance et l’ancienneté des mesures
correctives et toute autre modification éventuelle dans les dates
prévisionnelles ;
Norme 2500 –  Le manager ou le responsable du processus en charge de
Surveillance des actions chacune des mesures correctives ;
de progrès  L’état d’avancement des mesures correctives, en précisant si
cette informaT3tion est confirmée ou non par l’audit interne.
Thème T35/P2 :
La fréquence de suivi et l’approche adoptées (autrement dit l’étendue
des travaux de vérification de l’effectivité des mesures correctives par
l’équipe d’audit interne) sont fonction du jugement professionnel du
RAI, ainsi que des attentes des parties prenantes.
Ainsi, certains RAI pourront choisir de renseigner régulièrement, une
fois par trimestre par exemple, l’état d’avancement de l’ensemble des
mesures correctives qui auraient dû être achevées à cette période.
D’autres privilégierons des missions de suivi régulières pour les audits
comportant des recommandations majeures, dans l’objectif d’évaluer
précisément la qualité des mesures correctives mises en œuvre.
D’autres encore pourront décider de suivre les plans d’actions dans le
cadre de missions programmées dans le même domaine.
De même, le format de la communication découle du jugement
professionnel du RAI et des attentes validées avec les parties prenantes.
Certains RAI rendent compte de l’avancement détaillé de l’ensemble
des constats de chaque mission. D’autres rendent compte uniquement
des constats correspondant à un risque élevé.
Certains constats pourront éventuellement être synthétisés par
processus métier ou responsable opérationnel accompagné de
statistiques telles que le pourcentage de mesures correctives en cours,
en retard ou menées à bien dans les délais.
Dans certains cas, il pourrait être demandé au RAI d’indiquer non
seulement si la mesure corrective a été menée à bien, mais également si
cette mesure a permis de corriger le problème sous-jacent.
Norme 2600 – Thème T33/P2 :
Communication Quelque soit la façon dont le risque est identifié, si le RAI estime qu’il
relative à l’acceptation est si élevé qu’il ne devrait normalement pas être toléré par
des risques l’organisation, s’il pense que ce risque n’est pas suffisamment maîtrisé
pour être acceptable, il lui incombe d’informer la Direction générale de
la situation. Généralement, le RAI aborde au préalable la question avec
les membres de la direction du domaine audité, afin de leur fait part de
ses préoccupations, de comprendre le point de vue du management et
convenir d’une marche à suivre pour résoudre le risque. Néanmoins, si
 aucun accord n’est trouvé à ce niveau, le RAI doit remonter le
problème à la Direction générale. Et, si aucune solution n’a été trouvée
à l’issu des discussions avec la Direction générale, le RAI doit
communiquer le problème au Conseil. I lest du ressort du Conseil de
décider comment régler le problème avec la direction du domaine
audité.

COMPLEMENTS THEMES
 Thème T17/P1 :
L’audit interne doit évaluer et formuler des recommandations
Norme 2110 – appropriées en vue d’améliorer les processus de gouvernance de
Gouvernance l’organisation pour :
- Les prises de décisions stratégiques et opérationnelles ;
- La surveillance des processus de management des risques et de
contrôle ;
- La promotion des règles d’éthique, des valeurs et culture
appropriées au sein de l’organisation ;
- Une gestion efficace des performances de l’entité.
Thème T18/P1 :
Les évaluations de l’audit interne au regard des processus de
gouvernance sont souvent des informations issues des différentes
missions d’évaluations de l’audit interne. L’auditeur interne devrait
considérer :
- Les résultats de l’audit des processus spécifiques de
gouvernance (par exemple le processus d’équité entre les
actionnaires, le processus de définition de la stratégie) ;
- Les résultats de mission non spécifiquement liés à la
gouvernance tels que : les audits des processus de gestion des
risques, le contrôle interne du reporting financier, les risques
de fraude) ;
- Les résultats des travaux des autres professionnels d’assurance
(par exemple le fait d’engager un cabinet pour évaluer le
processus d’investigation)
- Les autres informations tels que les incidents majeurs qui
alertent sur une possibilité d’amélioration des processus de
gouvernance.

Norme 2120 – Thème T19/P1 :

Management des L’organisation définit les processus sur la base de sa culture, de son
risques style de management, et des objectifs opérationnels. Par exemple,
l’utilisation de dérivés ou autres produits sur le marché des capitaux par
l’organisation devrait faire recourir à des techniques quantitatives de
gestion de risques.
Norme 2000 – Gestion Thème T2/P2 :
de l’audit interne Le responsable de l’audit interne doit gérer efficacement cette activité
de façon à garantir qu’elle apporte une valeur ajoutée à l’organisation.
Interprétation :
L’audit interne est géré efficacement quand :
- Les objectifs et responsabilités définis dans la charte d’audit
interne sont atteints. Cela est possible lorsque les différentes
missions ont un impact significatif au niveau des parties
prenantes (management, conseil et opérationnels) ;
- L’activité est exercée conformément aux Normes notamment la
planification des missions d’audit ;
 - Les membres de l’équipe d’audit respectent le Code de
déontologie et les Normes. Pour ce faire, ils obtiennent la
formation requise pour le développement de leurs compétences
ainsi que les outils requis dans la conduite des missions avec
conscience professionnelle.
Norme 2100 – Thème T3/P2 :
Planification Le RAI élabore le plan d’audit interne sur la base de l’univers d’audit,
des demandes de la direction générale et du conseil, d’une évaluation
de l’exposition aux risques pouvant affecter l’atteinte des objectifs de
l’organisation.
L’univers d’audit et le plan d’audit afférent sont mis à jour selon les
changements intervenus au niveau de la direction de l’organisation, des
objectifs et des nouveaux enjeux.
Dans certaines situations, les plans d’audit peuvent être mise à jour
plus fréquemment (par exemple trimestriellement) en réponse aux
changements au niveau des activités de l’organisation, des opérations,
des programmes, des systèmes et contrôles.