Académique Documents
Professionnel Documents
Culture Documents
Assia Nouri-Affane
Consultante, Financial services, KPMG Algerie
1 Les enjeux de l’auditeur interne face à la fraude
Questions
5
1
Les enjeux de l’auditeur interne face à la fraude
La menace de fraude est l’un des défis les plus courants auxquels les organisations doivent faire face en matière de gouvernance, et ce
quels que soient leur taille, leur secteur d’activité ou leur emplacement géographique. Pour lutter contre la fraude, il est fondamental de
mettre en place des dispositifs de contrôle interne adéquats contenant un plan de gestion des cas adaptés. L’audit interne a une
connaissance approfondie de l’environnement de contrôle de l’organisation. À cet égard, il est essentiel d’adopter une approche
d’assurance combinée pour comprendre les manquements dans la chaîne de contrôle qui entraînent la manifestation des cas de fraude.
L’audit interne aide la direction à réaliser ses objectifs, mais également le comité d’audit à s’acquitter de ses responsabilités, en particulier
dans les domaines du risque et du contrôle interne, de la fraude et des enquêtes internes. Cette mission tend souvent à prêter à confusion
sur les modalités d’intervention de l’audit interne, le périmètre de son intervention, le contenu de ses communications ainsi que le mode
de communication et d’alerte.
En effet, il est souvent difficile pour les auditeurs internes de définir leur positionnement et leur rôle par rapport à la fraude. Les organes
de gouvernance et la direction générale peuvent aider à clarifier les rôles en matière de gestion des risques de fraude, y compris celui de
l’audit interne, en se posant les questions suivantes :
1. L’organisation dispose-t-elle d’un plan de gestion des cas décrivant les principales politiques et méthodes d’investigation à mettre en
œuvre en cas de fraude ?
2. Au sein de l’organisation, qui mène les investigations en matière de fraude ?
3. L’audit interne est-il chargé d’identifier où se situe le risque de fraude et réalise-t-il des missions d’audit dans ce domaine ?
4. En cas de fraude, l’audit interne enquête-t-il sur les causes de la défaillance des dispositifs de contrôle ainsi que sur les axes
d’amélioration possibles ?
5. L’audit interne est-il chargé d’enquêter sur les fraudes et, le cas échéant, possède-t-il les compétences requises ?
Les Normes affirment clairement que les auditeurs internes doivent envisager la possibilité de fraude dans quasiment toutes
leurs activités.
L’objectif de cette intervention est de mettre en évidence les dispositions du CRIPP encadrant l’activité de l’audit interne en
matière de fraude, tant sur le plan fonctionnel que comportemental.
2
2. Rôle des différentes parties prenantes face à la fraude 2
Les normes donnent des orientations spécifiques à l’intention des auditeurs internes. Sur le terrain, pour que l’audit interne
fournisse un service efficace, il est nécessaire que le conseil d’administration et le management comprennent la
responsabilité qui leur incombe d’une part et que les responsabilités des auditeurs internes en matière de prévention,
détection et information de la fraude soient clairement définies d’autre part. Cette compréhension et entente doivent faire
objet d’un descriptif formel qui sera diffusé dans l’organisation.
Audit interne • Attester que les contrôles en place pour gérer le risque de fraude sont conçus de
Charte d’audit interne manière adéquate et fonctionnent de manière effective.
Collaborateurs
Engagement annuels, modèles de déclaration, …
• Déploiement quotidien du programme de gestion du risque de fraude, et, plus précisément, des contrôles destinés à prévenir la
fraude ;
• Faire part d’éventuels soupçons de fraude ;
• Coopérer lors des enquêtes.
3
3. Dispositions Générales du CRIPP en matière de fraude 2
Le Cadre de référence international des pratiques professionnelles (CRIPP) de l’audit interne est fondé sur les Principes fondamentaux qui
contribuent à l’efficacité de l’audit interne.
Objectif de la Compétence
mission Norme Norme
2210 1210
CRIPP
3
Dispositions Générales du CRIPP en matière de fraude
Compétence des auditeurs internes 3
Comment On entend par ressources appropriées, la combinaison de connaissances, savoir-faire et autres compétences nécessaires à
démonter sa la réalisation de la mission.
compétence ?
3
Dispositions Générales du CRIPP en matière de fraude
Compétence des auditeurs internes
Comment
démonter sa
compétence ?
3
Dispositions Générales du CRIPP en matière de fraude
Conscience professionnelle des auditeurs internes
1220 – Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on peut attendre d’un auditeur
interne raisonnablement averti et compétent. La conscience professionnelle n’implique pas l’infaillibilité.
Qu’entend-on 1220.A1 – Les auditeurs internes doivent faire preuve de conscience professionnelle en prenant en considération les
par conscience éléments suivants :
professionnelle ? • l’étendue du travail nécessaire pour atteindre les objectifs de la mission ;
• la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures
Comment faire relatives aux missions d’assurance ;
preuve de • l’adéquation et l’efficacité des processus de gouvernance, de management des risques et de contrôle ;
conscience • la probabilité d’erreurs significatives, de fraudes ou de non-conformités ;
professionnelle ? • le coût de l’assurance fournie par rapport aux avantages escomptés.
1220.A2 – Pour faire preuve de conscience professionnelle, l’auditeur interne doit envisager l’utilisation de techniques
d’audit informatisées et d’analyse des données.
1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l’égard des risques significatifs susceptibles
d’avoir un impact sur les objectifs, les opérations ou les ressources de l’organisation. Toutefois, les procédures d’audit
seules, même lorsqu’elles sont appliquées avec la conscience professionnelle requise, ne garantissent pas que tous les
risques significatifs seront détectés.
On entend par ressources appropriées, la combinaison de connaissances, savoir-faire et autres compétences nécessaires à la
réalisation de la mission. On entend par ressources suffisantes, la quantité de ressources nécessaires Moyens humains,
technologiques, logistiques, recours à des tiers, budget temps …) pour la réalisation de la mission avec conscience
professionnelle.
3
Dispositions Générales du CRIPP en matière de fraude
Conscience professionnelle des auditeurs internes
Qu’entend-on
par conscience
professionnelle ? Pour démonter sa conscience professionnelle, les auditeurs internes sont appelés à :
Comment faire
preuve de Faire preuve d’un degré élevé de scepticisme professionnel à chaque fois que les faits et les circonstances semblent
conscience indiquer une probabilité de fraude. Il ne s’agit pas d’être paranoïaque ! mais d’avoir la capacité à évaluer avec esprit
professionnelle ? critique chaque preuve et les données dont il dispose et faire preuve d’une certaine détermination pour mettre en
évidence un projet de fraude dissimulé ;
L’audit interne est- Les problèmes significatifs sont ceux qui requièrent l’attention de la direction générale et du Conseil. Ils peuvent avoir
il chargé de la trait à des conflits d’intérêts, des faiblesses de contrôle, des erreurs, des fraudes, des actes illégaux, ou encore à des
qualification des questions d’efficacité et d’efficience. La fréquence et le contenu de la communication sont déterminés de manière
faits ? Ou encore concertée par le responsable de l’audit interne, la direction générale et le Conseil. Ils dépendent de l’importance des
de prononcer les informations à communiquer et de l’urgence des actions correctives à entreprendre par la direction générale et/ou le
sanctions ? Conseil.
! Le responsable d’audit interne doit discuter avec la direction générale des risques qui pourraient s’avérer
inacceptables pour l’organisation, lorsqu'ils n’arrivent pas à s’entendre ou que la situation ne peut pas attendre la
prochaine réunion du (cas de fraude majeure), le Responsable d’audit devrait en faire part au plut tôt.
3
Dispositions Générales du CRIPP en matière de fraude
Communication à la direction générale et au Conseil
Lors de l’élaboration du rapport sur les résultats des audits ou des investigations portant sur des cas de fraude, les
A qui rendre auditeurs internes doivent s’efforcer d’identifier les critères, les conditions, les causes et les effets afin de résumer leurs
compte ? Et à constats de manière systématique et structurée afin d’en renforcer la clarté et d’en faciliter la compréhension , ce qui
quelle périodicité ? nécessite généralement :
- Un exposé bref et clair des problèmes ;
Que doit contenir - L’énumération des politiques, règles, normes, lois et règlements applicables à l’affaire en question ;
la communication ? - L’analyse des preuves recueillies afin de donner leur opinion en tant que professionnels ;
- Les conclusions, c’est-à-dire les constats et les recommandations.
L’audit interne est-
il chargé de la
qualification des
faits ? ou encore
! Dans tous les cas, les rapports produits par les auditeurs internes :
de prononcer les
ne doivent contenir que des faits, et les auditeurs doivent éviter le plus possible d’y inclure des opinions
sanctions ?
personnelles ou tout type de préjugé ou hypothèse susceptible de fausser l’analyse ;
ne doivent jamais chercher à faire porter la culpabilité sur un ou plusieurs collaborateurs en particulier, mais
simplement indiquer que les preuves recueillies semblent corroborer la conclusion selon laquelle une fraude a pu
être commise. C’est au tribunal, et non à l’auditeur interne, d’établir la culpabilité et de déterminer la sanction.
3
Dispositions Générales du CRIPP en matière de fraude
Gouvernance
Norme 2110 – Gouvernance
L’audit interne doit évaluer et formuler des recommandations appropriées en vue d’améliorer les processus de
gouvernance de l’organisation pour :
• les prises de décisions stratégiques et opérationnelles ;
• la surveillance des processus de management des risques et de contrôle ;
Qu’est ce qui est • la promotion des règles d’éthique et des valeurs appropriées au sein de l’organisation ;
attendu de • une gestion efficace des performances de l’organisation, assortie d’une obligation de rendre compte ;
l’auditeur interne en • la communication aux services concernés des informations relatives aux risques et aux contrôles ;
matière d’évaluation • la coordination des activités et la communication des informations entre le Conseil, les auditeurs externes, les auditeurs
des processus de internes, les autres prestataires d’assurance, et le management.
gouvernance pour
lutter contre la L’objectif de cette évaluation est principalement :
fraude ?
analyser si des processus de prise de décision cohérents et effectifs ont été déployés (entretiens avec les différents
services sur des instructions notes, organisation, … qui permettrait entre autre de lutter contre la fraude)
s’assurer que tous les risques significatifs, dont le risque de fraude ont bien été envisagés (processus d’évaluation
annuelle des risques, Procès-verbaux de réunions au cours desquelles il a été question de stratégie de management
des risques, entretien avec le responsable conformité, risque, finance, inspection si existe) ;
évaluer les efforts déployés par l’organisation pour la sensibilisation à ses règles éthiques et à ses valeurs
(déclarations et engagements relatifs à la mission et aux valeurs de l’organisation, un code de conduite, les processus
de recrutement et de formation, une politique anti-fraude et de lancement d’alerte, ainsi que des dispositifs d’alerte et
d’investigation) ;
détecter un comportement inacceptable ou une prise de risque excessive et pour soutenir des actions correspondant
aux objectifs stratégiques de l’organisation (, fixation des objectifs indicateurs clés de performance, programme
d’incitation « primes » ;
évaluer la manière dont circulent les informations relatives aux risques et aux contrôles dans le domaine audité ;
assister aux réunions entre le CA, la Direction générale et auditeurs externes en tant que participants ou en tant
qu’observateurs, et analyser les procès-verbaux de réunions, les programmes de travail et les rapports échangés entre
ces acteurs pour voir comment ils coordonnent leurs activités et communiquent.
3
Dispositions Générales du CRIPP en matière de fraude
Gouvernance
Les processus de gouvernance sont pris en compte dans le cadre de l’évaluation des risques par l’audit interne, et lors de
l’établissement du plan d’audit.
Pendant les phases de planification, de réalisation et de communication de la mission, les auditeurs internes examinent la
nature et les répercussions potentielles des résultats et s’assurent que des communications appropriées sont effectuées
auprès du Conseil d’Administration et de la direction générale.
Qu’est ce qui est Une évaluation globale de la gouvernance est appropriée lorsqu’elle prend en compte :
attendu de
l’auditeur interne en les résultats des missions d’audit des processus de gouvernance spécifiques précédemment mentionnés ;
matière d’évaluation les problèmes de gouvernance relevés dans le cadre de missions qui n’étaient pas spécialement centrées sur la
des processus de gouvernance, comme les missions concernant :
gouvernance pour o la planification stratégique,
lutter contre la o les processus de management des risques,
fraude ? o l’efficacité et l’efficience opérationnelle,
o le contrôle interne relatif à la communication financière,
o les risques liés aux systèmes d’information, à la fraude, et à d’autres domaines,
o la conformité aux lois et règlements applicables ;
les résultats des évaluations par le management (par exemple, les inspections de conformité, audits qualité, auto-
évaluations des contrôles) ;
le travail de prestataires d’assurance externes (par exemple, des enquêteurs judiciaires, des contrôleurs des finances
publiques, des cabinets d'audit externe) et des régulateurs ;
le travail de prestataires d’assurance internes ou de fonctions de la seconde ligne de maîtrise (par exemple santé et
sécurité, conformité, qualité) ;
d’autres informations sur les questions de gouvernance, comme des incidents nuisibles suscitant l’amélioration des
processus de gouvernance.
! Les auditeurs internes peuvent intervenir pour évaluer de manière indépendante et objective la conception et l’efficacité
des processus de gouvernance au sein de l’organisation sous forme de mission d’assurance comme ils peuvent choisir de
donner des conseils. Cette approche peut être privilégiée, plus particulièrement lorsque les problèmes sont identifiés ou
que le processus de gouvernance est peu mature.
3
Dispositions Générales du CRIPP en matière de fraude
Management des risques
Qu’est ce qui est 2120.A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est géré par l’organisation.
attendu de
l’auditeur interne en Le responsable de l’audit interne et les auditeurs internes cherchent en premier lieu à comprendre l’appétence pour le
matière d’évaluation risque de l’organisation, ses missions et ses objectifs. Il est également important d’avoir une compréhension complète
des processus de de la stratégie de l’organisation et des risques identifiés par le management.
gestion des risques ? Les risques peuvent être de nature financière, opérationnelle, légale, réglementaire, ou stratégique.
de quel type de
risques s’agit-il ? Déterminer si les processus de management des risques sont efficaces relève du jugement professionnel des auditeurs
internes.
Pour cela, ils évaluent si :
les objectifs de l’organisation sont cohérents avec sa mission et y contribuent (comprendre le contexte de management
des risques de l’organisation et l’examen de l’appétence pour le risque ainsi que le seuil de tolérance au risque) ;
les risques significatifs sont identifiés et évalués (de quelle manière l’organisation identifie, évalue et surveille les
risques) ;
les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de
l’organisation (les mesures correctives qui ont été mises en place pour traiter les risques) ;
les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation
pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
3
Dispositions Générales du CRIPP en matière de fraude
Management des risques
Pour effectuer, de manière indépendante, des analyses d’écart afin de déterminer si les risques significatifs sont
adéquatement identifiés et évalués, et être en mesure de vérifier le processus d’évaluation des risques par le
management.
Les auditeurs internes pourront passer en revue les évaluations des risques récemment effectuées et les
communications y afférentes par la direction générale, les auditeurs externes, les régulateurs et d’autres sources.
Qu’est ce qui est
attendu de En outre, l’audit interne conduit généralement ses propres évaluations des risques.
l’auditeur interne en
matière d’évaluation L’audit interne peut envisager de recourir à un référentiel de management des risques ou de contrôle qui existe déjà
des processus de pour contribuer à l’identification des risques (par exemple, les référentiels du COSO - Committee of Sponsoring
gestion des risques ? Organizations of the Treadway Commission ou l’ISO 31000).
de quel type de
risques s’agit-il ? Pour rester au fait de l’exposition à des risques potentiels et pour s’informer des opportunités éventuelles, l’audit
interne pourra également faire des recherches sur les nouvelles évolutions et sur les nouvelles tendances sectorielles,
ainsi que sur les processus de surveillance, d’évaluation et de traitement des risques et des opportunités.
Si le management choisit d’employer une stratégie de maîtrise des risques, l’audit interne pourra, le cas échéant, évaluer
l’adéquation et la rapidité des mesures de remédiation prises. Cet objectif peut être atteint par l’examen de la conception
des dispositifs de contrôle et des tests des procédures de contrôle et de surveillance.
L’audit interne devra alerter le management des nouveaux risques et des risques qui n’ont pas été correctement maîtrisés,
proposer des recommandations et des plans d’actions pour répondre de manière appropriée aux risques (par exemple les
accepter, les exploiter, les transférer, les maîtriser ou les éviter).
! Les auditeurs internes évalueront également le management des risques au cours des missions d’assurance et de conseil
d’un domaine ou d’un processus donné.
3
Dispositions Générales du CRIPP en matière de fraude
Objectifs de la mission
2210.A2 – En déterminant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu’il
Comment définir existe des erreurs significatives, des cas de fraudes ou de non-conformités et d’autres risques importants.
les objectifs d’une
mission d’audit ?
Avant de définir les objectifs de la mission, les auditeurs internes pourront déterminer si une évaluation des risques a
Doit-on identifier été réalisée pendant la phase de planification de la mission et chercheront à connaître les risques de l’organisation et
les risques à la du domaine ou processus audité.
phase de
planification du Pour la réussite de la mise en œuvre de cette norme, les auditeurs internes doivent :
plan d’audit ou de
la mission d’audit? définir des objectifs dans le cadre de la planification de chaque mission à partir des risques clés identifiés à propos
Faut-il les du domaine ou du processus audité.
formaliser ? Analyser les considérations relatives à la planification et le plan annuel d’audit interne afin de se faire une idée
globale du bien-fondé de la mission et des objectifs que l’organisation souhaite atteindre.
Commencer par prendre connaissance de la mission, de la vision, des objectifs à court et long termes, ainsi que des
règles et procédures de l’organisation et les relier au domaine ou au processus audité ainsi que de ses flux entrants
et sortants.
Comprendre les attentes des parties prenantes, notamment celles de la direction générale et du Conseil.
! Pendant la planification de la mission, les auditeurs internes auront intérêt à élaborer une note de planification
documentant les objectifs, le périmètre d’intervention, l’évaluation des risques et les activités prioritaires à vérifier. La
note de planification est un document important pour la communication des objectifs et du périmètre de la mission, et
pour donner le contexte de l’intervention à l’équipe d’audit.
4
Ce qu’il faut retenir!
Les organisations ne devraient pas s’attendre à ce que l’investigation des fraudes fasse partie des compétences de l’audit interne. Son
rôle consiste davantage à soutenir les mesures de l’organisation en matière de gestion des risques de fraude en réalisant des missions
d’assurance sur les dispositifs de contrôle interne conçus pour détecter et prévenir les fraudes.
La fonction d’audit interne joue un rôle essentiel, car elle contribue à la gouvernance globale du programme de gestion du risque de
fraude. Elle donne au Conseil d’administration l’assurance indépendante et la direction générale attestant que les contrôles en place
pour gérer le risque de fraude sont conçus de manière adéquate et fonctionnent de manière effective.
Il est préférable de confier les investigations de fraudes à des personnes dotées de l’expérience nécessaire pour les mener.
Si les circonstances exigent que l’audit interne assume des fonctions d’investigation, les auditeurs devraient faire preuve de conscience
professionnelle qui requiert la compréhension de l’approche systématique et méthodique de l’audit interne.
Pour s’acquitter de leur responsabilité en matière de détection et de lutte contre la fraude, les auditeurs internes doivent posséder des
compétences et une expérience plus importante que celles nécessaires à la conduite de la plupart des missions d’assurance, ils
doivent donc s’efforcer à améliorer leurs connaissances.
La fonction d’audit interne devrait se doter d’un plan de gestion des cas adapté décrivant les principales politiques et méthodes
d’investigation à mettre en œuvre en cas de fraude. Ce plan devrait mentionner clairement le rôle de l’audit interne en cas de
soupçon de fraude et de défaillance des dispositifs de contrôle.
Les missions, les responsabilités et les attentes des différentes parties prenantes doivent explicitement être documentées et
communiquées.
17
6
Questions