Académique Documents
Professionnel Documents
Culture Documents
Afin de tirer le meilleur parti des supports de cours, procédez dans l'ordre
indiqué ci-dessous.
1. Pour commencer la formation veuillez consulter www.learncia.com.
2. Lire la présentation et revenir au menu. Sélectionnez la Partie 1 dans le
menu.
3. Complétez le test préliminaire et affichez le rapport pour vous aider à
concentrer vos efforts sur certains points de formation.
4. Lisez chaque section et suivez les instructions « Étapes suivantes » incluses
à la fin de chaque section.
5. Terminez la Partie 1 comme expliqué dans la présentation en ligne.
Supports de formation
Le CIA Learning System de l'IIA inclut des outils en ligne fournis pour
vous soutenir dans votre formation. Ces outils sont accessibles à tout
moment dans le menu.
Glossaire : consultez le glossaire pour connaître les définitions des
termes utilisés dans les trois parties du programme CIA de l'IIA.
Rapports : consultez les rapports pour prendre connaissance des
résultats de vos tests les plus récents et de votre progression dans le
programme de formation.
Centre de ressources : consultez le centre de ressources pour accéder
aux informations sur le Cadre CRIPP 2017, les mises à jour, aux
astuces, aux cartes questions-réponses à imprimer, aux liens associés et
au matériel de référence, ainsi que pour faire part de vos commentaires
à l'IIA sur le programme de formation.
Le CIA Learning System® de l'IIA est basé sur le programme de l'examen de
l'auditeur interne certifié (CIA, « Certified Internal Auditor® » ) développé par
l'IIA. Cependant, les développeurs du programme n'ont pas accès aux questions
des examens. Le programme de formation est, certes, un outil performant, mais
il ne garantit pas un score suffisant à l'examen du CIA.
Nous nous sommes assurés que les informations contenues dans le programme
soient correctes et d'actualité. Néanmoins, les lois et règlements changent et ces
supports ne sont pas destinés à être utilisés dans un cadre professionnel ou légal.
Ce matériel est conforme aux Normes révisées du cadre international de la
pratique professionnelle (CRIPP) introduites en juillet 2015, en vigueur en 2017.
Copyright
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie
de ces matériaux. Le fait de partager vos documents limiterait l'utilité du
programme. L'IIA investit de nombreuses ressources pour proposer à ses
membres des perspectives professionnelles de qualité. En conséquence, merci de
respecter le copyright.
Remerciements
L'IIA souhaite remercier les experts qui ont partagé leur expérience et donné de
leur temps pour développer et mettre à jour le CIA Learning System de l'IIA :
Partie 1 Présentation
Section I : Directives obligatoires
Introduction
Veuillez noter: En raison de leur taille et leur niveau de détails, certaines images
peuvent être mieux visibles dans la version imprimée du document.
Certaines liseuses ont la capacité d'agrandir les images (zoom) pour augmenter
la taille pour une meilleure lisibilité. Utiliser cette fonction peut également être
utile pour l'affichage des détails de l'image.
Partie 1 Présentation
Bienvenue dans la Partie 1 du CIA Learning System de l'IIA®.
L’audit interne est une discipline qui œuvre au nom du management, du Conseil
d’administration et des intervenants d'entités publiques et privées pour améliorer
et apporter une valeur ajoutée à la gestion du risque, aux procédures de contrôle
et de gouvernance. Cette démarche est différente de l'audit externe qui lui sert
des tiers ayant besoin d'informations financières fiables basées sur des pièces
justificatives fiables. Inversement, le champ d'application des auditeurs internes
est plus large puisqu'ils doivent examiner et évaluer l'efficacité des contrôles, du
fonctionnement financier, du respect des lois et des règles et de la performance
opérationnelle. À l'inverse des auditeurs externes qui eux se concentrent
simplement sur les évènements historiques, les auditeurs internes aident aussi le
Conseil et la direction à prendre des décisions axées sur l'avenir. Par exemple, on
peut demander aux auditeurs internes d’évaluer si des contrôles adéquats ont été
mis en place lors d'opérations planifiées afin d’assurer que les buts et objectifs
de l'organisation soient atteints.
Pour aider à clarifier ce que l’audit interne est ou n’est pas il faut établir de plus
grandes distinctions entre auditeurs internes et externes ainsi que leurs
différentes fonctions d'évaluation. Ces distinctions sont décrites ci-dessous :
Premièrement, les personnes employées dans une activité d’audit interne sont
généralement des employés d'une organisation. Cependant, il existe des
arrangements alternatifs pour le personnel audit interne d’un département
notamment grâce à l’externalisation, au co-sourcing (mutualisation des
ressources) et aux accords de détachement. En revanche, les auditeurs
externes sont eux des entrepreneurs indépendants.
Introduction
Le cadre de référence internationale pour la
pratique professionnelle de l'IIA
L’Institute of Internal Auditors (IIA) fournit à ses membres un Cadre
international de la pratique professionnelle (CRIPP) pour les guider dans leur
pratique professionnelle et assurer des résultats d'audit interne de haute qualité
au niveau d'environnements largement variés.
Selon l’IIA même, « l’objectif du . . CRIPP est d’organiser . . d’une manière plus
claire et plus opportune, les lignes directrices approuvées par l’IIA. De ce fait, la
position de l’IIA en tant qu'organe normalisateur de la profession d’audit interne
est renforcée au niveau mondial ». En prenant en compte la pratique actuelle de
l’audit interne ainsi que son développement
futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier
à être sensible à la demande croissante de services d’audit interne d’excellente
qualité ».
Les Guides de mise en oeuvre et les Guides de pratique sont destinées aux
membres de l'IIA et sont protégées par mot de passe. Le Cadre international de la
pratique professionnelle (International Professional Practices Framework) est
disponible en intégral en version imprimable en e-book et est aussi appelé, par
ceux qui l'ont déjà consulté, « Red Book (Livre Rouge) » Cet ouvrage peut être
commandé en ligne. Tandis que le livre inclut tous les aspects du Cadre—la
Mission, les Principes fondamentaux, la Définition de l'audit interne, le Code de
déontologie, les Normes, les Guides de mise en oeuvre et les Guides pratiques—
il n’est pas nécessairement actualisé au contraire de la version en ligne, laquelle
est sujette à révision continuelle et additions. Les auditeurs internes doivent
s'assurer d'avoir pris connaissance de la version la plus récente du cadre
disponible sur le site Web de l'IIA. Au fur et à mesure que l'environnement
d'audit évoluera, les documents d'orientation recommandés seront mis à jour,
comme les Normes le seront à un rhythme délibéré. Par exemple, l'édition 2017
des Normes internationales de l'IIA pour la pratique professionnelle de l'audit
interne comprend l'ajout de deux nouvelles normes, l'alignement des normes
avec les principes fondamentaux et des mises à jour des normes existantes.
Le Cadre CRIPP
En général, un cadre fournit un plan structurel de la manière dont l’ensemble de
connaissances et conseils s'intègrent. En tant que système cohérent, un cadre
facilite le développement, l'interprétation et l'application cohérente des concepts,
des méthodologies et des techniques utiles à une discipline ou à une profession.
Plus précisément, l'objectif du Cadre de référence international des pratiques
professionnelles (CRIPP) est d'organiser les conseils autoritaires de l'IIA d'une
manière facilement accessible en temps opportun tout en renforçant la position
de l'IIA en tant qu'organe normatif pour la profession d'audit interne à l'échelle
mondiale. En intégrant les pratiques actuelles d’audit interne tout en permettant
une l'expansion future, le CRIPP est destiné à aider les praticiens et les parties
prenantes du monde entier à répondre au marché en expansion pour un audit
interne de haute qualité.
Dans le monde entier, l'audit interne s’exerce dans des environnements divers et
au sein d'organisations qui varient selon l’objectif, la taille et la structure. En
outre, les lois et les coutumes dans différents pays diffèrent les unes des autres.
Ces différences peuvent affecter la pratique de l'audit interne dans chaque
environnement. La mise en oeuvre du CRIPP sera donc régie par
l'environnement dans lequel l'activité d'audit interne s'acquitte de ses
responsabilités assignées. Aucune information contenue dans le CRIPP ne doit
être interprétée d'une manière contraire aux lois ou règlements applicables. Si
une situation survient lorsque les informations contenues dans le CRIPP peuvent
être en conflit avec la législation ou la réglementation, les auditeurs internes sont
encouragés à communiquer avec l'IIA ou un conseiller juridique pour obtenir de
plus amples conseils.
Accroître et préserver la valeur de l’organisation en donnant avec objectivité une assurance, des conseils
et des points de vue fondés sur une approche par les risques.
Principes fondamentaux
Les principes fondamentaux pris dans leur ensemble sont constitutifs de
l’efficacité de l’audit interne. Pour qu’une fonction d’audit interne soit effectif,
l’ensemble des principes doivent être mis en place et fonctionner effectivement.
La façon dont un auditeur interne ou une fonction d’audit interne applique
chacun de ces principes peut varier d’une organisation à une autre, mais le non-
respect de l’un de ces principes pourrait impliquer que l’activité d’audit interne
ne réalise pas sa mission aussi efficacement qu’elle le pourrait.
Normes
Les Normes sont des dispositions basées sur le principe plutôt qu’un énoncé de
règles et règlementations. Certaines Normes incluent une « interprétation » pour
expliquer ces dispositions plus en détail Veuillez aussi ne pas négliger ce texte
en italique car il fait partie des Normes.
Les Normes emploient des termes ayant une signification très particulière. Le «
Livre Rouge (Red Book) » du CRIPP contient un bref Glossaire des Normes. Les
termes définis dans ce système d’apprentissage proviennent du Glossaire des
Normes.
Chacune des sections des Normes de qualification peut contenir plusieurs sous-
sections. Par exemple, les sous-sections de la norme 1100 (1110, 1120, etc)
traitent de certains aspects de l'indépendance et de l'objectivité. De même, la
norme 1300 sur l'assurance et l'amélioration qualité contient une sous-section
1310 intitulée « Exigences des programmes d'assurance et d'amélioration qualité
», qui à son tour contient deux sous-sections, 1311 « Évaluations internes », et
1312 « Évaluations externes ». Le système de numérotation permet d'ajouter
d'autres normes ultérieurement ce qui indique que les normes continueront
d'évoluer.
Normes de performance
Les Normes de performance décrivent la nature de l'audit interne et fournissent
des critères de qualité pour évaluer la performance de l'audit. Similaires aux
Normes de qualification, les Normes de performance s'appliquent à tous les
services d'audit interne ainsi qu'aux auditeurs internes.
Assurance
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective de la preuve
en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération,
une fonction, un processus, un système ou tout autre sujet. La nature et le périmètre de la mission
d'assurance sont déterminés par l'auditeur interne. Trois parties sont généralement impliquées dans les
activités d'assurance : (1) la personne ou le groupe qui fait directement partie de l'exploitation, la
fonction, un processus, un système, ou tout autre domaine (le responsable de processus), (2) la personne
ou le groupe en charge de l'évaluation (l'auditeur interne) et (3) la personne ou le groupe qui met
l'évaluation à profit (l'utilisateur).
Conseil
Les services de conseil sont de nature consultative et sont généralement réalisés à la demande spécifique
d'un client de la mission. La nature et le périmètre de la mission de conseil sont sujets à un accord avec
le client de la mission. Les services de conseil impliquent généralement deux parties : (1) la personne ou
le groupe offre des conseil (l'auditeur interne) et (2) la personne ou le groupe qui demande et obtient des
conseils (client de la mission). Lors de l'exécution des services de conseil l'auditeur interne doit rester
objectif et ne pas assumer sa responsabilité en matière de gestion.
Dans tous les cas, une mission de conseil ne doit pas être menée dans le but
d'éviter les exigences de la mission d'assurance comme par exemple la nécessité
de fournir un avis en fin de mission. Ceci est conforme au Code de déontologie
de l'IIA. En revanche et si cela s'avère opportun, les services auparavant offerts
sous la forme de mission d'assurance peuvent être fournis comme mission
conseil. Cependant, selon la Norme 2050 intitulée « Coordination et utilisation
d’autres travaux », de telles activités de conseils doivent être réalisées en étroite
collaboration avec d’autres activités d’assurance d’audit interne ou externe pour
minimiser toute redondance.
Tous les auditeurs internes et les autres parties intéressées sont invités à
soumettre des suggestions au Professional Issues Committee (Comité
professionnel) de l'IIA pour permettre le développement continu de ces guides.
Les Guides de mise en oeuvre sont régulièrement mises à jour pour fournir
d'autres meilleures pratiques et se conformer ainsi aux exigences des Normes.
Toutes les Guides de mise en oeuvre sont soumises à un processus d'examen
formel par le Professional Issues Committee (Comité professionnel) ou par tout
autre groupe désigné par le Conseil professionnel des Guides de mise en oeuvre.
Vous retrouverez les modalités les plus récentes ainsi que d'autres sections du
cadre sur le site de l'IIA (www.theiia.org).
Les Guides de mise en oeuvre sont destinées aux membres de l'IIA et sont
protégées par mot de passe sur le site internet de l'IIA.
Même s'il suit ces conseils relatifs aux des Guides de mise en oeuvre, l'auditeur
se retrouvera probablement dans des situations difficiles qui n'auront pas
spécifiquement été couvertes dans cette section. Dans ce cas il est de la
responsabilité de l'auditeur d'agir en suivant les principes directeurs basés sur les
Normes et Règles de conduite spécifiées dans le Code de déontologie. Pour les
membres de l'IIA, ces principes et leur dynamisme ne peuvent pas être dérogés
par les instructions d'un manager ou les pratiques contraires, les politiques ou la
culture d'une organisation. Seul la législation l'emporte sur le Code et les
Normes.
Guides pratiques
Les Guides pratiques fournissent d'autres recommandations de l'IIA pour aider
les auditeurs internes à intégrer les Normes dans le cadre de l'activité. Selon la
préface du CRIPP les Guides pratiques fournissent des « recommandations
détaillées pour la conduite d'activités d'audit interne » et incluent « des processus
et procédures détaillés, tels que des outils, techniques, programmes et approches
progressives, y compris des exemples d'éléments livrables ».
Au même titre que les Guides de mise en oeuvre, ces supports sont répertoriés
uniquement dans les sections du site Web de l'IIA nécessitant un mot de passe
pour y accéder.
Exposés de principes
Les Exposés de principes sont des communications de l'IIA destinées à aider
toutes sortes de parties, y compris celles extérieures à la profession d'audit
interne, à comprendre les grands problèmes de gouvernance, de gestion des
risques et de contrôle et à définir les rôles et responsabilités associés à la
profession d'audit interne. Les Exposés de principes sont disponibles sur le site
de l'IIA; vous pourrez y accéder sans mot de passe.
Démarches complémentaires
Pour aider à la mise en œuvre du CRIPP, les auditeurs internes effectuent des
évaluations internes de qualité régulièrement et doivent se soumettre à des
évaluations externes de qualité indépendantes pour démontrer la conformité aux
normes. Ils peuvent aussi obtenir des certifications d'auditeur à titre individuel.
Associées les unes aux autres, toutes ces démarches professionnelles participent
à la réussite commune des auditeurs et de leurs organisations.
Chapitre A : Définition de l'audit
interne
Introduction du chapitre
La profession d’audit est empreinte d'un passé chargé d'histoire. L'audit le plus
ancien nous vient de Mésopotamie lorsque l'on utilisait des marques pour
enregistrer les cargos et vérifier leurs transactions financières. Dans la Rome
antique, le terme d’audit provenait du mot latin auditus (audition) qui fait
référence à l'examen d'une preuve orale lorsqu'un responsable devait vérifier et
comparer les registres.
Aujourd’hui, l'audit interne se concentre sur les audits intégrés pour lesquels les
auditeurs fournissent une assurance associée à toute combinaison de types de
mission suivants :
Comme défini dans le Glossaire des Normes, l'activité d’audit interne est « un
département, une division, une équipe de consultants ou tout autre professionnel
qui fournit une assurance indépendante, objective et des services de conseils qui
apportent de la valeur et améliorent les opérations d'une organisation ». Les
activités d’audit interne sont souvent désignées par l’acronyme GRC
(gouvernance, risque et contrôle).
L’audit interne est mené par des professionnels ayant une connaissance
approfondie de la culture, des systèmes, et des processus d'affaires. Les activités
d’audit interne peuvent être effectuées par des personnes internes ou extérieures
à l’organisation.
La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins
annuellement, l’indépendance de l’audit interne au sein de l’organisation ». (Le
Glossaire des Normes définit le RAI comme « occupant un poste de direction
chargé de gérer efficacement l'activité d'audit interne conformément à la charte
de l'audit interne et à la Définition de l'audit interne, au Code de déontologie et
aux Normes ».) Que représente l'indépendance organisationnelle pour un
auditeur interne qui lui est après tout généralement un employé ? L'indépendance
organisationnelle existe lorsque le RAI :
Communique son rapport au Conseil sur le plan fonctionnel.
A un accès direct et non restreint au Conseil
Communique son rapport sur le plan administratif au directeur général ou
tout autre responsable de l'organisation ou à un autre niveau de l'organisation
à partir du moment où l'activité d'audit interne contrôle sans ingérence la
portée et la performance de travail et la communication des résultats.
Les parties prenantes doivent être bien conscientes que les auditeurs internes
peuvent examiner tous les domaines de l'organisation tout en restant impartiaux
et sans se laisser influencer par d'autres.
L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts
qu'ils soient évidents ou apparents, ce qui signifie que si une situation pourrait
être perçue comme un conflit d'intérêt cela pourrait nuire à la crédibilité de
l'auditeur interne.
Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999
seulement, mais il reflète le rôle croissant de l’audit interne au niveau des
conseils à valeur ajoutée et des suggestions liées aux décisions axées sur l'avenir.
Les auditeurs peuvent participer au niveau décisionnel car les processus sont en
cours d’évolution pour que les contrôles adéquats soient mis en place dans le
cadre de nouveaux projets ou processus et ce depuis leur création. À partir du
moment où les auditeurs internes indiquent clairement qu’ils ne prennent aucune
décision d'eux-mêmes, cela ne compromet pas l’indépendance lorsque ces
derniers donnent un conseil ou proposent des suggestions.
Les auditeurs internes étaient et sont souvent les premiers à établir une
évaluation complète de la gestion des risques d’une entreprise et la plupart
d’entre eux ont participé à la mise en place de cette fonction au sein d'une
organisation. Pour éviter toute perte d’indépendance ou d’objectivité, certaines
organisations ont nommé un auditeur interne au poste de responsable de la
gestion des risques tandis que d’autres organisations déterminent ces activités de
gestion des risques dans le cadre de missions de conseil.
Les auditeurs internes doivent être compétents dans chacune des trois activités.
D'après les exigences de la norme 2100, « Nature du travail » : La mise en œuvre
du Cadre des pratiques professionnelles (deuxième édition) résume
succinctement la façon dont les auditeurs internes doivent évaluer et contribuer à
l'amélioration de la gestion des risques, du contrôle et des systèmes de
gouvernance. Ces points sont présentés dans l'illustration I-1.
Comme l'indique Sawyer, et al, dans l'Audit interne selon Sawyer (Sawyer’s
Internal Auditing) (publié par l'IIA) : « Les questions financières ne représentent
que l'un des aspects des compétences de l'audit interne. Autrefois tenus pour
adversaires du client, les auditeurs internes affichent désormais des relations de
travail coopératives et productives avec les clients par le biais d'activités à valeur
ajoutée ».
Les auditeurs internes ont besoin d'explications claires pour qu'il leur soit
conféré le pouvoir nécessaire afin de prendre en charge leur indépendance et leur
objectivité et offrir de la valeur pour l'organisation. Pour que l'activité d'audit
interne puisse soutenir l'encadrement supérieur et le Conseil d'administration
dans le cadre de l'accomplissement des buts et objectifs généraux de
l'organisation et le renforcement des contrôles internes et la gouvernance
d'entreprise il est important de comprendre les principes de mission, pouvoir et
responsabilité relatifs à l'activité d'audit interne.
Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des
normes de conduite généralement acceptées et profitables à une organisation
comme à ses clients. Il établit une approche uniforme pour orienter les
comportements. La conduite éthique dépend bien sûr d'un engagement à « bien
agir », mais elle requiert également une vision claire de ce qu'est la bonne action.
Avoir une vision nette des questions éthiques peut parfois être difficile. Les
conflits d'intérêt soulevés presque inévitablement par toute profession ayant
plusieurs responsabilités (envers la profession elle-même, envers les collègues,
envers les clients, envers les employeurs et envers la communauté) jettent
parfois une ombre sur la ligne séparant la bonne action de l'action habituelle, de
l'action facile ou de l'action rentable.
Le Code fait plus qu’exiger une conduite déontologique, il définit cette conduite
en détail.
Tous les RAI (quelque soit leur état de service actuel) doivent se soumettre au
Code de déontologie de l’IIA, tel que montré dans l’illustration I-3 plus bas.
Illustration I-3 : Le code de déontologie de l'IIA adopté par le Conseilde l'IIA le 17 juin 2000
Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services
d’audit interne.
Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de
certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet d’une évaluation et
sera traitée en accord avec les statuts de l’Institut et ses directives administratives. Le fait qu’un
comportement donné ne figure pas dans les règles de conduite ne l’empêche pas d’être
inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la
personne qui s’en est rendu coupable.
Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
Intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à
leur jugement.
Objectivité
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent
pas influencer dans leur jugement par leurs propres intérêts ou par autrui.
Confidentialité
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.
Compétence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.
Règles de conduite
1. Intégrité
Les auditeurs internes :
1,1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.
1,2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la
profession.
1,3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes
déshonorants pour la profession d’audit interne ou leur organisation.
1,4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
2. Objectivité
Les auditeurs internes :
2,1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principe
vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les
intérêts de leur organisation.
2,2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2,3. Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.
3. Confidentialité
Les auditeurs internes :
3,1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs
activités.
3,2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques
et légitimes de leur organisation.
4. Compétence
Les auditeurs internes :
4,1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir
faire et l’expérience nécessaires.
4,2. Doivent exercer des services d'audit interne en accord avec les Normes internationales pour
la pratique professionnelle de l'audit interne.
4,3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.
Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut
être difficile, en début de mission, de déterminer si une personne est ou n'est pas
compétente pour ladite mission, surtout lorsque la fierté professionnelle ou
l'éventualité d'une promotion semble être en jeu. L'aveu « Je ne peux pas le
faire » ne suscite généralement que très peu de soutien. Cependant, les principes
du Code et Règles de conduite sont à appliquer obligatoirement seulement
lorsque ceux-ci sont compatibles avec les principes législatifs.
Applications pratiques
Le Code de déontologie ajouté conjointement au reste du Cadre des pratiques
professionnelles internationales de l'IIA et toute autre déclaration pertinentes de
l'Institut, offrent des conseils aux auditeurs internes dans le cadre de l'exercice de
leurs fonctions.
L'illustration I-4 identifie les applications pratiques des quatre principes du Code
de déontologie de l'IIA.
La plupart des fonctions d'audit interne ont adopté les Normes dans leurs chartes
(conforme avec le libellé de la norme de qualification 1000, décrite ci-dessus).
La Treadway Comission a accordé l'imprimatur aux Normes et établit dans le
Rapport de la Treadway Comission : « Le professionnalisme des auditeurs
internes s'est amélioré ces dernières années, grâce aux efforts de l'Institute of
Internal Auditors (IIA), l'organisation professionnelle pour les auditeurs internes.
Les Normes de l'IIA constituent d'excellentes recommandations pour un audit
interne efficace et reflètent l'une des pensées les plus avancées sur la prévention
et la détection des fraudes. La commission encourage les entreprises publiques
qui ne l'ont pas encore fait à envisager d'adopter les Normes de l'IIA ».
Les Normes peuvent être intégrées dans les chartes d'audit d'organisations
privées, à but non lucratif et gouvernementales aussi bien que dans celles des
compagnies publiques.
La charte d'audit interne sert de schéma type pour l'activité d'audit interne. Les
éléments typiques décrivent :
La mission et le périmètre d'action du service d'audit interne.
La responsabilité du RAI par rapport au management et au comité d'audit
dans l'accomplissement des fonctions qui lui incombent.
L'indépendance de la fonction d'audit interne.
Les responsabilités du RAI et des auditeurs internes.
Les pouvoirs du RAI et des auditeurs internes.
Les normes de la pratique d'audit doivent être respectées ou dépassées.
Le libre accès à l'information, aux personnes et aux systèmes.
Les audits permettent d'identifier les lacunes et d'améliorer le contrôle de gestion, le profit et
l'image de l'organisation. Elles seront communiquées au niveau approprié de management.
RESPONSABILITÉ
Dans l'exécution de ses fonctions, le responsable d'audit interne (RAI) rend compte à la direction
et au comité d'audit. Il doit notamment :
fournir une évaluation annuelle de l'adéquation et de l'efficacité des processus de l'organisation
qui visent à contrôler les activités et à gérer les risques dans les domaines définis par la
mission et le périmètre d'action ;
signaler les problèmes importants liés aux processus de contrôle des activités de l'organisation
et de ses sociétés affiliées, y compris les améliorations susceptibles d'être apportées à ces
processus, et fournir des informations sur ces problèmes jusqu'à leur résolution ;
les tenir régulièrement informés du statut et des résultats du plan annuel d'audit et leur indiquer
si les ressources du service sont suffisantes ;
coordonner et superviser les autres fonctions de contrôle et de surveillance (gestion des
risques, conformité, sécurité, fonction juridique, éthique, environnement, audit externe).
INDÉPENDANCE
Pour qu'il y ait l'indépendance au niveau du département d'audit interne, son personnel doit
rendre compte au RAI, qui doit rendre compte sur le plan administratif au directeur général et sur
le plan fonctionnel au Conseil et au comité d'audit, comme indiqué dans la section ci-dessus
intitulée Responsabilité. Un rapport régulier sur le personnel d'audit interne sera inclus dans le
cadre du rapport au comité d'audit
RESPONSABILITÉS
Le RAI et le personnel du service d'audit interne ont les responsabilités suivantes :
Développer un plan annuel flexible approprié d'audit interne en utilisant une méthodologie
fondée sur les risques, inclure tout risque ou contrôle identifié par le management et
communiquer ce plan au comité d'audit pour révision et accord.
Mettre en œuvre le plan annuel d'audit approuvé, y compris, le cas échéant, l'ensemble des
tâches et projets spéciaux demandés par la direction et le comité d'audit.
Avoir recours à des professionnel d'audit qui possèdent les connaissances, le savoir-faire et
l'expérience nécessaire ainsi que les certifications professionnelles requises pour remplir les
exigences de cette charte.
Établir un programme de qualité d'assurance par lequel le RAI assure la mise en œuvre des
activités d'audit interne.
Exécuter des services de conseils, qui vont au-delà des services d'assurance de l'audit interne,
pour aider le management à atteindre ses objectifs. On peut citer comme exemple la
facilitation, la conception de processus, la formation et les services de conseils.
Évaluer les principales fonctions de fusion/consolidation ainsi que les services, processus,
opérations et processus de contrôle nouveaux ou en évolution au moment de leur
développement, mise en œuvre et/ou expansion.
Émettre des rapports réguliers à l'attention du comité d'audit et de la direction, récapitulant les
résultats des activités d'audit.
Tenir le comité d'audit informé des nouvelles tendances et des pratiques d'audit interne
fructueuses.
Fournir une liste des principaux objectifs d'évaluation et les résultats correspondants au comité
d'audit.
Contribuer aux enquêtes majeures portant sur des suspicions d'activités frauduleuses au sein
de l'organisation et informer la direction et le comité d'audit des résultats.
Étudier le périmètre d'action des auditeurs et régulateurs externes, le cas échéant, dans le but
d'assurer un périmètre d'audit optimal à l'organisation et ce, à un coût global raisonnable.
POUVOIRS
Le RAI et le personnel du service d'audit interne sont habilités à :
Bénéficier d'un accès illimité à l'ensemble des fonctions, informations, équipements et
personnels ;
Jouir d'un accès libre et entier au comité d'audit ;
Allouer des ressources, définir des fréquences, sélectionner des sujets d'analyse, déterminer
des périmètres d'action et appliquer les techniques requises afin de remplir les objectifs
d'audit ;
Obtenir l'assistance nécessaire du personnel des unités de l'organisation concernées par les
audits, ainsi que d'autres services spécialisés, internes ou externes à l'organisation.
_________________________________
Le Responsable d'audit interne
_________________________________
Le Président du comité d'audit
_________________________________
Le Directeur général
___________________________
Date
Source : « Modèle de charte d'activité d'audit interne (Model Internal Audit Activity Charter) », The
Institute of Internal Auditors, www.theiia.org/download.cfm?file=26484.
Rubrique 2 : Préservation de
l'indépendance et de l'objectivité
(Niveau P)
Les auditeurs internes sont plus que des évaluateurs de conformité ou des
analystes financiers. Le large spectre de leurs responsabilités s'étend de
l'évaluation de toute une gamme de risques, contrôles, questions d'éthique et
initiatives liées à la qualité, à l'évaluation des technologies émergentes, l'analyse
des opportunités et l'examen de problèmes globaux. Les auditeurs internes sont
chargés de s'assurer que les contrôles en place permettent bien d'atténuer les
risques pour atteindre les objectifs de l'organisation.
L'objectivité est « une attitude impartiale qui permet aux auditeurs internes
d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de
leurs travaux, menés sans compromis. L’objectivité implique que les
auditeurs internes ne subordonnent pas leur propre jugement à celui d’autres
personnes ».
Rattachement fonctionnel
Un rattachement fonctionnel permet d'atteindre une indépendance et une autorité
finale. L'indépendance de l'organisation est garantie de manière efficace lorsque
le responsable de l'audit interne rend compte au Conseil sur le plan fonctionnel.
Lorsqu'il existe un rattachement fonctionnel au Conseil, le Conseil doit :
Approuver la charte d'audit interne.
Approuver le plan d'audit interne axé sur les risques.
Approuver le budget de l'audit interne et le plan sur les ressources.
Être destinataire des informations adressées par le responsable d’audit
relatives à la réalisation du plan d’audit ou de tout autre sujet afférent à
l’audit interne
Approuver les décisions relatives à la nomination et la révocation du
responsable de l'audit interne.
Approuver la rémunération du responsable de l'audit interne.
Demander des informations pertinentes au management et au responsable de
l’audit interne pour déterminer l’adéquation du périmètre et des ressources de
l’audit interne (interprétation de la Norme 1110).
Rattachement administratif
Le rattachement administratif facilite les opérations quotidiennes de la fonction
d'audit interne. Quelques exemples ci-dessous de rattachement administratif :
La budgétisation et la comptabilité de gestion.
L'administration des ressources humaines, y compris les évaluations du
personnel et la rémunération.
Les communications internes et les flux d’informations.
La gestion des règles et procédures de l’audit interne.
L'importance de l'indépendance
Le double rattachement hiérarchique supporte l'indépendance de l'activité d'audit
interne et permet aux auditeurs internes d'effectuer leur travail librement et
objectivement et de rendre des jugements impartiaux. Le rattachement permet
d'assurer :
Un flux d'informations approprié à travers l'organisation ;
Un accès aux principaux cadres et responsables ;
Une communication appropriée des résultats de l'activité d'audit interne.
Le RAI doit contrôler les rapports de rattachement. Toute situation qui affecte
l'indépendance et l'efficacité des opérations de la fonction d'audit interne doit
être soumise à l'attention du comité d'audit (ou son équivalent).
Afin que le RAI puisse maintenir une relation efficace entre le comité d'audit et
la fonction d'audit interne les meilleures pratiques à prendre en compte sont les
suivantes :
Communiquer régulièrement au comité d'audit les risques auxquels est
confrontée l'organisation (en veillant à la cohérence de ces communications
avec celles envoyées à la direction générale) ;
Aider le comité d'audit à s'assurer que la charte, les activités et les processus
du comité sont appropriés ;
S'assurer que la charte, le rôle et les activités d'audit interne sont bien compris
et répondent aux besoins du comité d'audit et du Conseil ;
Maintenir une communication ouverte et efficace avec le comité d'audit et
son président ;
Assurer la formation du comité d'audit sur les risques et les contrôles
internes, le cas échéant.
Une communication directe avec le comité d'audit est un autre élément essentiel
Des dispositions doivent être prises pour que le RAI puisse :
Bénéficier d'un accès libre et direct au président comme aux membres du
comité d'audit ;
Assister aux réunions de comité d'audit pour présenter un plan d'audit,
communiquer les résultats importants d'audit et les principales constatations
et discuter des observations concernant le risque et les contrôles internes de
l'audit interne au sein d'une organisation.
Communiquer avec le président du comité d'audit en dehors des sessions
prévues, notamment en cas de circonstances critiques telles qu'une fraude
grave ou tout autre événement de risque majeur.
Favoriser l'objectivité
Il existe différentes sections au niveau des services que l'activité d'audit interne
fournit. Au sein d'une entreprise, les clients potentiels peuvent être des dirigeants
de l'organisation, le Conseil, la direction des opérations et le comité d'audit.
Par exemple, il faudra envisager des mesures lorsqu'un auditeur qui a été promu
à un département d'opérations effectue un audit interne du dit département. Si le
temps et les moyens logistiques le permettent, ou si on peut légitimement
suspecter l'existence d'un conflit d'intérêts ou d'un risque de partialité, la Guide
de mise en oeuvre 1130 recommande que l'auditeur cesse d'auditer ce service et
que le responsable d'audit interne lui confie une autre mission. Une autre option
à envisager serait de confier les révisions des constatations et conclusions de
l'audit à une personne qui serait indépendante de l'audit.
L'objectivité doit être maintenue dans les faits ou même en apparence. Les objets
promotionnels de faible valeur (stylos, calendriers ou échantillons...) accessibles
aux employés et au public, ne sont pas de nature à entraver le jugement
professionnel des auditeurs internes. De même, accepter une invitation à
déjeuner ou se laisser payer son déjeuner ne doit pas compromettre l'objectivité
d'un auditeur interne. Pour préserver son objectivité en toutes circonstances, il
convient d'opposer ce qui est « raisonnable » à ce qui pourrait être perçu comme
un conflit d'intérêts. Un conflit d'intérêts est défini comme « toute relation qui
n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit
d'intérêts peut nuire à la capacité d'une personne à assumer de façon objective
ses devoirs et responsabilités » (glossaire de Normes).
Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de
réaliser ses objectifs et son planning. Entre autres, une limitation du champ d'intervention peut
restreindre :
Le domaine d’intervention défini dans la charte d’audit interne ;
L’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des
missions ;
Le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ;
La performance des procédures nécessaires de missions;
Les prévisions d'effectifs et le budget financier approuvés;
S'il existe une limitation du champ d'intervention, et tout effet potentiel associé, cela doit être
communiqué au Conseil, de préférence par écrit. Le responsable de l'audit interne juge s’il faut informer
le Conseil des restrictions qui ont déjà été communiquées à cette instance et qu’elle a acceptées. Cette
information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein de
l’organisation, du Conseil ou de la direction générale.
Les missions d'audit interne peuvent être dotées de différentes façons pour aider
à assurer que les audits sont effectués par des personnes possédant les
connaissances, savoir faire et autres compétences requises :
Exemples : Les connaissances requises pour effectuer des audits techniques tels que des enquêtes pour
fraude ou participer aux activités de Cycle de développement des systèmes (SDLC, « systems
development life cycle »); la connaissance des éléments de l'audit interne (comme expliqué dans la
partie 3 du système d'apprentissage).
Les compétences sont plus que des connaissances, savoir faire et expérience de
base liées à un métier. Il s'agit d'attitudes développées au fil du temps et qui
correspondent à un ensemble de capacités, traits de caractère et connaissances
indispensables à la réussite. Les aptitudes sont propres à l'employé ; il peut les
appliquer d'une mission d'audit à une autre, d'un poste à un autre, voire d'un
employeur à un autre.
Le Guide de mise en oeuvre 1210 établit les distinctions entre les termes
suivants : compétences, compréhension et appréciation. Les exemples suivants
illustrent les différences entre ces termes.
Exemple : Un auditeur interne est compétent de manière indépendante dans le cadre de situations
uniques et complexes liées à des concepts de fraude. Les compétences permettent de réunir les preuves
nécessaires et d'évaluer la fonctionnalité d'un contrôle.
Exemple : Un auditeur interne suit une formation pour apprendre les méthodes de détection et
comment reconnaître les signaux d'alerte de fraude. Sous la supervision et avec l'aide d'autres
personnes, il identifie les signaux d'alerte en matière de fraude potentielle au cours d'une enquête pour
fraude.
Exemple : un nouvel auditeur interne, qui vient de rejoindre l'équipe et connaît très bien l'approche
rigoureuse utilisée par l'activité d'audit interne pour réaliser des audits, reconnaît les signaux d'alerte
indicateurs d'une fraude potentielle alors qu'il exécute une mission.
Les auditeurs internes doivent également avoir une compréhension des relations
humaines et pouvoir communiquer et traiter avec les clients de mission. Du
reste, les compétences de communication orales et écrites sont nécessaires pour
que l'auditeur interne puisse transmettre clairement et efficacement les
informations relatives aux objectifs de la mission, aux évaluations, aux
conclusions et aux recommandations. La norme de fonctionnement 2420,
« Qualité des communications », stipule que « les communications doivent être
précises, objectives, claires, concises, constructives, complètes et opportunes. »
Son interprétation nous permet de dégager les points suivants :
Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits
sousjacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation
équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est
facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et
fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel
et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une
communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles
sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles.
Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant d’étayer
les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos,
elle permet au management de prendre les actions correctives appropriées en fonction du caractère
significatif de la problématique.
Illustration I-11 : Liens relatifs à la compétence pour les effectifs spécifiques et les
domaines spécifiques
Ces catégories délimitent des aptitudes pertinentes, chacune avec un niveau de
maîtrise défini :
1 = Simple sensibilisation.
2 = Aptitudes et connaissances de base utilisées avec l'aide d'autres personnes.
3 = Compétent de manière autonome dans des situations habituelles.
4 = Compétent de manière autonome dans des situations uniques et complexes.
Une analyse annuelle des connaissances et des compétences d'un service d'audit
doit être effectuée pour aider à identifier le champ d'opportunités qui peut être
traité par une formation professionnelle continue, le recrutement ou le co-
sourcing. L'illustration I-12 décrit un outil d'évaluation de la compétence
professionnelle du personnel. L'outil est aligné sur les Normes.
Le fait de planifier ou d'accepter des missions qui ne peuvent être effectuées que
par une personne compétente est susceptible de rendre l'organisation vulnérable
et de la juger inadéquate au niveau de l'efficacité de la gestion du risque et des
processus de contrôle et de gouvernance. De plus, le fait d'accepter ces missions
n'est pas conforme au Code de déontologie ou à la Norme de qualification 1210,
« Compétence ». La réputation de la fonction d'audit interne peut également s'en
trouver affaiblie.
Le RAI détermine si le prestataire extérieur de services possède les connaissances, les compétences et
autres aptitudes nécessaires à l'exécution de la mission en s'appuyant sur les éléments suivants :
Les certifications professionnelles, les licences ou autres reconnaissances des compétences du
prestataire extérieur de services dans la discipline concernée.
L'appartenance du prestataire extérieur de services à une organisation professionnelle appropriée et le
respect du code de déontologie de cette organisation.
La réputation du prestataire externe de services. La prise en compte de cet élément peut impliquer la
consultation de tiers faisant habituellement appel aux travaux du prestataire ;
L'expérience du prestataire extérieur de services concernant le type de travail considéré.
Le niveau de formation reçu par le prestataire extérieur de services dans les disciplines liées à la
mission en question.
Les connaissances et l'expérience du prestataire extérieur de services dans le secteur d'activité de
l'organisation.
Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe,
l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’objectivité du prestataire
externe seront garanties tout au long de la mission. Pour procéder à cet examen, le responsable de l'audit
interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le prestataire externe
de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de
l’émission de ses rapports.
grâce aux guides pratiques suivants : Guide to the Assessment of IT Risk (GAIT)
et le Global Technology Audit Guide® (GTAG®).
Le professionnalisme est en jeu lorsque les audits internes sont menés en accord
avec les Normes.
Il est possible d'obtenir une certification suivant les résultats obtenus dans les
disciplines suivantes.
Sortir diplômé d'un programme de formation agréé ou approuvé.
Détenir un type ou une durée d'expérience professionnelle spécifié.
Obtenir des résultats satisfaisants à un examen d'aptitude.
Parmi ces processus peuvent figurer une supervision appropriée, des évaluations
périodiques internes, un contrôle continu de la qualité d'assurance, et des
évaluations périodiques externes.
Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit
interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de
l’ensemble des éléments du cadre de référence international des pratiques professionnelles
Évaluations internes
Le RAI met en place des évaluations internes continues pour évaluer
régulièrement et individuellement les pratiques et politiques des procédures
d'audit. Le type et le nombre d'évaluations varient en fonction de la nature de
l'organisation. Des processus et des outils spécifiques doivent être définis pour
chaque organisation. Les conclusions doivent être développées régulièrement, et
des mesures adéquates doivent être prises pour améliorer la qualité des activités
continues d'audit.
Mesures de la qualité
Le Guide de mise en oeuvre 1311 donne des conseils concis pour établir des
mesures de performance afin d'évaluer l'activité d'audit interne. Il est
recommandé de consulter ce guide en liaison avec les Normes et toutes autres
méthodes de mesures les plus courantes.
Évaluations externes
Selon l'interprétation de la Norme 1312 :
Les évaluations externes peuvent être effectuées par une évaluation entièrement externalisée ou une
auto-évaluation suivie d’une validation indépendante externe. L’évaluateur externe doit statuer sur la
conformité avec les Normes et le Code de déontologie. L’évaluation externe peut également inclure des
commentaires de portée opérationnelle ou stratégique.
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines :
la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences
peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances
théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe
d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences
requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se
servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation
possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont
la fonction d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts, réel ou perçu
comme tel. Le responsable de l’audit interne devrait encourager la surveillance de l’évaluation externe
par le Conseil pour limiter les conflits d’intérêts perçus ou potentiels.
Les qualifications nécessaires sont les mêmes pour les trois équipes
d’évaluation. Une équipe externe d'évaluation doit comporter des membres ayant
les connaissances nécessaires de la technologie de l'information, de l’expérience
pertinente dans ce secteur d'activité, et de l’expertise dans d’autres disciplines
spécialisées (telles que la comptabilité, les taxes, les affaires environnementales
le cas échéant).
La conformité à la Définition d'audit interne au Code de déontologie; aux Normes; à la charte, aux
plans, politiques, procédures, pratiques et exigences législatives et réglementaires applicables de
l'activité d'audit interne.
Les attentes de l'activité d'audit interne comme indiquées par le Conseil, la direction générale et les
directeurs des opérations.
L'intégration de l'activité d'audit interne au processus de gouvernance de l'organisation, y compris les
relations entre et parmi les principaux groupes impliqués dans le processus.
Les outils et techniques employés par l'activité d'audit interne.
Un ensemble de connaissance, expérience et de disciplines au sein du personnel y compris une
concentration sur l'amélioration des processus.
Déterminer si ou non l'activité d'audit interne apporte de la valeur ou améliore les opérations d'une
organisation.
Étapes suivantes
Vous avez terminé la Partie 1, Section I du CIA Learning System®. À
présent, vérifiez votre compréhension en effectuant le ou les tests en ligne
spécifiques à cette section pour vous aider à identifier tout contenu mal
assimilé.