CIA Learning System® de l'IIA

Partie 1 : Bases de l'Audit Interne

Le texte d'auto-formation du CIA Learning System de l'IIA comprend toutes les
sections et thème abordés dans le programme de l'examen CIA 2013 de l'IIA,
que vous pouvez télécharger à partir du Centre de ressources en ligne ou à partir
du site web de l'IIA. Cependant, dans certains cas, le contenu de ce système
d'apprentissage a été réorganisé pour faciliter l'instruction et la compréhension.
Consultez le sommaire pour obtenir les numéros de page des sections et
rubriques, ainsi que la liste de toutes les rubriques.

Afin de tirer le meilleur parti des supports de cours, procédez dans l'ordre
indiqué ci-dessous.
1. Pour commencer la formation veuillez consulter www.learncia.com.
2. Lire la présentation et revenir au menu. Sélectionnez la Partie 1 dans le
menu.
3. Complétez le test préliminaire et affichez le rapport pour vous aider à
concentrer vos efforts sur certains points de formation.
4. Lisez chaque section et suivez les instructions « Étapes suivantes » incluses
à la fin de chaque section.
5. Terminez la Partie 1 comme expliqué dans la présentation en ligne.
Supports de formation
Le CIA Learning System de l'IIA inclut des outils en ligne fournis pour
vous soutenir dans votre formation. Ces outils sont accessibles à tout
moment dans le menu.
Glossaire : consultez le glossaire pour connaître les définitions des
termes utilisés dans les trois parties du programme CIA de l'IIA.
Rapports : consultez les rapports pour prendre connaissance des
résultats de vos tests les plus récents et de votre progression dans le
programme de formation.
Centre de ressources : consultez le centre de ressources pour accéder
aux informations sur le Cadre CRIPP 2017, les mises à jour, aux
astuces, aux cartes questions-réponses à imprimer, aux liens associés et
au matériel de référence, ainsi que pour faire part de vos commentaires
à l'IIA sur le programme de formation.
Le CIA Learning System® de l'IIA est basé sur le programme de l'examen de
l'auditeur interne certifié (CIA, « Certified Internal Auditor® » ) développé par
l'IIA. Cependant, les développeurs du programme n'ont pas accès aux questions
des examens. Le programme de formation est, certes, un outil performant, mais
il ne garantit pas un score suffisant à l'examen du CIA.

Nous nous sommes assurés que les informations contenues dans le programme
soient correctes et d'actualité. Néanmoins, les lois et règlements changent et ces
supports ne sont pas destinés à être utilisés dans un cadre professionnel ou légal.
Ce matériel est conforme aux Normes révisées du cadre international de la
pratique professionnelle (CRIPP) introduites en juillet 2015, en vigueur en 2017.

Copyright
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie
de ces matériaux. Le fait de partager vos documents limiterait l'utilité du
programme. L'IIA investit de nombreuses ressources pour proposer à ses
membres des perspectives professionnelles de qualité. En conséquence, merci de
respecter le copyright.

Remerciements
L'IIA souhaite remercier les experts qui ont partagé leur expérience et donné de
leur temps pour développer et mettre à jour le CIA Learning System de l'IIA :

Pat Adams, CIA

Terry Bingham, CIA, CISA, CCSA
Raven Catlin, CIA, CPA, CFSA
Patrick Copeland, CIA, CRMA, CISA, CPA
Don Espersen, CIA
Michael Fucilli, CIA, QIAL, CRMA, CGAP, CFE
James Hallinan, CIA, CPA, CFSA, CBA
Larry Hubbard, CIA, CCSA, CPA, CISA
Jim Key, CIA
David Mancina, CIA, CPA
Al Marcella, PhD, CISA, CCSA
Markus Mayer, CIA
Vicki A. McIntyre, CIA, CFSA, CRMA, CPA
Gary Mitten, CIA, CCSA
Lynn Morley, CIA, CGA
Lyndon Remias, CIA
James Roth, PhD, CIA, CCSA
Brad Schwieger, CPA, DBA
Doug Ziegenfuss, PhD, CIA, CCSA, CPA, CMA, CFE, CISA, CGFM, CR.FA.,
CITP
Table of Contents

Voir le contenu sur votre liseuse électronique

Partie 1 Présentation
Section I : Directives obligatoires
Introduction

Chapitre A : Définition de l'audit interne

Introduction du chapitre
Rubrique 1 : Définir et expliquer la Définition de l'audit
interne (Niveau P)
Rubrique 2 : Définition de la fonction, des pouvoirs et des
responsabilités de l'activité d'audit interne (Niveau P)

Chapitre B : Code de d’éthique

Introduction du chapitre
Rubrique 1 : Respecter et favoriser le respect du Code de
déontologie de l'IIA (Niveau P)

Chapitre C : Normes internationales

Introduction du chapitre
Rubrique 1 : Respecter les Normes de qualification de
l'IIA (Niveau P)
Rubrique 2 : Préservation de l'indépendance et de
l'objectivité (Niveau P)
Rubrique 3 : Définir la disponibilité des connaissances, du
savoir faire et des compétences nécessaires (Niveau P)
Rubrique 4 : Développer et / ou acquérir les
connaissances, le savoir-faire et les compétences
nécessaires généralement requis par l'activité d'audit
interne (Niveau P)
Rubrique 5 : Remplir ses fonctions avec
professionnalisme (Niveau P)
Rubrique 6 : Promotion de la formation professionnelle
continue (Niveau P)
Rubrique 7 : Assurance et amélioration qualité de
l'activité d'audit interne (Niveau P)
Voir le contenu sur votre liseuse électronique
Le contenu du CIA Learning System de l'IIA a été reformaté pour une
visualisation optimale sur votre liseuse électronique. Les images incluses dans
cette version ont été affichées dans les deux orientations portrait et paysage pour
une meilleure lisibilité. A ce titre, il est recommandé de verrouiller la rotation de
votre appareil (si votre liseuse électronique possède cette option) avant de
visionner le contenu. Cela vous permettra d’utiliser l'appareil pour lire toutes les
images nécessaires, sans rotation automatique par la liseuse.

Veuillez noter: En raison de leur taille et leur niveau de détails, certaines images
peuvent être mieux visibles dans la version imprimée du document.

Certaines liseuses ont la capacité d'agrandir les images (zoom) pour augmenter
la taille pour une meilleure lisibilité. Utiliser cette fonction peut également être
utile pour l'affichage des détails de l'image.
 Partie 1 Présentation
Bienvenue dans la Partie 1 du CIA Learning System de l'IIA®.

L’audit interne est une discipline qui œuvre au nom du management, du Conseil
d’administration et des intervenants d'entités publiques et privées pour améliorer
et apporter une valeur ajoutée à la gestion du risque, aux procédures de contrôle
et de gouvernance. Cette démarche est différente de l'audit externe qui lui sert
des tiers ayant besoin d'informations financières fiables basées sur des pièces
justificatives fiables. Inversement, le champ d'application des auditeurs internes
est plus large puisqu'ils doivent examiner et évaluer l'efficacité des contrôles, du
fonctionnement financier, du respect des lois et des règles et de la performance
opérationnelle. À l'inverse des auditeurs externes qui eux se concentrent
simplement sur les évènements historiques, les auditeurs internes aident aussi le
Conseil et la direction à prendre des décisions axées sur l'avenir. Par exemple, on
peut demander aux auditeurs internes d’évaluer si des contrôles adéquats ont été
mis en place lors d'opérations planifiées afin d’assurer que les buts et objectifs
de l'organisation soient atteints.

Pour aider à clarifier ce que l’audit interne est ou n’est pas il faut établir de plus
grandes distinctions entre auditeurs internes et externes ainsi que leurs
différentes fonctions d'évaluation. Ces distinctions sont décrites ci-dessous :

Auditeurs externes/Auditeurs financiers. Ces auditeurs fournissent une

attestation basée uniquement sur les rapports et états financiers fournis par
une organisation. Ces auditeurs se concentrent sur l’exactitude des
informations reportées et ils évaluent aussi les dossiers relatifs aux états
financiers et les contrôles concernant les informations financières. Ces
auditeurs se conforment aux Normes de révision généralement admises
(GAAS, « Generally Accepted Auditing Standards ») de l'Institut américain
des experts comptables (AICPA, « American Institute of Certified Public
Accountants »).

Conformité. Les évaluations de conformité servent en général à déterminer

si une organisation respecte ou non une loi applicable, règlement, norme,
politique ou procédure et les résultats apparaîtront dans les rapports. Les
 audits de conformité ne prennent pas en compte l’efficacité des processus
d'entreprise mais vérifient seulement si le processus est conforme ou non. En
général des personnes spécialisées (certaines ayant une expérience en droit)
se chargent de ces évaluations.

Régulateurs. Ces auditeurs travaillent pour des organismes de

règlementation (par exemple l'autorité de surveillance des marchés financiers
[FINRA, « Financial Industry Regulator Authority »], la U.S. Security and
Exchange Commission [SEC], la Office of the Comptroller of the Currency
[OCC]) et évaluent la conformité aux réglementations spécifiques. Ils
s’occupent des évaluations de conformité au niveau des entreprises ou
agences réglementées par une autorité de régulation spécifique.

Auditeurs de gouvernement. Les auditeurs de gouvernement travaillent en

général pour les départements, ministères, ou agences gouvernementales et se
concentrent sur la conformité aux exigences du programme, à la performance
d’audit, aux examens budgétaires et à la gestion des audits.

Quelques points supplémentaires de comparaison entre les professions d’audit

interne et externe viendront compléter cet aperçu d’audit interne.

Premièrement, les personnes employées dans une activité d’audit interne sont
généralement des employés d'une organisation. Cependant, il existe des
arrangements alternatifs pour le personnel audit interne d’un département
notamment grâce à l’externalisation, au co-sourcing (mutualisation des
ressources) et aux accords de détachement. En revanche, les auditeurs
externes sont eux des entrepreneurs indépendants.

Les auditeurs internes s'attachent à éviter ou à détecter les erreurs,

inefficacités, et irrégularités, y compris la fraude, qui ont un impact sur la
capacité d’une organisation à accomplir ses objectifs et portent un intérêt
limité à l'importance financière. Les auditeurs externes s'attachent à éviter ou
à détecter les fraudes seulement quand cela peut avoir une influence sur les
états financiers; ils s'attachent cependant également à éviter ou à détecter les
fraudes en général.

Troisièmement, les auditeurs internes sont indépendants des fonctions

internes des organisations qu’ils auditent, ce qui signifie qu’ils n'ont aucune
responsabilité de gestion au niveau des domaines audités. Cependant, ils
restent généralement prêts à répondre aux requêtes du Conseil et des
membres du management. En revanche, les auditeurs externes sont
indépendants du Conseil et du management en fait et au niveau intellectuel.
 Section I : Directives obligatoires
Cette section a pour objectif de vous aider à :
Identifier et appliquer des normes éthiques, pratiques et juridiques
correspondant à la pratique de l'audit, y compris le Code de
déontologie de l'IIA, les Normes internationales, les Guides de mise
en oeuvre et les lois applicables.
Expliquer les catégories de recommandations du cadre de référence
international pour la pratique professionnelle.
Expliquer la mission d'audit interne.
Énumérer les principes fondamentaux de la pratique professionnelle
de l'audit interne.
Définir l'audit interne.
Décrire le respect du Code de déontologie de l'IIA.
Expliquer comment la mission, les pouvoirs et la responsabilité de
l'activité d'audit interne sont documentés, communiqués et approuvés.
Comprendre l'importance de l'obtention de l'approbation du plan et de
la charte de l'activité d'audit interne par le Conseil.
Expliquer les notions d'indépendance et d'objectivité et comment les
préserver au sein d'une activité d'audit interne.
Identifier et décrire les connaissances, compétences et autres
aptitudes requises au sein d'une activité d'audit interne et la manière
dont une organisation peut les développer et/ou se les procurer.
Expliquer comment assurer le professionnalisme de l'activité d'audit
interne.
Décrire l'importance du perfectionnement professionnel et des
certifications officielles pour les auditeurs internes.
Décrire les éléments constitutifs d'un programme d'assurance et
d'amélioration qualité.

Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur

le contenu de cette section représentent environ 35 % à 45 % de la
totalité des questions relatives à la partie 1. Toutes les rubriques sont
traitées au niveau de compétence « P, Proficiency », c'est-à-dire qu'il
vous incombe non seulement de comprendre et de mémoriser les
informations, mais également de les maîtriser à un niveau plus élevé,
notamment par l'application, l'analyse, la synthèse et l'évaluation.

Introduction
Le cadre de référence internationale pour la
pratique professionnelle de l'IIA
L’Institute of Internal Auditors (IIA) fournit à ses membres un Cadre
international de la pratique professionnelle (CRIPP) pour les guider dans leur
pratique professionnelle et assurer des résultats d'audit interne de haute qualité
au niveau d'environnements largement variés.

Selon l’IIA même, « l’objectif du . . CRIPP est d’organiser . . d’une manière plus
claire et plus opportune, les lignes directrices approuvées par l’IIA. De ce fait, la
position de l’IIA en tant qu'organe normalisateur de la profession d’audit interne
est renforcée au niveau mondial ». En prenant en compte la pratique actuelle de
l’audit interne ainsi que son développement
futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier
à être sensible à la demande croissante de services d’audit interne d’excellente
qualité ».

Le CRIPP (cadre international de la pratique professionnelle) se constitue :

La Mission de l’audit interne.
Principes fondamentaux pour la pratique professionnelle de l'audit interne.
De la Définition de l'audit interne.
Du Code de déontologie.
Des Normes internationales pour la pratique professionnelle de l'audit
interne (les Normes).
Des Guides de mise en oeuvre.
Des Guides pratiques, y compris les services financiers, le secteur public, les
guides pratique d'audit des technologies de l’information (GTAG, Global
Technology Audit Guide) et les guides sur l'évaluation des risques
informatiques (GIAT, Guide to the Assessment of IT Risk).
Autres documents d'orientation supplémentaires.

La Mission de l’audit interne, les Principes fondamentaux pour la pratique

professionnelle de l’audit interne, Définition de l'audit interne, le Code de
déontologie et les Normes sont disponibles à la lecture ou au téléchargement à
partir du site internet de l'IIA (www.theiia.org); vous y trouverez aussi d’autres
documents utiles pour les auditeurs internes, qu’ils soient ou non membres de
l’IIA. (Parmi le matériel supplémentaire disponible au public pour la lecture ou
le téléchargement à partir du site internet figurent une newsletter mensuelle, IIA
Global SmartBrief et Tone at the Top, et le magazine Internal Auditing, qui
évolue constamment. Ces documents visent à améliorer la connaissance et les
compétences des auditeurs internes.

Les Guides de mise en oeuvre et les Guides de pratique sont destinées aux
membres de l'IIA et sont protégées par mot de passe. Le Cadre international de la
pratique professionnelle (International Professional Practices Framework) est
disponible en intégral en version imprimable en e-book et est aussi appelé, par
ceux qui l'ont déjà consulté, « Red Book (Livre Rouge) » Cet ouvrage peut être
commandé en ligne. Tandis que le livre inclut tous les aspects du Cadre—la
Mission, les Principes fondamentaux, la Définition de l'audit interne, le Code de
déontologie, les Normes, les Guides de mise en oeuvre et les Guides pratiques—
il n’est pas nécessairement actualisé au contraire de la version en ligne, laquelle
est sujette à révision continuelle et additions. Les auditeurs internes doivent
s'assurer d'avoir pris connaissance de la version la plus récente du cadre
disponible sur le site Web de l'IIA. Au fur et à mesure que l'environnement
d'audit évoluera, les documents d'orientation recommandés seront mis à jour,
comme les Normes le seront à un rhythme délibéré. Par exemple, l'édition 2017
des Normes internationales de l'IIA pour la pratique professionnelle de l'audit
interne comprend l'ajout de deux nouvelles normes, l'alignement des normes
avec les principes fondamentaux et des mises à jour des normes existantes.

Ce système d’apprentissage est conforme à la révision des Normes en effet

depuis le 1er janvier 2017 et accessibles sur le lien suivant :
global.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx.

Dispositions officielles du CRIPP

Le CRIPP est un « cadre conceptuel qui organise les dispositions officielles
promulguées par l’IIA ». Ces dispositions se classent en deux catégories : (1)
directives obligatoires et (2) conseils recommandés.
La Mission de l’audit interne, les Principes fondamentaux, la Définition de
l'audit interne, le Code de déontologie, les Normes constituent le principe
fondamental du CRIPP et les membres de l’IIA, les professionnels pratiquant les
audits internes et les Auditeurs Internes Certifiés doivent s'y souscrire. Le
caractère obligatoire des Normes est renforcé par l’utilisation des termes « must
» et « should ». Le Glossaire des Normes du CRIPP définit ces termes comme
suit :
Le mot must indique une exigence impérative.
Le mot should est utilisé dans les Normes lorsque le respect de la disposition
est recommandé sauf si, en faisant preuve de jugement professionnel, des
adaptations sont justifiées par les circonstances.

L’introduction aux Normes a pour but de clarifier le contenu des orientations à

caractère obligatoire : « Les Normes s’appliquent aux auditeurs internes
individuels et aux activités d’audit interne. Tous les auditeurs internes ont la
responsabilité de se conformer aux Normes relatives à l’objectivité individuelle,
la compétence et la conscience professionnelle. De plus, il est de leur
responsabilité de se conformer aux Normes correspondant à la performance de
leurs responsabilités professionnelles. Les responsables d'audit interne (RAI)
sont en outre responsables de la conformité générale de l'activité d’audit interne
avec les Normes ».

(Remarque : Si la mention « se conformer aux Normes » est utilisée dans le

cadre de l'activité, le respect des Normes est donc obligatoire, même pour ceux
qui n'occupent pas un poste de RAI ou qui ne sont pas membres de l’IIA).

Les dispositions fortement recommandées du CRIPP soutiennent le principe

fondamental. Chaque norme est, par exemple, généralement soutenue par un
Guide de mise en oeuvre correspondant. Dans certains cas, il existe également
des liens vers la collection croissante de Guides pratiques—y compris les guides
pratique d'audit des technologies de l’information (GTAG, Global Technology
Audit Guide) pour l'évaluation des risques informatiques (GIAT, Guide to the
Assessment of IT Risk) et d'autres documents d'orientation supplémentaires.

Contrairement aux Normes, au Code de déontologie, Principes fondamentaux et

à la Définition de l'audit interne, les Guides de mise en oeuvre, les Guides
pratiques et les Exposés de principes sont en option et ne sont pas obligatoires.
Les Guides de mise en oeuvre et les Guides pratiques constituent la version des «
meilleures pratiques » de l'IIA. Ils fournissent des directives détaillées pour
mener des activités d’audit interne. Il s'agit notamment des domaines d'actualité,
des questions sectorielles, ainsi que des processus et des procédures, des outils et
des techniques, des programmes, des approches étape par étape et des exemples
de livrables.

Ces types de dispositions recommandées sont approuvées par l’IIA et furent

développées grâce à l'utilisation d'une procédure régulière par un comité et/ou
institut technique international de l’IIA. Plutôt que de fournir des réponses
fermes, les dispositions fortement recommandées guident l'auditeur et
contiennent un large panel de solutions possibles et de méthodes pour mettre en
pratique les orientations à caractère obligatoire.

Un aperçu préliminaire du cadre de le CRIPP, ainsi que des descriptions de la

Mission, des Principes fondamentaux, des Normes, des Guides de mise en
oeuvre et des Guides de pratique suivent, ainsi qu'une brève résumé de certains
projets de soutien connexes. La définition de l’audit interne de l’IIA est couverte
dans le Chapitre A Rubrique 1 de cette section. Elle est aussi disponible sur le
site internet de l’IIA. Le Code de déontologie est discuté en détail dans le
Chapitre B Rubrique 1. Ensuite vous trouverez une introduction globale des
autres sections du cadre – Normes, Modalités pratiques d'application, Guides
pratiques et Exposés de principes – ainsi qu'une mention brève de certaines
démarches supplémentaires.

Le Cadre CRIPP
En général, un cadre fournit un plan structurel de la manière dont l’ensemble de
connaissances et conseils s'intègrent. En tant que système cohérent, un cadre
facilite le développement, l'interprétation et l'application cohérente des concepts,
des méthodologies et des techniques utiles à une discipline ou à une profession.
Plus précisément, l'objectif du Cadre de référence international des pratiques
professionnelles (CRIPP) est d'organiser les conseils autoritaires de l'IIA d'une
manière facilement accessible en temps opportun tout en renforçant la position
de l'IIA en tant qu'organe normatif pour la profession d'audit interne à l'échelle
mondiale. En intégrant les pratiques actuelles d’audit interne tout en permettant
une l'expansion future, le CRIPP est destiné à aider les praticiens et les parties
prenantes du monde entier à répondre au marché en expansion pour un audit
interne de haute qualité.

Dans le monde entier, l'audit interne s’exerce dans des environnements divers et
au sein d'organisations qui varient selon l’objectif, la taille et la structure. En
outre, les lois et les coutumes dans différents pays diffèrent les unes des autres.
Ces différences peuvent affecter la pratique de l'audit interne dans chaque
environnement. La mise en oeuvre du CRIPP sera donc régie par
l'environnement dans lequel l'activité d'audit interne s'acquitte de ses
responsabilités assignées. Aucune information contenue dans le CRIPP ne doit
être interprétée d'une manière contraire aux lois ou règlements applicables. Si
une situation survient lorsque les informations contenues dans le CRIPP peuvent
être en conflit avec la législation ou la réglementation, les auditeurs internes sont
encouragés à communiquer avec l'IIA ou un conseiller juridique pour obtenir de
plus amples conseils.

Le Cadre de référence international des pratiques professionnelles (CRIPP) est la

boussole qui fournit aux auditeurs internes la direction pour suivre la croissance
de changement d'entreprise. Le cadre CRIPP mis à jour a été introduit en juillet
2015.

Mission de l’audit interne

Le CRIPP a été élargi pour inclure un énoncé de mission pour soutenir la
profession d'audit interne. Il articule ce que l'audit interne aspire à accomplir au
sein d'une organisation. Il énonce:

Accroître et préserver la valeur de l’organisation en donnant avec objectivité une assurance, des conseils
et des points de vue fondés sur une approche par les risques.

Sa place dans le nouveau CRIPP est délibérée, démontrant comment les

praticiens devraient tirer parti de l'ensemble du cadre pour faciliter leur capacité
à réaliser la mission.

Principes fondamentaux
Les principes fondamentaux pris dans leur ensemble sont constitutifs de
l’efficacité de l’audit interne. Pour qu’une fonction d’audit interne soit effectif,
l’ensemble des principes doivent être mis en place et fonctionner effectivement.
La façon dont un auditeur interne ou une fonction d’audit interne applique
chacun de ces principes peut varier d’une organisation à une autre, mais le non-
respect de l’un de ces principes pourrait impliquer que l’activité d’audit interne
ne réalise pas sa mission aussi efficacement qu’elle le pourrait.

Les Principes fondamentaux comprennent:

Faire preuve d’intégrité
Faire preuve de compétence et de conscience professionnelle
Etre objectif et libre de toute influence indue (indépendant)
Etre en phase avec la stratégie, les objectifs et les risques de l’organisation
Etre positionné de manière appropriée et disposer des ressources adéquates
Démontrer la qualité de l’audit interne et son amélioration continue
Communiquer de manière efficace
Fournir une assurance fondée sur une approche par les risques
Etre perspicace, proactif et orienté vers le futur
Encourager le progrès au sein de l’organisation

Normes
Les Normes sont des dispositions basées sur le principe plutôt qu’un énoncé de
règles et règlementations. Certaines Normes incluent une « interprétation » pour
expliquer ces dispositions plus en détail Veuillez aussi ne pas négliger ce texte
en italique car il fait partie des Normes.

L'objectif des Normes peut être détaillé comme suit :

Délimiter les principes de base de la pratique d’audit interne.
Fournir un cadre pour appliquer et promouvoir une large gamme d'audit
interne à valeur ajoutée.
Etablir une base pour l'évaluation des performances d'audit interne ;
Favoriser des opérations et processus organisationnels améliorés.

Les Normes emploient des termes ayant une signification très particulière. Le «
Livre Rouge (Red Book) » du CRIPP contient un bref Glossaire des Normes. Les
termes définis dans ce système d’apprentissage proviennent du Glossaire des
Normes.

Il y a trois types de Normes : Les Normes de qualification, les Normes de

fonctionnement et les Normes de mise en œuvre.
Normes de qualification
Les Normes de qualification définissent les caractéristiques des organisations et
des parties chargées des activités d'audit interne. Les Normes de qualification
s'appliquent à tous les services d'audit interne et aux auditeurs internes
individuellement.

Les Normes de qualification sont numérotées à partir de 1000. Les principales

sections des Normes de qualification sont les suivantes :

Les exemples suivants représentent deux de ces Normes de qualification.

Norme de qualification 1000—« Mission, pouvoir et responsabilité » La

mission, le pouvoir et la responsabilité de l'audit interne doivent être
formellement définis dans une charte d’audit interne et être conforme à la
Mission d'audit interne et aux éléments obligatoires du Cadre international
des pratiques professionnelles (Principes fondamentaux pour la pratique
professionnelle de l'audit interne, Le Code d'éthique, les Normes et la
définition de l'audit interne). Le responsable de l’audit interne doit revoir
périodiquement la charte d’audit interne et la soumettre à l’approbation de la
direction générale et du Conseil.

Norme de qualification 1100—« Indépendance et objectivité » L'activité

d'audit interne doit être indépendante et les auditeurs internes doivent être
objectifs dans l'exercice de leur travail.

Chacune des sections des Normes de qualification peut contenir plusieurs sous-
sections. Par exemple, les sous-sections de la norme 1100 (1110, 1120, etc)
traitent de certains aspects de l'indépendance et de l'objectivité. De même, la
norme 1300 sur l'assurance et l'amélioration qualité contient une sous-section
1310 intitulée « Exigences des programmes d'assurance et d'amélioration qualité
», qui à son tour contient deux sous-sections, 1311 « Évaluations internes », et
1312 « Évaluations externes ». Le système de numérotation permet d'ajouter
d'autres normes ultérieurement ce qui indique que les normes continueront
d'évoluer.

Normes de performance
Les Normes de performance décrivent la nature de l'audit interne et fournissent
des critères de qualité pour évaluer la performance de l'audit. Similaires aux
Normes de qualification, les Normes de performance s'appliquent à tous les
services d'audit interne ainsi qu'aux auditeurs internes.

Les Normes de performance sont numérotées à partir de 2000. Les sections

principales des Normes de performance sont les suivantes :

Les exemples suivants représentent deux de ces normes de fonctionnement.

Normes de performance 2000—« Gestion de l'audit interne » Le

responsable de l’audit interne doit gérer efficacement cette activité de façon à
garantir qu’elle apporte une valeur ajoutée à l’organisation.

Norme de performance 2100—« Nature du travail » L’audit interne doit

évaluer les processus de gouvernance de l’organisation, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une
approche systématique, méthodique et fondée sur une approche par les
 risques. La crédibilité et la valeur de l’audit interne sont renforcées lorsque
les auditeurs internes sont proactifs, que leurs évaluations offrent de
nouveaux points de vue et prennent en considération les impacts futurs.

Comme on peut le noter, les Normes de performance au plus haut niveau

abordent des sujets de portée générale; de 2200 à 2500 on peut suivre les
diverses étapes d'un audit bien mené. Les Normes de performance ont également
des sous-sections plus détaillées qui sont ajoutées au fur et à mesure que le cadre
évolue.

Normes de mise en œuvre

Les Normes de mise en œuvre précisent les Normes de qualification et les
Normes de performance en indiquant les exigences applicables pour la mise en
œuvre des Normes de qualification et des Normes de performance selon qu'il
s'agit d'une mission d'assurance (A) ou de conseil (C). Le glossaire des Normes
définit la mission comme « une mission d'audit interne spécifique, tâche ou
activité de révision particulière telle qu'un audit interne, une auto-évaluation des
contrôles ou un contrôle de la fraude ou une mission de conseil ». Les deux types
de missions d'audit sont décrits dans l'introduction des normes comme suit :

Assurance
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective de la preuve
en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération,
une fonction, un processus, un système ou tout autre sujet. La nature et le périmètre de la mission
d'assurance sont déterminés par l'auditeur interne. Trois parties sont généralement impliquées dans les
activités d'assurance : (1) la personne ou le groupe qui fait directement partie de l'exploitation, la
fonction, un processus, un système, ou tout autre domaine (le responsable de processus), (2) la personne
ou le groupe en charge de l'évaluation (l'auditeur interne) et (3) la personne ou le groupe qui met
l'évaluation à profit (l'utilisateur).

Conseil
Les services de conseil sont de nature consultative et sont généralement réalisés à la demande spécifique
d'un client de la mission. La nature et le périmètre de la mission de conseil sont sujets à un accord avec
le client de la mission. Les services de conseil impliquent généralement deux parties : (1) la personne ou
le groupe offre des conseil (l'auditeur interne) et (2) la personne ou le groupe qui demande et obtient des
conseils (client de la mission). Lors de l'exécution des services de conseil l'auditeur interne doit rester
objectif et ne pas assumer sa responsabilité en matière de gestion.

L'assurance et le conseil ne s'excluent pas mutuellement donc une activité d'audit

peut contenir à la fois des éléments de conseil et d'assurance. Une mission mixte
peut ainsi combiner des activités de conseil et d'assurance. Dans d'autres cas, les
éléments individuels de la mission peuvent être spécifiés comme étant «
assurance » ou « conseil ».
Les auditeurs internes peuvent fournir des services de conseil dans le cadre de
leurs activités normales ou habituelles ou en réponse aux demandes du
management. Une organisation doit définir les types d'activités de conseil qui
devront être menées et élaborer des politiques ou procédures nécessaires pour
chaque type. Voici quelques exemples d'activités de conseil :
Missions de conseil officielles. Ces missions sont planifiées et sont soumises
à un accord écrit
Missions de conseil informelles. Ces missions représentent des activités de
routine comme la participation aux comités permanents, aux projets à durée
de vie limitée, aux réunions ad-hoc et à l’échange régulier d’informations.
Missions de conseil spécialisées. Rejoindre l'équipe de fusion ou
d'acquisition ou de conversion des systèmes.
Missions de conseil d'urgence. Rejoindre l'équipe chargée de la reprise ou
de la gestion des opérations après un désastre ou tout autre évènement
extraordinaire ayant un impact sur les affaires, ou rejoindre l'équipe mise en
place pour fournir une aide temporaire afin de répondre à une demande
particulière ou respecter des délais exceptionnels.

Dans tous les cas, une mission de conseil ne doit pas être menée dans le but
d'éviter les exigences de la mission d'assurance comme par exemple la nécessité
de fournir un avis en fin de mission. Ceci est conforme au Code de déontologie
de l'IIA. En revanche et si cela s'avère opportun, les services auparavant offerts
sous la forme de mission d'assurance peuvent être fournis comme mission
conseil. Cependant, selon la Norme 2050 intitulée « Coordination et utilisation
d’autres travaux », de telles activités de conseils doivent être réalisées en étroite
collaboration avec d’autres activités d’assurance d’audit interne ou externe pour
minimiser toute redondance.

Le format de numérotation des Normes de mise en œuvre indique leur

classification (assurance ou conseil). Par exemple, les normes de mise en œuvre
1000.A1 et 1000.C1 sont liées à la Norme de qualification 1000, «Mission,
pouvoir et responsabilité», dans laquelle A indique une norme de mission
d'assurance et C indique une norme de mission de conseil. La norme de mise en
œuvre 1000.A1 explique que : « La nature des missions d'assurance réalisées
pour l'organisation doit être définie dans la charte d’audit interne. S'il est prévu
d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature
doit également être définie dans la Charte ». La norme de mise en œuvre
1000.C1, précise en des termes similaires, « La nature des services de conseil
doivent être définis dans la charte de l'audit interne ».

Exceptions aux orientations à caractère obligatoire des Normes

Lorsque la législation ou la réglementation empêchent les auditeurs internes de
respecter certaines dispositions des Normes, il est nécessaire de procéder à une
communication appropriée Les auditeurs internes doivent se conformer aux
autres dispositions des Normes.

Guides de mise en oeuvre

Le Professional Issues Committee (Comité professionnel) de l'IIA fournit des
directives non obligatoires sous la forme de Guides de mise en oeuvre pour aider
les auditeurs internes à mettre en pratique les Normes à caractère obligatoire. Les
Guides de mise en oeuvre sont approuvées par l’IIA et fournissent des conseils
concis et ciblés pour aider les auditeurs internes à interpréter et à appliquer le
Code de déontologie et les Normes et à promouvoir l'adoption de meilleures
pratiques. Les Guides de mise en oeuvre comprennent les pratiques relatives aux
questions internationales, nationales ou spécifiques à l'industrie ainsi que les
différents types spécifiques de mission et les questions juridiques ou
réglementaires. Certaines Guides de mise en oeuvre s'appliquent à tous les
auditeurs internes, d'autres répondent aux besoins d'une industrie spécifique,
d'une spécialité d'audit ou d'une zone géographique.

Les Guides de mise en oeuvre traitent de l'approche, la méthodologie et des

considérations mais ne se concentrent pas sur les processus et les procédures en
détail.

Tous les auditeurs internes et les autres parties intéressées sont invités à
soumettre des suggestions au Professional Issues Committee (Comité
professionnel) de l'IIA pour permettre le développement continu de ces guides.
Les Guides de mise en oeuvre sont régulièrement mises à jour pour fournir
d'autres meilleures pratiques et se conformer ainsi aux exigences des Normes.
Toutes les Guides de mise en oeuvre sont soumises à un processus d'examen
formel par le Professional Issues Committee (Comité professionnel) ou par tout
autre groupe désigné par le Conseil professionnel des Guides de mise en oeuvre.
Vous retrouverez les modalités les plus récentes ainsi que d'autres sections du
cadre sur le site de l'IIA (www.theiia.org).

Les Guides de mise en oeuvre sont destinées aux membres de l'IIA et sont
protégées par mot de passe sur le site internet de l'IIA.

Les Guides de mise en oeuvre constituent la base de la présentation de

nombreuses rubriques de ce cours.

La Norme 1110, « Indépendance organisationnelle » est un exemple de la

manière dont les Guides de mise en oeuvre fonctionnent. La norme contient le
mandat suivant : « Le responsable d'audit interne doit être rattaché à un niveau
hiérarchique de l'organisation qui permette à l'activité d'audit interne de remplir
ses obligations. Au moins une fois par an, le responsable d'audit interne doit
confirmer au Conseil l'indépendance organisationnelle de l'activité d'audit
interne. » Cette mise en pratique n'est pas forcément évidente pour le
responsable d'audit interne de l'organisation. Pour obtenir plus de précisions, le
RAI peut consulter la section « Contenu » du cadre en ligne (en supposant qu'il
est membre de l'IIA), aller à la section Liste des Modalités pratiques
d'application, rechercher l'entrée Guides de mise en oeuvre 1110, «
Indépendance organisationnelle » et suivre les différents conseils fournis à cet
effet.

Même s'il suit ces conseils relatifs aux des Guides de mise en oeuvre, l'auditeur
se retrouvera probablement dans des situations difficiles qui n'auront pas
spécifiquement été couvertes dans cette section. Dans ce cas il est de la
responsabilité de l'auditeur d'agir en suivant les principes directeurs basés sur les
Normes et Règles de conduite spécifiées dans le Code de déontologie. Pour les
membres de l'IIA, ces principes et leur dynamisme ne peuvent pas être dérogés
par les instructions d'un manager ou les pratiques contraires, les politiques ou la
culture d'une organisation. Seul la législation l'emporte sur le Code et les
Normes.

Guides pratiques
Les Guides pratiques fournissent d'autres recommandations de l'IIA pour aider
les auditeurs internes à intégrer les Normes dans le cadre de l'activité. Selon la
préface du CRIPP les Guides pratiques fournissent des « recommandations
détaillées pour la conduite d'activités d'audit interne » et incluent « des processus
et procédures détaillés, tels que des outils, techniques, programmes et approches
progressives, y compris des exemples d'éléments livrables ».

Au même titre que les Guides de mise en oeuvre, ces supports sont répertoriés
uniquement dans les sections du site Web de l'IIA nécessitant un mot de passe
pour y accéder.

Exposés de principes
Les Exposés de principes sont des communications de l'IIA destinées à aider
toutes sortes de parties, y compris celles extérieures à la profession d'audit
interne, à comprendre les grands problèmes de gouvernance, de gestion des
risques et de contrôle et à définir les rôles et responsabilités associés à la
profession d'audit interne. Les Exposés de principes sont disponibles sur le site
de l'IIA; vous pourrez y accéder sans mot de passe.

Démarches complémentaires
Pour aider à la mise en œuvre du CRIPP, les auditeurs internes effectuent des
évaluations internes de qualité régulièrement et doivent se soumettre à des
évaluations externes de qualité indépendantes pour démontrer la conformité aux
normes. Ils peuvent aussi obtenir des certifications d'auditeur à titre individuel.

Vous pourrez obtenir une certification officielle de l'IIA sous certaines

conditions. Qu'il s'agisse du titre reconnu d'audit interne (Auditeur interne
certifié [CIA, « Certified Internal Auditor® »]) ou l'une des trois certifications
professionnelles spécialisées, l'obtention d'une telle certification est synonyme
de professionnalisme. Le CIA Learning System de l'IIA, que vous êtes en train
de lire, est un exemple de matériels pédagogiques de préparation pour la
certification de l'IIA.

Associées les unes aux autres, toutes ces démarches professionnelles participent
à la réussite commune des auditeurs et de leurs organisations.
 Chapitre A : Définition de l'audit
interne
Introduction du chapitre
La profession d’audit est empreinte d'un passé chargé d'histoire. L'audit le plus
ancien nous vient de Mésopotamie lorsque l'on utilisait des marques pour
enregistrer les cargos et vérifier leurs transactions financières. Dans la Rome
antique, le terme d’audit provenait du mot latin auditus (audition) qui fait
référence à l'examen d'une preuve orale lorsqu'un responsable devait vérifier et
comparer les registres.

L’audit interne a évolué au cours des années et a obtenu la reconnaissance des

dirigeants et leaders d’organisations en changeant l'accent placé sur les efforts
d'audit interne pour répondre à l'évolution des besoins de l’environnent mondial.
La profession s'est longtemps concentrée sur un domaine particulier :
informations financières, évaluations de conformité, technologies de
l'information, processus opérationnels, risques et contrôles.

Aujourd’hui, l'audit interne se concentre sur les audits intégrés pour lesquels les
auditeurs fournissent une assurance associée à toute combinaison de types de
mission suivants :

Assurance financière. Offre d'assurance liée à l'atteinte des objectifs d’une

ou plusieurs affirmations financières (existence ou survenance, exhaustivité,
évaluation et allocation, droits et obligations, présentation, divulgation).

Assurance des contrôles. Offre d'assurance liée à la création et à l'exécution

des activités de contrôles clés; les contrôles peuvent être opérationnels,
financiers ou liés à la conformité.

Technologies de l’information (TI). Offre d'assurance liée à la conception et

au fonctionnement des activités de contrôles généraux TI ou des activités
spécifiques de contrôle des applications.
 Conformité. Offre d'assurance liée à la conception et à la réalisation
d'activités et de procédures de contrôle mises en place pour garantir la
conformité avec les lois, les règlements, les politiques, etc.

Opérations. Offre d'assurance liée à l’efficacité des opérations d’une

organisation y compris la performance, les objectifs de rentabilité, et la
protection des ressources contre les pertes.

Les audits intégrés incluent souvent des audits opérationnels, financiers, IT et de

conformité.

À travers les siècles, les auditeurs se sont efforcés à rechercher la vérité,

effectuer le contrôle des transactions et éviter ou détecter les actes de fraude.
Aujourd’hui, les audits internes sont indépendants, impartiaux et ont pour
objectif de fournir des informations vérifiables au conseil d'administration (en
particulier son comité d’audit), au management, ou à tout autre organisme
externe. (D’après l'IIA, le Conseil est « un organe de direction du plus haut
niveau directement responsable de gérer et/ou superviser les activités de gestion
d’une organisation. En général, il peut s’agir d'un groupe indépendant de
directeurs [par exemple un conseil de directeurs, un conseil de surveillance, et un
conseil de gouverneurs ou d'administrateurs]. Si un tel groupe n’existe pas, le «
Conseil » peut le signaler au responsable de l'organisation. Le « Conseil » peut
s'adresser à un comité d’audits lorsque certaines fonctions lui ont été déléguées
par un organe de direction ».)

La première partie du chapitre définit l’audit interne et mentionne certains

termes clés intégrés dans la définition et établit la façon dont le terme a évolué
au fil du temps. La seconde rubrique se concentre sur trois éléments clés de
l’activité d’audit interne : sa mission, son pouvoir et ses responsabilités.

Rubrique 1 : Définir et expliquer la

Définition de l'audit interne (Niveau P)
Définition de l'audit interne
Suivant la définition d’audit Interne de l'IIA, « L’audit interne est une activité
indépendante et objective qui donne à une organisation une assurance sur le
degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée. Il aide une organisation à atteindre ses
objectifs en apportant une approche systématique et rigoureuse pour évaluer et
améliorer l'efficacité des processus de gestion des risques, contrôle et
gouvernance ».

Comme défini dans le Glossaire des Normes, l'activité d’audit interne est « un
département, une division, une équipe de consultants ou tout autre professionnel
qui fournit une assurance indépendante, objective et des services de conseils qui
apportent de la valeur et améliorent les opérations d'une organisation ». Les
activités d’audit interne sont souvent désignées par l’acronyme GRC
(gouvernance, risque et contrôle).

L’audit interne est mené par des professionnels ayant une connaissance
approfondie de la culture, des systèmes, et des processus d'affaires. Les activités
d’audit interne peuvent être effectuées par des personnes internes ou extérieures
à l’organisation.

Les auditeurs internes sont la conscience et les conseillers d’une organisation et

permettent de favoriser l’efficacité des opérations, le contrôle interne et la
gestion des risques. Ils informent la direction et le conseil d'administration (et/ou
d'autres structures de surveillance de gouvernance) et leur soumettent des
recommandations dans le but d'aider l'organisation à atteindre ses objectifs. Pour
remplir ces responsabilités, les auditeurs internes doivent faire preuve de
professionnalisme, objectivité, connaissance, intégrité et leadership.

Le texte suivant définit et explique les termes clés de la définition d’audit

Interne.

Indépendance organisationnelle et objectif individuel

La première partie définit l'audit interne comme étant une «. . . assurance
indépen​dante et objective et une activité de conseil. . . . » L'indépendance et
l'objectivité individuelle de l'organisation constituent la base même de l'audit
interne; toute confiance des parties prenantes dans le travail des auditeurs repose
sur ce fondement.

La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins
annuellement, l’indépendance de l’audit interne au sein de l’organisation ». (Le
Glossaire des Normes définit le RAI comme « occupant un poste de direction
chargé de gérer efficacement l'activité d'audit interne conformément à la charte
de l'audit interne et à la Définition de l'audit interne, au Code de déontologie et
aux Normes ».) Que représente l'indépendance organisationnelle pour un
auditeur interne qui lui est après tout généralement un employé ? L'indépendance
organisationnelle existe lorsque le RAI :
Communique son rapport au Conseil sur le plan fonctionnel.
A un accès direct et non restreint au Conseil
Communique son rapport sur le plan administratif au directeur général ou
tout autre responsable de l'organisation ou à un autre niveau de l'organisation
à partir du moment où l'activité d'audit interne contrôle sans ingérence la
portée et la performance de travail et la communication des résultats.

Les parties prenantes doivent être bien conscientes que les auditeurs internes
peuvent examiner tous les domaines de l'organisation tout en restant impartiaux
et sans se laisser influencer par d'autres.

L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts
qu'ils soient évidents ou apparents, ce qui signifie que si une situation pourrait
être perçue comme un conflit d'intérêt cela pourrait nuire à la crédibilité de
l'auditeur interne.

L'indépendance et l'objectivité sont examinées plus en détail au chapitre C,

Rubrique 2, de cette section.

Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999
seulement, mais il reflète le rôle croissant de l’audit interne au niveau des
conseils à valeur ajoutée et des suggestions liées aux décisions axées sur l'avenir.
Les auditeurs peuvent participer au niveau décisionnel car les processus sont en
cours d’évolution pour que les contrôles adéquats soient mis en place dans le
cadre de nouveaux projets ou processus et ce depuis leur création. À partir du
moment où les auditeurs internes indiquent clairement qu’ils ne prennent aucune
décision d'eux-mêmes, cela ne compromet pas l’indépendance lorsque ces
derniers donnent un conseil ou proposent des suggestions.

Évaluer et améliorer l’efficacité de gestion des risques, du

contrôle et de la gouvernance.
La dernière partie de la définition d'audit interne traite de l’évaluation et de
l’efficacité de la gestion des risques, du contrôle et de la gouvernance. Tandis
que la définition originale de l'audit interne ne mentionne que le contrôle, si la
direction générale et le Conseil le souhaitent, l’audit interne peut et doit fournir
une évaluation plus complète de la gestion des risques et du processus de
gouvernance de l’organisation.

Les auditeurs internes étaient et sont souvent les premiers à établir une
évaluation complète de la gestion des risques d’une entreprise et la plupart
d’entre eux ont participé à la mise en place de cette fonction au sein d'une
organisation. Pour éviter toute perte d’indépendance ou d’objectivité, certaines
organisations ont nommé un auditeur interne au poste de responsable de la
gestion des risques tandis que d’autres organisations déterminent ces activités de
gestion des risques dans le cadre de missions de conseil.

Le glossaire des Normes définit la gouvernance comme étant « un dispositif

comprenant les processus et les structures mis en place par le Conseil afin
d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue
de réaliser ses objectifs ». On remarque que les organisations impliquées dans les
scandales financiers du début des années 2000 et au-delà avaient souvent des
processus de gestion des risques sophistiqués et matures mais aussi des
structures de gouvernance qui n'ont pas pris en compte les évaluations des
risques en faveur de profits élevés réalisés en acceptant des risques élevés. Les
auditeurs internes, s'ils sont autorisés à le faire, peuvent aider à faire en sorte que
l'organisation « donne le ton au niveau de la direction », encourage une bonne
gestion, une méthodologie opérationnelle, éthique et intégrité. Les auditeurs
internes peuvent également veiller à ce que la prise de risque soit conforme à
l'appétence de l'entreprise pour le risque à la fois en termes de capacité de
l'organisation à prendre des risques (par exemple des réserves de liquidités et un
flux de trésorerie suffisants) et la volonté exprimée par le conseil
d'administration à assumer les risques au niveau de domaines spécifiques.

Interconnexion des risques, du contrôle et de la gouvernance

Les risques, le contrôle et la gouvernance définissent les activités d'une
entreprise. Les organisations qui réussissent ne privilégient aucun de ces trois
éléments, mais reconnaissent la puissante interaction et les avantages des trois.

Ensembles, le risque, le contrôle et la gouvernance déterminent largement la

capacité d'une organisation à réussir sur son marché. Lorsqu'elles sont mises en
places correctement et bien exécutées, ces trois activités prennent également en
charge des interactions enrichissantes avec les parties prenantes de
l'organisation.

Les auditeurs internes doivent être compétents dans chacune des trois activités.
D'après les exigences de la norme 2100, « Nature du travail » : La mise en œuvre
du Cadre des pratiques professionnelles (deuxième édition) résume
succinctement la façon dont les auditeurs internes doivent évaluer et contribuer à
l'amélioration de la gestion des risques, du contrôle et des systèmes de
gouvernance. Ces points sont présentés dans l'illustration I-1.

Illustration I-1 : La nature du travail de l'audit interne

L'activité d'audit interne doit déterminer la meilleure façon de réaliser les
activités dans les trois domaines. Des facteurs tels que la culture
organisationnelle, le rôle du groupe d'audit interne dans l'organisation et les
attentes des intervenants aideront à forger les pratiques spécifiques d'audit
interne.

La section II de cette partie examine exactement ce qui constitue une gestion

efficace des risques et du contrôle, tandis que la partie 3 de ce système
d'apprentissage aborde le concept de gouvernance efficace, conformément à la
partie 3 du programme de l'examen l'IIA.

Vision de « l'audit interne moderne » par l'IIA

Le cadre de l'IIA contient et intègre implicitement la définition de la profession
de l'audit interne de l'Institut. La définition indique clairement que l'IIA s'engage
à favoriser une vue d'ensemble de l'audit interne qui inclut les conseils ainsi que
l'assurance et qui vise à aider le management à répondre aux objectifs de
l'organisation plutôt que de se concentrer plus étroitement sur ​les questions
traditionnelles telles que attester de l'exactitude des états financiers et veiller au
respect des lois et règlements.

Comme l'indique Sawyer, et al, dans l'Audit interne selon Sawyer (Sawyer’s
Internal Auditing) (publié par l'IIA) : « Les questions financières ne représentent
que l'un des aspects des compétences de l'audit interne. Autrefois tenus pour
adversaires du client, les auditeurs internes affichent désormais des relations de
travail coopératives et productives avec les clients par le biais d'activités à valeur
ajoutée ».

Sawyer qualifie précisément cette vision de la profession « d'audit interne

moderne ».

Rubrique 2 : Définition de la fonction,

des pouvoirs et des responsabilités de
l'activité d'audit interne (Niveau P)
Le site Web de l'IIA indique qu'une activité d'audit interne efficace est une
ressource précieuse pour le management, le Conseil ou son équivalent et le
comité d'audit en raison de sa connaissance de l'organisation et de sa culture, des
opérations et du profil de risque. L'objectivité, les compétences et les
connaissances des auditeurs internes peuvent apporter une très forte valeur
ajoutée aux processus de contrôle interne, de gestion des risques et de
gouvernance d'une organisation. De même, une activité d'audit interne efficace
offre une assurance aux autres parties prenantes, telles que les régulateurs,
employés, acteurs financiers et actionnaires.

Les auditeurs internes ont besoin d'explications claires pour qu'il leur soit
conféré le pouvoir nécessaire afin de prendre en charge leur indépendance et leur
objectivité et offrir de la valeur pour l'organisation. Pour que l'activité d'audit
interne puisse soutenir l'encadrement supérieur et le Conseil d'administration
dans le cadre de l'accomplissement des buts et objectifs généraux de
l'organisation et le renforcement des contrôles internes et la gouvernance
d'entreprise il est important de comprendre les principes de mission, pouvoir et
responsabilité relatifs à l'activité d'audit interne.

L'illustration I-2 passe en revue les principaux éléments caractérisant la mission,

le pouvoir et la responsabilité de l'activité d'audit interne.

Illustration I-2 : Mission, pouvoir et responsabilité de l'activité de l'audit interne

D’autres aspects de la mission, du pouvoir et de la responsabilité de l’audit

interne sont couverts dans le chapitre C, Rubrique 1, plus bas dans cette section.
 Chapitre B : Code de d’éthique
Introduction du chapitre
Il est peu probable que des professionnels de divers secteurs ou organisations
soient en désaccord avec les points présentés dans le Code de déontologie. Dès
lors qu'ils sont correctement élaborés, les codes de déontologie contribuent à
encourager un comportement conforme à l'éthique, à prévenir les agissements
contraires à l'éthique et à faire face aux dilemmes éthiques.

Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des
normes de conduite généralement acceptées et profitables à une organisation
comme à ses clients. Il établit une approche uniforme pour orienter les
comportements. La conduite éthique dépend bien sûr d'un engagement à « bien
agir », mais elle requiert également une vision claire de ce qu'est la bonne action.
Avoir une vision nette des questions éthiques peut parfois être difficile. Les
conflits d'intérêt soulevés presque inévitablement par toute profession ayant
plusieurs responsabilités (envers la profession elle-même, envers les collègues,
envers les clients, envers les employeurs et envers la communauté) jettent
parfois une ombre sur la ligne séparant la bonne action de l'action habituelle, de
l'action facile ou de l'action rentable.

Rubrique 1 : Respecter et favoriser le

respect du Code de déontologie de l'IIA
(Niveau P)
Code de déontologie de l'IIA
L’IIA met en œuvre son Code de déontologie « pour promouvoir une culture
éthique chez les auditeurs internes professionnels ». Le Code « établit les
principes fondamentaux pertinents pour la profession et pour la pratique de
l’audit interne. Il décrit les règles de conduite décrivant les normes de
comportement attendues des auditeurs internes ».
Le glossaire des Normes définit le Code de déontologie de l’IIA comme « une
mise en œuvre pratique des principes fondamentaux de l'audit interne et a pour
but de guider la conduite éthique des auditeurs internes. Le Code de déontologie
s’applique aux parties et entités qui fournissent des services d’audit interne ».

L’IIA fonde son Code de déontologie sur 4 principes fondamentaux de conduite

professionnelle : la confidentialité, l’objectivité, la compétence et l’intégrité. Le
Code interprète chacun de ces quatre principes en décrivant ce que chacun
signifie et en spécifiant les Règles de conduites correspondantes, lesquelles
fournissent un guide de mise en pratique des principes proposés en théorie.

Le Code fait plus qu’exiger une conduite déontologique, il définit cette conduite
en détail.

Tous les RAI (quelque soit leur état de service actuel) doivent se soumettre au
Code de déontologie de l’IIA, tel que montré dans l’illustration I-3 plus bas.

Domaines dans lesquels des conflits d’intérêts

potentiels peuvent survenir
Il n’est pas difficile de repérer les potentiels conflits d’intérêts soulevés dans le
Code. Par exemple, selon le premier principe, à savoir l'intégrité, l'auditeur doit
divulguer les informations appropriées dès que la loi ou la profession l'exige.
Sous le sceau de la confidentialité, l’auditeur est chargé de respecter la
confidentialité de l’information à moins qu’il soit légalement ou
professionnellement obligé de la révéler.

Illustration I-3 : Le code de déontologie de l'IIA adopté par le Conseilde l'IIA le 17 juin 2000

Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services
d’audit interne.

Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de
certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet d’une évaluation et
sera traitée en accord avec les statuts de l’Institut et ses directives administratives. Le fait qu’un
comportement donné ne figure pas dans les règles de conduite ne l’empêche pas d’être
inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la
personne qui s’en est rendu coupable.
Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
Intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à
leur jugement.

Objectivité
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent
pas influencer dans leur jugement par leurs propres intérêts ou par autrui.

Confidentialité
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.

Compétence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.

Règles de conduite
1. Intégrité
Les auditeurs internes :
1,1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.
1,2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la
profession.
1,3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes
déshonorants pour la profession d’audit interne ou leur organisation.
1,4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

2. Objectivité
Les auditeurs internes :
2,1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principe
vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les
intérêts de leur organisation.
2,2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2,3. Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.

3. Confidentialité
Les auditeurs internes :
3,1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs
activités.
3,2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques
et légitimes de leur organisation.

4. Compétence
Les auditeurs internes :
4,1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir
faire et l’expérience nécessaires.
4,2. Doivent exercer des services d'audit interne en accord avec les Normes internationales pour
la pratique professionnelle de l'audit interne.
4,3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.

L'objectivité peut être compromise si l'auditeur interne doit auditer un

département dans lequel il a travaillé au cours des 12 derniers mois, ou prévoit
d'y travailler dans un futur proche. La norme 1130.A1, « Atteinte à
l'indépendance et à l'objectivité », donne des conseils spécifiques sur ce type de
conflit et indique, « Les auditeurs internes doivent s'abstenir d'auditer des
opérations particulières dont ils étaient auparavant responsables. L'objectivité
d'un auditeur interne est présumée altérée lorsqu'il réalise une mission
d'assurance pour une activité dont il a eu la responsabilité au cours de l’année
précédente ».

Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut
être difficile, en début de mission, de déterminer si une personne est ou n'est pas
compétente pour ladite mission, surtout lorsque la fierté professionnelle ou
l'éventualité d'une promotion semble être en jeu. L'aveu « Je ne peux pas le
faire » ne suscite généralement que très peu de soutien. Cependant, les principes
du Code et Règles de conduite sont à appliquer obligatoirement seulement
lorsque ceux-ci sont compatibles avec les principes législatifs.

Ces situations de conflits d'intérêts font de la conduite éthique un défi - c'est

pour cela que les codes de conduites sont nécessaires. Dans une situation qui
n'est pas couverte par les Règles de conduite, l'auditeur doit appliquer les
principes pour déterminer l'attitude éthique. Il peut être aussi utile de demander
conseil à ceux qui peuvent avoir une plus grande objectivité ou plus
d'expérience.

Applications pratiques
Le Code de déontologie ajouté conjointement au reste du Cadre des pratiques
professionnelles internationales de l'IIA et toute autre déclaration pertinentes de
l'Institut, offrent des conseils aux auditeurs internes dans le cadre de l'exercice de
leurs fonctions.

L'illustration I-4 identifie les applications pratiques des quatre principes du Code
de déontologie de l'IIA.

Illustration I-4 : Exemples de principes du code de déontologie de l'IIA

 Chapitre C : Normes
internationales
Introduction du chapitre
La portée internationale des Normes de l'IIA
L'IIA reconnait qu'il est difficile de définir un système de normes internationales
pour une profession pratiquée dans divers environnements. L'introduction des
Normes établit : « L’audit interne est exercé dans différents environnements
juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la
complexité et la structure sont divers ». Toutefois, l'Introduction poursuit, « il est
essentiel de se conformer aux Normes internationales pour la pratique
professionnelle de l'audit interne (Normes) de l’IIA ». . . . Lorsque la législation
ou la réglementation empêchent les auditeurs internes ou l’audit interne de
respecter certaines dispositions des Normes, il est nécessaire d’en respecter les
autres dispositions et de procéder à une communication appropriée.

Les Normes, comme nous l'avons vu, constituent un projet en constante

évolution. Le Conseil international des normes d'audit de l'IIA (IIASB,
International Internal Auditing Standards Board), est responsable de l'émission et
de la publication des Normes. Il établit toute nouvelle norme au moyen de
consultations avec des autorités à travers le monde et les membres sélectionnés
font partie du conseil d'administration international de l'IIA, et sont aussi des
représentants d'organisations majeures, ou des régulateurs externes à l'IIA. Le
Cadre des pratiques professionnelles internationales dans don ensemble,
incorpore l'idée selon laquelle l'audit interne est vraiment une profession
internationale. L'IIASB a pour but de proposer des changements au niveau des
Normes afin d'améliorer considérablement la pratique de l'audit interne. L'IIASB
est un groupe de professionnels indépendant du groupe de certification de l'IIA et
du système d'apprentissage CIA de l'IIA.

La plupart des fonctions d'audit interne ont adopté les Normes dans leurs chartes
(conforme avec le libellé de la norme de qualification 1000, décrite ci-dessus).
La Treadway Comission a accordé l'imprimatur aux Normes et établit dans le
Rapport de la Treadway Comission : « Le professionnalisme des auditeurs
internes s'est amélioré ces dernières années, grâce aux efforts de l'Institute of
Internal Auditors (IIA), l'organisation professionnelle pour les auditeurs internes.
Les Normes de l'IIA constituent d'excellentes recommandations pour un audit
interne efficace et reflètent l'une des pensées les plus avancées sur la prévention
et la détection des fraudes. La commission encourage les entreprises publiques
qui ne l'ont pas encore fait à envisager d'adopter les Normes de l'IIA ».

Les Normes peuvent être intégrées dans les chartes d'audit d'organisations
privées, à but non lucratif et gouvernementales aussi bien que dans celles des
compagnies publiques.

Les rubriques de ce chapitre présentent des méthodes qui favorisent le respect et

la mise en œuvre des Normes de qualification et les normes qui établissent les
caractéristiques des organisations et des parties responsables des activités d'audit
interne. Les rubriques suivantes présentent les sections importantes des Normes
de qualification :

La rubrique 1 porte sur la norme de qualification 1000 et ses sous-sections. La

rubrique 2 porte sur la norme de qualification 1100 et ses sous-sections. Les
rubriques 3, 4, 5 et 6 proposent des méthodes qui permettent d'assurer efficacité
et professionnalisme comme décrit dans la Norme de qualification 1200 et ses
sous-sections. Enfin, la rubrique 7 porte sur la Norme de qualification 1300 et
ses sous-sections.

Rubrique 1 : Respecter les Normes de

qualification de l'IIA (Niveau P)
Mission, pouvoir et responsabilités de l'audit
interne
Une activité d'audit interne se révèle très utile seulement si les clients
considèrent la mission de manière favorable et sont disposés à accepter les
résultats. Le comité d'audit d'une organisation, le directeur général et l'équipe de
la direction générale doivent établir un « ton de la direction » qui renforce la
crédibilité de la fonction d'audit interne. Sans ce soutien fourni « en haut lieu »,
l'activité d'audit interne peut devenir vulnérable à la subjectivité, à l'attitude
défensive des clients et aux erreurs humaines. La principale façon de faire est de
documenter officiellement, d'obtenir l'approbation du Conseil et l'accord du
management pour développer une charte d'audit interne. La charte d'audit interne
et plusieurs autres documents doivent être en place pour favoriser la mission, le
pouvoir et la responsabilité du département d'audit interne ainsi que des activités
d'audit interne.

Normes associées et Guides de mise en oeuvre

Les Normes et Guides de mise en oeuvre associées au rôle de la charte d'audit
interne dans la définition de la mission, du pouvoir et de la responsabilité de
l'activité d'audit interne sont répertoriés dans l'illustration I-5.

Illustration I-5 : Mission, pouvoir et responsabilité Normes et Recommandations associées

Charte d'audit interne
Suivant le glossaire des Normes, la charte d'audit interne est « un document
officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité.
La charte définit la position de l'audit interne dans l'organisation; autorise l'accès
aux documents, aux personnes et aux biens, nécessaires à la réalisation des
missions ; définit le champ des activités d'audit interne ».

La charte d'audit interne définit ce que le Conseil et la direction générale peuvent

attendre de l'activité d'audit et oriente le personnel dans son travail d'audit
interne. Le RAI développe une charte qui définit la nature des services pour les
missions d'assurance et de conseil et doit soumettre la charte pour l'examen et
acceptation à la direction générale et approbation par le Conseil. Une charte
écrite peut aussi être distribuée aux autres parties prenantes concernées tels que
des responsables et des tiers (fournisseurs et partenaires de coentreprises) pour
qu'ils soient conscients du type de travail que les auditeurs internes fournissent.

La charte d'audit doit être cohérente avec les Normes.

La charte d'audit interne sert de schéma type pour l'activité d'audit interne. Les
éléments typiques décrivent :
La mission et le périmètre d'action du service d'audit interne.
La responsabilité du RAI par rapport au management et au comité d'audit
dans l'accomplissement des fonctions qui lui incombent.
L'indépendance de la fonction d'audit interne.
Les responsabilités du RAI et des auditeurs internes.
Les pouvoirs du RAI et des auditeurs internes.
Les normes de la pratique d'audit doivent être respectées ou dépassées.
Le libre accès à l'information, aux personnes et aux systèmes.

Guide de mise en oeuvre 1000, « Mission, pouvoir et responsabilité », indique

l’existence d’une charte d’audit interne formalisée est essentielle pour la gestion
du service d’audit interne. La charte est un document officiel soumis pour avis et
acceptation à la direction générale, et approuvée par le comité d’audit, comme
cela a été documenté dans les comptes rendus du Conseil. Elle facilite ainsi
l’évaluation périodique de la pertinence de sa mission, de ses pouvoirs et de ses
responsabilités. Son approbation est consignée dans les procès-verbaux du
Conseil. En cas d’interrogation, la charte est la référence écrite officielle de
l'accord passé avec la direction générale et le Conseil sur le rôle et les
responsabilités du service d’audit interne de l’organisation.

Si il existe des écarts importants au niveau de la charte d'audit interne ceux-ci

doivent être communiqués. Le RAI ne peut pas dénaturer la fonction d'audit sans
consulter le comité d'audit ni modifier la charte de l'audit interne.

Vous trouverez un exemple de charte d'audit interne à l'illustration I-6. Veuillez

noter que ces exemples n'englobent pas chaque audit interne au niveau d'une
organisation. De la même manière, tous les éléments de cet exemple ne
s'appliquent pas forcément à toutes les missions. Une charte doit être adaptée à
chaque activité d'audit interne et aux règles qui gouvernent une organisation.
 Illustration I-6 : Exemple de charte d'activité d'audit interne (suite à la page suivante)

MISSION ET PÉRIMÈTRE D'ACTION

La mission du département d'audit interne est d'apporter une assurance indépendante et
objective, et des services de conseils destinés à apporter de la valeur et améliorer les opérations
d'une organisation. Il aide l'organisation à atteindre ses objectifs en apportant une approche
systématique et rigoureuse pour évaluer et améliorer l'efficacité des processus de gestion des
risques, contrôle et gouvernance.

Le périmètre d'action du service d'audit interne consiste à déterminer si le réseau organisationnel

de processus de gestion des risques, contrôle et gouvernance, tel qu'il est conçu et représenté
par la direction, est approprié et garantit que :
les risques sont correctement identifiés et gérés ;
il existe des échanges suffisants entre les différents groupes de gouvernance ;
les informations financières, opérationnelles et de gestion importantes sont exactes, fiables et
opportunes ;
Les actions des employés sont en accord avec les politiques, normes, procédures, législation
applicable et règlements.
les ressources sont acquises dans un souci de rentabilité, utilisées de manière efficace et
correctement protégées ;
les programmes et les plans sont mis en œuvre et les objectifs atteints ;
le processus de contrôle de l'organisation favorise l'amélioration continue et la qualité ;
les problèmes d'ordre législatif ou réglementaire importants ayant un impact sur l'organisation
sont pris en compte et traités de manière appropriée.

Les audits permettent d'identifier les lacunes et d'améliorer le contrôle de gestion, le profit et
l'image de l'organisation. Elles seront communiquées au niveau approprié de management.

RESPONSABILITÉ
Dans l'exécution de ses fonctions, le responsable d'audit interne (RAI) rend compte à la direction
et au comité d'audit. Il doit notamment :
fournir une évaluation annuelle de l'adéquation et de l'efficacité des processus de l'organisation
qui visent à contrôler les activités et à gérer les risques dans les domaines définis par la
mission et le périmètre d'action ;
signaler les problèmes importants liés aux processus de contrôle des activités de l'organisation
et de ses sociétés affiliées, y compris les améliorations susceptibles d'être apportées à ces
processus, et fournir des informations sur ces problèmes jusqu'à leur résolution ;
les tenir régulièrement informés du statut et des résultats du plan annuel d'audit et leur indiquer
si les ressources du service sont suffisantes ;
coordonner et superviser les autres fonctions de contrôle et de surveillance (gestion des
risques, conformité, sécurité, fonction juridique, éthique, environnement, audit externe).

INDÉPENDANCE
Pour qu'il y ait l'indépendance au niveau du département d'audit interne, son personnel doit
rendre compte au RAI, qui doit rendre compte sur le plan administratif au directeur général et sur
le plan fonctionnel au Conseil et au comité d'audit, comme indiqué dans la section ci-dessus
intitulée Responsabilité. Un rapport régulier sur le personnel d'audit interne sera inclus dans le
cadre du rapport au comité d'audit

RESPONSABILITÉS
Le RAI et le personnel du service d'audit interne ont les responsabilités suivantes :
Développer un plan annuel flexible approprié d'audit interne en utilisant une méthodologie
fondée sur les risques, inclure tout risque ou contrôle identifié par le management et
communiquer ce plan au comité d'audit pour révision et accord.
Mettre en œuvre le plan annuel d'audit approuvé, y compris, le cas échéant, l'ensemble des
tâches et projets spéciaux demandés par la direction et le comité d'audit.
Avoir recours à des professionnel d'audit qui possèdent les connaissances, le savoir-faire et
l'expérience nécessaire ainsi que les certifications professionnelles requises pour remplir les
exigences de cette charte.
Établir un programme de qualité d'assurance par lequel le RAI assure la mise en œuvre des
activités d'audit interne.
Exécuter des services de conseils, qui vont au-delà des services d'assurance de l'audit interne,
pour aider le management à atteindre ses objectifs. On peut citer comme exemple la
facilitation, la conception de processus, la formation et les services de conseils.
Évaluer les principales fonctions de fusion/consolidation ainsi que les services, processus,
opérations et processus de contrôle nouveaux ou en évolution au moment de leur
développement, mise en œuvre et/ou expansion.
Émettre des rapports réguliers à l'attention du comité d'audit et de la direction, récapitulant les
résultats des activités d'audit.
Tenir le comité d'audit informé des nouvelles tendances et des pratiques d'audit interne
fructueuses.
Fournir une liste des principaux objectifs d'évaluation et les résultats correspondants au comité
d'audit.
Contribuer aux enquêtes majeures portant sur des suspicions d'activités frauduleuses au sein
de l'organisation et informer la direction et le comité d'audit des résultats.
Étudier le périmètre d'action des auditeurs et régulateurs externes, le cas échéant, dans le but
d'assurer un périmètre d'audit optimal à l'organisation et ce, à un coût global raisonnable.

POUVOIRS
Le RAI et le personnel du service d'audit interne sont habilités à :
Bénéficier d'un accès illimité à l'ensemble des fonctions, informations, équipements et
personnels ;
Jouir d'un accès libre et entier au comité d'audit ;
Allouer des ressources, définir des fréquences, sélectionner des sujets d'analyse, déterminer
des périmètres d'action et appliquer les techniques requises afin de remplir les objectifs
d'audit ;
Obtenir l'assistance nécessaire du personnel des unités de l'organisation concernées par les
audits, ainsi que d'autres services spécialisés, internes ou externes à l'organisation.

Le RAI et le personnel du service d'audit interne ne sont pas habilités à :

Remplir des fonctions opérationnelles pour l'organisation ou ses sociétés affiliées ;
Entreprendre ou approuver des opérations comptables externes au service d'audit interne ;
Diriger les activités de tout membre de l'organisation non employé par le service d'audit
interne, sauf si cet employé a été officiellement assigné à une équipe d'audit ou chargé
d'assister les auditeurs internes.

NORMES DE LA PRATIQUE D'AUDIT

Le département d'audit interne respectera ou dépassera les Normes internationales pour la
pratique professionnelle d'audit interne de l'IIA.

_________________________________
Le Responsable d'audit interne

_________________________________
Le Président du comité d'audit

_________________________________
Le Directeur général

___________________________
Date

Source : « Modèle de charte d'activité d'audit interne (Model Internal Audit Activity Charter) », The
Institute of Internal Auditors, www.theiia.org/download.cfm?file=26484.

Autres documents clés

Voici les documents clés supplémentaires associés à la mission, au pouvoir et à
la responsabilité de l'activité d'audit interne :

Déclaration de fonction et de responsabilité (F et R) Cette déclaration

établit les pouvoirs et responsabilités des auditeurs et définit les types
d'activités d'audit et les accès nécessaires à l'exécution des fonctions
présentées dans la charte. La déclaration F et R peut être incluse sous forme
de matrice pour permettre d'identifier le rôle du personnel et les activités qui
leur sont confiées.

Déclaration de politique (aussi appelée Politique d'audit de l'entreprise ou

Déclaration de politique relatives aux missions). Cette déclaration identifie
les différentes missions de l'activité d'audit et aide le management et le
Conseil à s'acquitter efficacement de leurs responsabilités. Le périmètre et le
statut de l'audit interne dans l'organisation font partie des sujets abordés, tout
comme son objectif de création de valeur ajoutée et de contribution à
l'amélioration de la gestion des risques et de la gouvernance. La déclaration
de politique définit aussi le pouvoir du département d'audit interne dans le
cadre d'audits, de la communication de rapports, de recommandations et de
l'évaluation d'actions correctives.

Manuel d'audit (politiques et procédures). Ce document inclut des

politiques et procédures mises en place dans le but de guider le personnel
dans l'exercice de leurs fonctions. Les politiques et procédures doivent être
 adaptées à la taille de l'organisation et à la structure et la complexité de
l'activité. En général, le processus de communication d'une grande entreprise
est plus formel et détaillé, tandis que des notes de service écrites peuvent être
suffisantes pour une petite organisation.

Descriptions de postes. Les descriptions de postes doivent identifier les

critères de performance exceptionnelle, les connaissances et savoir faire
nécessaires pour réaliser un large éventail de missions d'audit de manière
efficace. Sont notamment décrits les postes d'auditeur, d'auditeur confirmé et
de responsable d'audit, ainsi que d'autres postes uniques liés à la fonction
d'audit.

Favoriser la fonction d'audit interne

Favoriser l'audit interne à travers l'organisation peut aider à mieux informer le
management, les clients de mission et à promouvoir l'activité d'audit interne en
sa qualité de partenaire qui résout les problèmes et permet d'améliorer la
performance des opérations.
Plusieurs méthodes possibles d'exploitation et leur potentiel sont décrites à
l'illustration I-7.

Illustration I-7 : Méthodes d'exploitation pour promouvoir la fonction d'audit interne.

Selon la taille et le degré de formalité d'une organisation, les brochures, bulletins
d'informations, publications et questionnaires peuvent être diffusés au format
électronique ou imprimés, voire les deux.

Les exemples de ressources suivants, qui permettent de promouvoir la fonction

d'audit interne, sont disponibles sur le site Web de l'IIA.
« L'audit Interne - un travail quotidien » (Internal Auditing—All in a Day’s
Work) : une brochure exemple sur l'audit interne.
« Votre équipe d'audit interne » : une présentation Powerpoint qui peut être
personnalisée et utilisée pour promouvoir la fonction d'audit au sein d'une
organisation.

Rubrique 2 : Préservation de
l'indépendance et de l'objectivité
(Niveau P)
Les auditeurs internes sont plus que des évaluateurs de conformité ou des
analystes financiers. Le large spectre de leurs responsabilités s'étend de
l'évaluation de toute une gamme de risques, contrôles, questions d'éthique et
initiatives liées à la qualité, à l'évaluation des technologies émergentes, l'analyse
des opportunités et l'examen de problèmes globaux. Les auditeurs internes sont
chargés de s'assurer que les contrôles en place permettent bien d'atténuer les
risques pour atteindre les objectifs de l'organisation.

Les structures d'audit interne doivent faire preuve d'indépendance et d'objectivité

dans l'exécution de leurs activités d'assurance et de conseil. Le glossaire des
Normes définit ces termes comme suit :

L'indépendance est « la liberté d'agir sans avoir à se soumettre à des

conditions qui menacent la capacité de l’audit interne à assumer, de manière
impartiale, ses responsabilités ».

L'objectivité est « une attitude impartiale qui permet aux auditeurs internes
d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de
leurs travaux, menés sans compromis. L’objectivité implique que les
auditeurs internes ne subordonnent pas leur propre jugement à celui d’autres
personnes ».

Normes associées et Guides de mise en oeuvre /

Guides pratiques
Les Normes et Guides de mise en oeuvre / Guides pratiques relatifs à
l'indépendance et l'objectivité sont répertoriés dans l'illustration I-8.

Illustration I-8 : Normes sur l'indépendance et l'objectivité et Recommandations associées

Favoriser l'indépendance
Indépendance et rattachements hiérarchiques
L'indépendance est liée à l'activité d'audit interne et établie par la structure
hiérarchique de l'organisation. Suivant la meilleur pratique et en raison d'un
double rattachement, le RAI (et de ce fait, l'activité d'audit interne) doit rendre
compte à la direction générale (CEO, CFO, etc.) et au comité d'audit.
L'llustration I-9 permet de visualiser la structure de ce rattachement.

Illustration I-9 : Structure du double rattachement de l'activité d'audit interne.

La charte d'audit doit établir la relation au niveau du double rattachement aussi

bien que les principales activités pour chaque rattachement. Dans l'idéal, le RAI
doit être rattaché :
Au Conseil sur le plan fonctionnel.
À la direction générale de l'organisation sur le plan hiérarchique
(rattachement direct).
Sur le plan fonctionnel au comité d'audit ou tout autre équivalent.

Rattachement fonctionnel
Un rattachement fonctionnel permet d'atteindre une indépendance et une autorité
finale. L'indépendance de l'organisation est garantie de manière efficace lorsque
le responsable de l'audit interne rend compte au Conseil sur le plan fonctionnel.
Lorsqu'il existe un rattachement fonctionnel au Conseil, le Conseil doit :
Approuver la charte d'audit interne.
Approuver le plan d'audit interne axé sur les risques.
Approuver le budget de l'audit interne et le plan sur les ressources.
Être destinataire des informations adressées par le responsable d’audit
relatives à la réalisation du plan d’audit ou de tout autre sujet afférent à
l’audit interne
Approuver les décisions relatives à la nomination et la révocation du
 responsable de l'audit interne.
Approuver la rémunération du responsable de l'audit interne.
Demander des informations pertinentes au management et au responsable de
l’audit interne pour déterminer l’adéquation du périmètre et des ressources de
l’audit interne (interprétation de la Norme 1110).

Rattachement administratif
Le rattachement administratif facilite les opérations quotidiennes de la fonction
d'audit interne. Quelques exemples ci-dessous de rattachement administratif :
La budgétisation et la comptabilité de gestion.
L'administration des ressources humaines, y compris les évaluations du
personnel et la rémunération.
Les communications internes et les flux d’informations.
La gestion des règles et procédures de l’audit interne.

L'importance de l'indépendance
Le double rattachement hiérarchique supporte l'indépendance de l'activité d'audit
interne et permet aux auditeurs internes d'effectuer leur travail librement et
objectivement et de rendre des jugements impartiaux. Le rattachement permet
d'assurer :
Un flux d'informations approprié à travers l'organisation ;
Un accès aux principaux cadres et responsables ;
Une communication appropriée des résultats de l'activité d'audit interne.

Le RAI doit contrôler les rapports de rattachement. Toute situation qui affecte
l'indépendance et l'efficacité des opérations de la fonction d'audit interne doit
être soumise à l'attention du comité d'audit (ou son équivalent).

Des relations appropriées qui garantissent l'indépendance

Les Normes sont établies pour être applicables à toutes les organisations d'audit
interne, indépendamment de leur taille, nature ou de tout autre facteur. Elles se
veulent donc relativement génériques sur la question du rattachement
hiérarchique, bien qu'il n'existe pas une approche unique qui s'appliquerait à
toutes les situations.
Les lignes qui suivent décrivent plusieurs moyens pour le RAI de s'assurer que
les relations de l'activité d'audit interne avec le Conseil, la direction et le comité
d'audit contribuent à son indépendance organisationnelle.

Communiquer de manière directe et régulière avec le Conseil.

Une communication régulière avec le Conseil aide à assurer l'indépendance et
facilite un dialogue ouvert concernant les questions d'intérêt mutuel. On parle de
communication directe lorsque le RAI assiste et participe régulièrement aux
réunions du Conseil portant sur l'audit, le reporting financier, la gouvernance
organisationnelle et les contrôles. Participer à ces réunions donne au RAI
l'opportunité de s'informer sur les questions opérationnelles et commerciales
stratégiques, ainsi que d'échanger sur les plans et activités de la fonction d'audit
interne. Le RAI doit se réunir en privé avec le Conseil au moins une fois par an.
La Norme de qualification 1111, « Relation directe avec le Conseil », et la Guide
de mise en oeuvre 1111, « Relation avec le Conseil », proposent des conseils
spécifiques concernant cette communication.

Rendre compte à un membre de la direction générale suffisamment haut

placé pour promouvoir l'indépendance et assurer un large périmètre
d'audit.
La personne à qui le RAI rend compte doit être suffisamment haut placé pour
assurer l'efficacité de la fonction d'audit. Par ailleurs, cet individu doit faire
preuve du bon état d'esprit sur les sujets du contrôle et de la gouvernance pour
aider le RAI dans son rôle et se montrer suffisamment disponible et impliqué
pour soutenir activement le RAI sur les problèmes d'audit. Enfin, cette personne
doit comprendre et supporter le principe de rattachement fonctionnel.

Rendre compte directement au comité d'audit (ou son équivalent).

La fonction d'audit interne fournit information et assurance au comité d'audit sur
les contrôles internes, la gestion des risques et les processus de gouvernance.

Afin que le RAI puisse maintenir une relation efficace entre le comité d'audit et
la fonction d'audit interne les meilleures pratiques à prendre en compte sont les
suivantes :
Communiquer régulièrement au comité d'audit les risques auxquels est
confrontée l'organisation (en veillant à la cohérence de ces communications
avec celles envoyées à la direction générale) ;
 Aider le comité d'audit à s'assurer que la charte, les activités et les processus
du comité sont appropriés ;
S'assurer que la charte, le rôle et les activités d'audit interne sont bien compris
et répondent aux besoins du comité d'audit et du Conseil ;
Maintenir une communication ouverte et efficace avec le comité d'audit et
son président ;
Assurer la formation du comité d'audit sur les risques et les contrôles
internes, le cas échéant.

Une communication directe avec le comité d'audit est un autre élément essentiel
Des dispositions doivent être prises pour que le RAI puisse :
Bénéficier d'un accès libre et direct au président comme aux membres du
comité d'audit ;
Assister aux réunions de comité d'audit pour présenter un plan d'audit,
communiquer les résultats importants d'audit et les principales constatations
et discuter des observations concernant le risque et les contrôles internes de
l'audit interne au sein d'une organisation.
Communiquer avec le président du comité d'audit en dehors des sessions
prévues, notamment en cas de circonstances critiques telles qu'une fraude
grave ou tout autre événement de risque majeur.

Pour renforcer davantage l'indépendance et le principe de rattachement

fonctionnel, le RAI doit être autorisé à se réunir en privé avec le comité d'audit
ou son équivalent, sans que le management soit nécessairement présent et
diffuser des mémos confidentiels, ou rendre compte uniquement au comité
d'audit.

En définitive, le RAI et les auditeurs internes, le comité d'audit, et le Conseil

d'administration sont tous interdépendants. Ils doivent être accessibles les uns
aux autres et se soutenir mutuellement. Lorsqu’il existe une pleine réciprocité,
les auditeurs internes peuvent formuler des opinions objectives, informer,
supporter et sensibiliser le comité d'audit, et le comité d'audit peut ainsi assurer
une supervision appropriée et valider les activités d'audit interne.

Favoriser l'objectivité
Il existe différentes sections au niveau des services que l'activité d'audit interne
fournit. Au sein d'une entreprise, les clients potentiels peuvent être des dirigeants
de l'organisation, le Conseil, la direction des opérations et le comité d'audit.

Bien qu'une organisation souhaite favoriser une synergie stratégique à travers

différentes fonctions, certains clients peuvent avoir différents intérêts. Ainsi, les
primes attribuées aux cadres supérieurs peuvent être liées au résultat net. Les
opérations peuvent quant à elles s'attacher aux résultats d'audit susceptibles
d'améliorer les performances opérationnelles Alors que le comité d'audit se
préoccupe principalement des activités de contrôle et de la gestion des risques.
Pour compliquer le tout, l'auditeur interne est employé par le management mais
doit aussi évaluer le management. Malgré ces conflits d'intérêts potentiels, un
auditeur interne doit rester objectif (ce qui représente un niveau intellectuel
indépendant) lors de l'exécution des missions.

Politiques en faveur de l'objectivité

Les auditeurs internes ne doivent pas sympathiser ou s'impliquer
personnellement ou professionnellement dans le domaine audité et doivent rester
impartiaux lors des missions d'audit. Le fait d'établir les politiques suivantes peut
aider à promouvoir une telle objectivité.
Les auditeurs internes ne doivent pas être responsables des opérations ou
d'évaluer l'assurance au niveau des activités pour lesquelles ils ont exercé une
autorité ou étaient responsables au cours de l'année passée ou de toute période
assez longue pour avoir influencé le jugement ou l'opinion des auditeurs.
Il est nécessaire de mettre en place une politique qui encourage l'auditeur
interne à s'engager à respecter le Code de déontologie, à éviter les conflits
d'intérêts et à divulguer toute activité susceptible d'entraîner un conflit
d'intérêts.
Les auditeurs internes ne doivent pas subordonner leur jugement à celui
d'autrui sur des questions liées à l'audit.
Les auditeurs internes doivent exécuter leurs missions en étant sincèrement
convaincus de la légitimité du résultat de leur travail et sans transiger sur la
qualité.
Les auditeurs internes ne doivent pas être mis dans des situations dans
lesquelles ils ne se sentent pas en position de rendre des jugements
professionnels objectifs.
Les missions du personnel doivent être effectuées dans le but d'éviter le biais
 et les conflits d'intérêts potentiels et réels.
Une personne indépendante de la mission doit examiner les résultats de la
mission avant que ses résultats ne soient communiqués.

Évaluation continue de l'objectivité individuelle

Cependant, les politiques judicieuses n'assurent pas forcément une objectivité
totale. Une évaluation permanente peut contribuer à s'assurer que l'objectivité n'a
pas été compromise au cours d'une mission. Lorsque le RAI, ou tout autre
personne agissant en qualité de superviseur de l'activité d'audit interne, s'assure
de manière raisonnable que le travail a été effectué objectivement cela est
considéré comme un exemple de bonne pratique et ce dans le but d'évaluer les
résultats du travail d'audit interne avant que les communications relatives aux
missions sont diffusées

Par exemple, il faudra envisager des mesures lorsqu'un auditeur qui a été promu
à un département d'opérations effectue un audit interne du dit département. Si le
temps et les moyens logistiques le permettent, ou si on peut légitimement
suspecter l'existence d'un conflit d'intérêts ou d'un risque de partialité, la Guide
de mise en oeuvre 1130 recommande que l'auditeur cesse d'auditer ce service et
que le responsable d'audit interne lui confie une autre mission. Une autre option
à envisager serait de confier les révisions des constatations et conclusions de
l'audit à une personne qui serait indépendante de l'audit.

Préservation de l'objectivité individuelle

Les politiques et les évaluations continues de l'objectivité individuelle aideront
l'auditeur interne à exercer ses fonctions objectivement. Dans le but de maintenir
une objectivité individuelle on pourrait ajouter les meilleures pratiques
suivantes.
Le responsable de l'audit interne doit s'entretenir périodiquement avec le
personnel d'audit interne concernant les conflits d'intérêts et les biais
potentiels.
Une rotation régulière des missions confiées aux auditeurs internes doit être
pratiquée dès que les conditions le permettent.
Un auditeur interne ne peut accepter une commission, un cadeau ou une
invitation de la part d'un employé, d'un client, d'un fournisseur ou d'un
 partenaire.

L'objectivité doit être maintenue dans les faits ou même en apparence. Les objets
promotionnels de faible valeur (stylos, calendriers ou échantillons...) accessibles
aux employés et au public, ne sont pas de nature à entraver le jugement
professionnel des auditeurs internes. De même, accepter une invitation à
déjeuner ou se laisser payer son déjeuner ne doit pas compromettre l'objectivité
d'un auditeur interne. Pour préserver son objectivité en toutes circonstances, il
convient d'opposer ce qui est « raisonnable » à ce qui pourrait être perçu comme
un conflit d'intérêts. Un conflit d'intérêts est défini comme « toute relation qui
n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit
d'intérêts peut nuire à la capacité d'une personne à assumer de façon objective
ses devoirs et responsabilités » (glossaire de Normes).

Identification et atténuation des obstacles à

l'indépendance et à l'objectivité
Plusieurs facteurs, qu'ils soient intentionnels ou non, peuvent nuire à
l'indépendance et à l'objectivité. Suivant le glossaire des Normes, « Parmi les
atteintes à l'indépendance et à l'objectivité individuelle d'une organisation
peuvent figurer les conflits d'intérêts personnels, les limitations du champ
d'audit, des restrictions d'accès aux dossiers, aux personnes et aux biens ainsi
que les limitations des ressources (limitations financières) ».

Certaines mesures peuvent aider à limiter cette atteinte et préserver

l'indépendance de l'auditeur ou résulter en compromis d'intérêts qui influencent
le jugement ou les opinions d'un auditeur. Les auditeurs internes doivent
immédiatement signaler à leurs superviseurs toute proposition de commission ou
de cadeau d'une valeur significative.

Les conseils recommandés dans le Guide de mise en oeuvre 1130, « Atteinte à

l'indépendance et à l'objectivité » :
Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle ou
potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulter s’ils ont des
questions relatives à ce type de situation. Si le responsable de l’audit interne constate l’existence d’une
atteinte réelle ou supposée, il doit alors réaffecter les auditeurs concernés.

Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de
 réaliser ses objectifs et son planning. Entre autres, une limitation du champ d'intervention peut
restreindre :
Le domaine d’intervention défini dans la charte d’audit interne ;
L’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des
missions ;
Le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ;
La performance des procédures nécessaires de missions;
Les prévisions d'effectifs et le budget financier approuvés;

S'il existe une limitation du champ d'intervention, et tout effet potentiel associé, cela doit être
communiqué au Conseil, de préférence par écrit. Le responsable de l'audit interne juge s’il faut informer
le Conseil des restrictions qui ont déjà été communiquées à cette instance et qu’elle a acceptées. Cette
information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein de
l’organisation, du Conseil ou de la direction générale.

Rubrique 3 : Définir la disponibilité des

connaissances, du savoir faire et des
compétences nécessaires (Niveau P)
Les activités d'audit interne doivent être menées avec compétence et conscience
professionnelle. Les compétences, connaissances et aptitudes de l'auditeur
interne constituent un élément essentiel pour déterminer si les résultats d'audit
apportent une valeur ajoutée et pour mettre en œuvre le plan d'audit.

Les missions d'audit interne peuvent être dotées de différentes façons pour aider
à assurer que les audits sont effectués par des personnes possédant les
connaissances, savoir faire et autres compétences requises :

Audits en interne Établir une équipe d'audit spécialisée possédant les

ressources nécessaires.

Externalisation totale Confier la totalité de l'activité d'audit interne à un

prestataire externe, en général de manière permanente. (Il convient de noter
que l'IIA estime que l'activité d'audit interne ne doit jamais être entièrement
externalisée mais devrait être gérée à partir de l'organisation, de préférence
par un RAI.)

Cosourçage Le personnel interne associé à une sous-traitance externe au

niveau de laquelle un fournisseur externe soutient le RAI et apporte à l'équipe
 d'audit spécialisée les compétences spécialisées complémentaires qui
pourraient s'avérer trop coûteuses en interne; on considère cela comme un
engagement conjoint qui peut être continu ou mis à profit au cours de
missions spécifiques.

Sous-traitance (ou personnel supplémentaire). Demander à une personne en

particulier d'effectuer une mission ou une partie spécifique de certaines
missions, généralement pendant une période déterminée; le personnel d'audit
en interne supervise généralement la gestion de la mission.

Détachement Les « auditeurs invités » sont des employés travaillant dans un

autre service de l'organisation et à qui on a fait appel pour qu'ils rejoignent
l'activité d'audit pendant une période déterminée, généralement de un à 24
mois.

Quelle que soit la méthode de dotation utilisée, les standards de performance

d'audit ne doivent pas être compromis. Le RAI doit s'assurer que les auditeurs
auxquels est confiée une activité d'audit interne possèdent les aptitudes requises
pour exécuter leur mission de conseil ou d'assurance de manière compétente,
indépendante et objective. Le RAI devrait demander l'assistance dont il a besoin
ou même envisager de refuser une mission si le personnel ou les compétences
requises pour la mission ne sont pas disponibles.

Normes associées et Guides de mise en oeuvre

Les Normes et Guides de mise en oeuvre relatives aux connaissances, savoir
faire et compétences (maîtrise) requises sont répertoriées dans l'illustration I-10.

Illustration I-10 : Normes de Compétence et Recommandations associées

Connaissances, compétences et aptitudes
requises chez l'auditeur interne
L’audit interne doit collectivement posséder les connaissances, le savoir-faire et
les compétences nécessaires.

La connaissance représente l'ensemble des informations nécessaires pour

pouvoir mener à bien l'activité d'audit interne.

Exemples : Les connaissances requises pour effectuer des audits techniques tels que des enquêtes pour
 fraude ou participer aux activités de Cycle de développement des systèmes (SDLC, « systems
development life cycle »); la connaissance des éléments de l'audit interne (comme expliqué dans la
partie 3 du système d'apprentissage).

Le savoir-faire représente le niveau de compétence nécessaire pour pouvoir

mener à bien l'activité d'audit interne.

Exemple : Les compétences linguistiques ou les compétences de communication.

Les compétences représentent les connaissances collectives, les

compétences, les aptitudes et les qualités personnelles qui peuvent conduire à
des performances exceptionnelles.

Exemples : Utiliser ses connaissances professionnelles en termes de processus d'entreprise, de

connaissance des risques et des indicateurs de fraude et les compétences nécessaires à la conduite d'une
enquête et les compétences interpersonnelles afin d'évaluer si quelqu'un ment.

Les compétences sont plus que des connaissances, savoir faire et expérience de
base liées à un métier. Il s'agit d'attitudes développées au fil du temps et qui
correspondent à un ensemble de capacités, traits de caractère et connaissances
indispensables à la réussite. Les aptitudes sont propres à l'employé ; il peut les
appliquer d'une mission d'audit à une autre, d'un poste à un autre, voire d'un
employeur à un autre.

Distinctions entre les niveaux compétence, compréhension

et appréciation
Les qualifications des auditeurs internes exigent différents niveaux de
compétence.

Le Guide de mise en oeuvre 1210 établit les distinctions entre les termes
suivants : compétences, compréhension et appréciation. Les exemples suivants
illustrent les différences entre ces termes.

Compétence : la capacité à appliquer les connaissances pour faire face à

toutes situations possibles afin de pouvoir les traiter de manière appropriée
sans avoir recours à la recherche et à l'assistance technique.

Exemple : Un auditeur interne est compétent de manière indépendante dans le cadre de situations
 uniques et complexes liées à des concepts de fraude. Les compétences permettent de réunir les preuves
nécessaires et d'évaluer la fonctionnalité d'un contrôle.

Cette compréhension implique une capacité à appliquer des connaissances

générales aux situations susceptibles d’être rencontrées au cours des audits,
de détecter les écarts significatifs et d’être capable de procéder aux
recherches nécessaires pour aboutir à des solutions raisonnables ;

Exemple : Un auditeur interne suit une formation pour apprendre les méthodes de détection et
comment reconnaître les signaux d'alerte de fraude. Sous la supervision et avec l'aide d'autres
personnes, il identifie les signaux d'alerte en matière de fraude potentielle au cours d'une enquête pour
fraude.

L'appréciation implique la capacité à reconnaître l'existence de problèmes

réels ou potentiels et identifier les recherches complémentaires à entreprendre
ou l'assistance dont on aura besoin.

Exemple : un nouvel auditeur interne, qui vient de rejoindre l'équipe et connaît très bien l'approche
rigoureuse utilisée par l'activité d'audit interne pour réaliser des audits, reconnaît les signaux d'alerte
indicateurs d'une fraude potentielle alors qu'il exécute une mission.

Les connaissances, le savoir-faire et les autres compétences qu'un auditeur

interne doit avoir comprennent :
La maîtrise des normes, procédures et techniques d'audit interne nécessaires à
l'exécution de missions ;
La maîtrise des principes et techniques comptables (pour les auditeurs
travaillant de manière intensive sur les registres et rapports financiers) ;
Une bonne compréhension des principes de gestion et des bonnes pratiques
commerciales, de manière à savoir reconnaître et évaluer les écarts ;
De bonnes notions dans des domaines clés tels que la comptabilité,
l'économie, le droit commercial, la fiscalité, la finance, les méthodes
quantitatives et les technologies de l'information, selon la nature de
l'organisation.

Les auditeurs internes doivent également avoir une compréhension des relations
humaines et pouvoir communiquer et traiter avec les clients de mission. Du
reste, les compétences de communication orales et écrites sont nécessaires pour
que l'auditeur interne puisse transmettre clairement et efficacement les
informations relatives aux objectifs de la mission, aux évaluations, aux
conclusions et aux recommandations. La norme de fonctionnement 2420,
« Qualité des communications », stipule que « les communications doivent être
précises, objectives, claires, concises, constructives, complètes et opportunes. »
Son interprétation nous permet de dégager les points suivants :

Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits
sousjacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation
équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est
facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et
fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel
et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une
communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles
sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles.
Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant d’étayer
les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos,
elle permet au management de prendre les actions correctives appropriées en fonction du caractère
significatif de la problématique.

Parmi les autres compétences essentielles peuvent figurer une connaissance

approfondie du secteur d'activité de l'organisation, des normes de l'audit interne
et des meilleures pratiques; une connaissance et une expertise techniques; les
connaissances et le savoir-faire de la mise en œuvre et l'amélioration des
processus financiers et opérationnels.

Un groupe de travail constitué de bénévoles de l'IIA, d'agents de l'institut

national de l'éducation et d'anciens auteurs de la CFIA (Competency Framework
for Internal Auditors, 1999) ont mis au point un cadre global de compétences à
destination des professionnels de l'audit interne. Bien qu'il s'agisse d'un modèle
de travail qui évolue et progresse au fil du temps, celui-ci est consultable en
ligne à l'adresse suivante : www.theiia.org/guidance/ additional-
resources/competency-framework-for-internal-auditors/. Vous pourrez consulter
quatre catégories de compétences différentes pour identifier les effectifs
spécifiques ainsi que leurs niveaux de compétence spécialisée par rapport à des
domaines spécifiques à partir des liens que vous trouverez à l'illustration I-11.

Illustration I-11 : Liens relatifs à la compétence pour les effectifs spécifiques et les
domaines spécifiques
Ces catégories délimitent des aptitudes pertinentes, chacune avec un niveau de
maîtrise défini :
1 = Simple sensibilisation.
2 = Aptitudes et connaissances de base utilisées avec l'aide d'autres personnes.
3 = Compétent de manière autonome dans des situations habituelles.
4 = Compétent de manière autonome dans des situations uniques et complexes.

La certification professionnelle (comme la certification CIA de l'IIA) est une

preuve supplémentaire de compétence et de professionnalisme. Vous trouverez
plus de détails sur cette certification à la Rubrique 6 de cette section.

Connaissances, savoir faire et compétences

requis pour l'activité d'audit interne
Le succès d'une activité d'audit interne dépend de la performance des auditeurs
internes. Le RAI est chargé de déterminer les niveaux de formation et
d'expérience requis associés aux postes d'audit interne en fonction du périmètre
d'action et du niveau de responsabilité.

Le terme « Dotation » est généralement utilisé pour décrire le processus

d'identification des besoins en ressources humaines pour la fonction d'audit
interne et les activités d'audit interne par rapport au recrutement, la sélection et le
déploiement des ressources de talents afin de répondre à ces exigences. Dans les
grandes organisations, le RAI peut bénéficier de l'aide de la direction des
ressources humaines pour répondre aux besoins en personnel de la fonction
d'audit interne. Dans les organisations de taille plus réduite, le RAI assume
souvent davantage de responsabilités liées à la gestion du personnel.

Théoriquement, la dotation, l'approvisionnement, le recrutement, la sélection et

le maintien du personnel s'effectue dans un ordre linéaire de sorte que chaque
processus commence après que le précédent est terminé. Dans la réalité
cependant, ces processus se chevauchent ; il s'agit d'activités interdépendantes
qui n'ont pas vraiment de fin. Dès qu'un processus de termine on voit apparaitre
de nouveaux besoins organisationnels qui exigent que l'activité d'audit interne
examine les besoins en talents pour s'assurer que les bonnes personnes sont au
bon poste au bon moment.

Toutes ces activités de gestion du personnel doivent tendre vers un même

objectif : faire en sorte que le personnel d'audit interne dans son ensemble
possède les connaissances et les compétences essentielles à l'exercice de la
profession au sein de l'organisation.

Une analyse annuelle des connaissances et des compétences d'un service d'audit
doit être effectuée pour aider à identifier le champ d'opportunités qui peut être
traité par une formation professionnelle continue, le recrutement ou le co-
sourcing. L'illustration I-12 décrit un outil d'évaluation de la compétence
professionnelle du personnel. L'outil est aligné sur les Normes.

Illustration I-12 : Évaluation de la compétence professionnelle du personnel

Rubrique 4 : Développer et / ou acquérir
les connaissances, le savoir-faire et les
compétences nécessaires généralement
requis par l'activité d'audit interne
(Niveau P)
Le cosourçage et l'externalisation sont nécessaires lorsque des compétences
uniques ou spécialisées ne sont pas disponibles au sein d'une organisation pour
pouvoir mener à bien l'activité d'audit interne. Il incombe au RAI d'obtenir
assistance d'un service externe pour prendre en charge ou compléter les
domaines où l'activité ne fonctionne pas de manière efficace. Le Guide de mise
en oeuvre 1210, « Compétence » explique qu’un prestataire externe est une
personne ou une entité indépendante de l’organisation qui possède des
connaissances, un savoir-faire et une expérience particuliers dans une discipline
donnée. Les prestataires externes incluent notamment les actuaires, les experts
comptables, les conseils en évaluation, les personnes qui ont une expertise à
propos de certaines cultures ou langues, les spécialistes de l’environnement, les
experts en enquêtes sur la fraude, les avocats, les ingénieurs, les géologues, les
experts en sécurité, les statisticiens, les spécialistes des technologies de
l’information, les auditeurs externes de l’organisation et les autres cabinets
d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le
responsable de l'audit interne. Ils peuvent être mandatés par le Conseil, la
direction générale ou le responsable de l'audit interne.

Le fait de planifier ou d'accepter des missions qui ne peuvent être effectuées que
par une personne compétente est susceptible de rendre l'organisation vulnérable
et de la juger inadéquate au niveau de l'efficacité de la gestion du risque et des
processus de contrôle et de gouvernance. De plus, le fait d'accepter ces missions
n'est pas conforme au Code de déontologie ou à la Norme de qualification 1210,
« Compétence ». La réputation de la fonction d'audit interne peut également s'en
trouver affaiblie.

Normes associées et Guides de mise en oeuvre

Vous trouverez à l'illustration I-13 les Normes et Guides de mise en oeuvre
concernant le développement et l'acquisition des connaissances, le savoir faire et
les compétences.

Illustration I-13 : Développement/acquisition des connaissances, Normes et

Recommandations associées de compétences et de savoir-faire
Pourquoi recourir au cosourçage ou à
l'externalisation ?
En général, le cosourçage et l'externalisation permettent à une organisation de
tirer profit de l'expérience d'individus ou de sociétés. Dans le cadre d'audit
interne, il est important de distinguer ces deux termes pour identifier le degré de
sous-traitance d'audit interne. Le cosourçage représente un arrangement entre un
prestataire externe qui supplémente la fonction d'audit interne; une société
extérieure est payée pour gérer la fonction d'audit interne.

Vous trouverez à l'illustration I-14 les divers avantages et inconvénients du

cosourçage et de l'externalisation pour l'activité d'audit interne.
 Illustration I-14 : Avantages et Inconvénients du cosourçage ou de l'externalisation

Les responsabilités du RAI envers les

prestataires externes de services
Le RAI joue un rôle important lorsqu'il s'agit de collaborer avec un prestataire de
services extérieur. Le Guide de mise en oeuvre 1210 apporte les précisions
suivantes.

Le RAI détermine si le prestataire extérieur de services possède les connaissances, les compétences et
autres aptitudes nécessaires à l'exécution de la mission en s'appuyant sur les éléments suivants :
Les certifications professionnelles, les licences ou autres reconnaissances des compétences du
prestataire extérieur de services dans la discipline concernée.
L'appartenance du prestataire extérieur de services à une organisation professionnelle appropriée et le
respect du code de déontologie de cette organisation.
La réputation du prestataire externe de services. La prise en compte de cet élément peut impliquer la
consultation de tiers faisant habituellement appel aux travaux du prestataire ;
L'expérience du prestataire extérieur de services concernant le type de travail considéré.
Le niveau de formation reçu par le prestataire extérieur de services dans les disciplines liées à la
mission en question.
Les connaissances et l'expérience du prestataire extérieur de services dans le secteur d'activité de
l'organisation.
 Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe,
l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’objectivité du prestataire
externe seront garanties tout au long de la mission. Pour procéder à cet examen, le responsable de l'audit
interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le prestataire externe
de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de
l’émission de ses rapports.

Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de la mission du

prestataire externe, de façon à pouvoir vérifier que ses travaux répondent aux objectifs de l’audit interne.
Il peut s’avérer prudent de préciser l’étendue de la mission et divers autres points dans une lettre de
mission ou dans un contrat. Pour cela, le RAI doit examiner les données suivantes avec le prestataire
externe de services :
Les objectifs et le périmètre d'action, y compris les éléments livrables et les échéances.
Les points précis à aborder dans les rapports d'audit.
L'accès aux dossiers, au personnel et aux propriétés matérielles concernés.
Les hypothèses et procédures à utiliser.
La propriété et la détention des papiers de travail de la mission, le cas échéant.
La confidentialité et les restrictions portant sur les informations obtenues au cours de la mission.
Le cas échéant, il faut se conformer aux Normes, et aux normes de l'activité d'audit interne dans le
cadre des pratiques de travail.

Ces points et autres remarques importantes sont clairement expliqués dans la

lettre ou le contrat de mission. Le cas échéant, la conformité aux Normes de l'IIA
et aux normes du département d'audit dans le cadre des pratiques de travail devra
être référencée dans la lettre de mission.

Considérations particulières concernant la

détection de ou l'enquête pour fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont
souvent utilisés. Comme indiqué dans la norme de mise en œuvre 1210.A2
(Missions d'assurance), « Les auditeurs internes doivent disposer de
connaissances suffisantes pour évaluer le risque de fraude et la manière dont il
est géré par l'organisation, mais ils ne sont pas censés détenir l'expertise d'une
personne dont la principale responsabilité est de détecter les fraudes et
d'enquêter sur elles ».

La fraude est définie et analysée dans la Section II de ce module, Chapitre D, «

Sensibilisation au risque de fraude ». Vous trouverez plus d'informations dans
l'ouvrage « Managing the Business Risk of Fraud, A Practical Guide »,
disponible sur le site Web de l'IIA.
Considérations particulières concernant la
technologie de l'information
Les technologies de l’information sont un domaine dans lequel les services
d'experts extérieurs sont souvent utilisés. Cependant, tous les auditeurs internes
doivent posséder une certaine compréhension des technologies de l'information.
L'IIA fournit des conseils sur les technologies de l'information

grâce aux guides pratiques suivants : Guide to the Assessment of IT Risk (GAIT)
et le Global Technology Audit Guide® (GTAG®).

Comme indiqué dans la norme de mise en œuvre 1210.A3 (Missions

d'assurance), « Les auditeurs internes doivent posséder une connaissance
suffisante des principaux risques et contrôles relatifs aux technologies de
l'information, et des techniques d'audit informatisées susceptibles d'être mises en
œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les
auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la
responsabilité première est l'audit informatique.

Rubrique 5 : Remplir ses fonctions avec

professionnalisme (Niveau P)
La conscience professionnelle porte sur la diligence et le savoir-faire que l’on
peut attendre d’un auditeur interne raisonnablement prudent et compétent. On
attend des auditeurs internes qu'ils agissent de manière responsable dans toutes
les situations professionnelles. Il convient notamment de savoir prendre les
mesures appropriées dans des situations délicates, enquêter sur les activités
douteuses plutôt que de les ignorer, par exemple.

Le professionnalisme est en jeu lorsque les audits internes sont menés en accord
avec les Normes.

Normes associées et Guides de mise en oeuvre

Les Normes et Guides de mise en oeuvre relatives à la conscience
professionnelle sont répertoriées dans l'illustration I-15.

Illustration I-15 : Normes de conscience professionnelle et Recommandations associées

Implications de la notion de professionnalisme
Durant un audit interne la notion de professionnalisme exige que :
Les auditeurs internes doivent être indépendants des activités qu'ils auditent.
Les audits internes doivent être réalisés par des individus qui, ensemble,
possèdent les connaissances, compétences et domaines d'expertise nécessaires
à un audit efficace et objectif.
Le travail d'audit doit être planifié et supervisé.
Les rapports d'audit doivent être objectifs, clairs, concis, constructifs et
délivrés au moment opportun.
Les auditeurs internes doivent effectuer un suivi des résultats d'audit
communiqués dans les rapports pour s'assurer que les mesures appropriées
ont été prises.

Comme indiqué dans la norme 1220, « Conscience professionnelle », « Les

auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire
que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent
». La conscience professionnelle n'implique pas l'infaillibilité. Le Guide de mise
en oeuvre 1220, « Conscience professionnelle », déclare : « La notion de
conscience professionnelle implique un soin et un niveau de compétence
raisonnables, pas une infaillibilité ni des performances extraordinaires. Cela
signifie que l’auditeur interne procède à des vérifications et des contrôles
raisonnablement approfondis. En conséquence, l’auditeur interne ne peut donner
une assurance absolue qu’il n’existe aucune anomalie ou irrégularité. Cela
signifie que l’auditeur interne procède à des vérifications et des contrôles
raisonnablement approfondis. Néanmoins, la possibilité d’irrégularités ou de non
conformités importantes devra toujours être envisagée lorsque l’auditeur interne
entreprend une mission ».

Un auditeur interne exerçant son métier avec professionnalisme doit :

Faire preuve du soin et de la compétence attendus d'un auditeur interne
raisonnablement prudent et compétent dans des circonstances identiques ou
similaires, en s'adaptant au niveau de complexité de la mission en cours
d'exécution ;
Porter une attention particulière aux fautes intentionnelles, erreurs et
omissions, inefficacité, perte et conflits d'intérêts possibles.
Porter une attention particulière aux conditions et activités les plus
vulnérables aux irrégularités ;
Identifier les contrôles inadéquats et recommander des améliorations pour
promouvoir le respect des procédures et pratiques acceptables.

Conscience professionnelle dans le cadre des missions

d'assurance
Que représente le professionnalisme dans le cadre de missions d'assurance ? L'un
des facteurs principaux n'est autre que le volume de travail nécessaire pour
atteindre les objectifs de la mission. Les objectifs de la mission sont des «
énoncés généraux élaborés par les auditeurs internes et définissent ce qu'il est
prévu de réaliser pendant la mission » (Glossaire des Normes).

La nature des processus en cours d'évaluation est également importante. Ainsi,

évaluer l'adéquation et l'efficacité des processus de contrôle, gestion des risques
et gouvernance est au cœur de la notion de professionnalisme lors d'une mission.
Pour remplir ses fonctions avec professionnalisme lors de missions d'assurance,
les auditeurs doivent considérer la probabilité d'erreurs, d'irrégularités ou de non-
conformité ainsi que le coût de l'assurance par rapport aux bénéfices potentiels.

Les deux Normes de mise en œuvre qui se réfèrent spécifiquement à ce concept

-1220.A2 et 1220.A3 - sont décrites ci-dessus à l'illustration 1-15.

Voici quelques exemples de règles de professionnalisme pour les missions

d'assurance :
Une connaissance fonctionnelle des Normes de l'IIA.
Une compréhension du cadre de contrôle interne du Committee of
Sponsoring Organizations of the Treadway Commission (COSO) (ce point
sera examiné dans la Section II).
La connaissance des objectifs et stratégies organisationnels.
La connaissance de l'approche systématique et rigoureuse de l'activité d'audit
interne concernant l'évaluation des processus organisationnels de contrôle,
gestion des risques et gouvernance.

Voici quelques contre-exemples de professionnalisme :

Ne pas reconnaître un indice de fraude (signal d'alerte), le fait qu'un employé
ne prenne jamais de vacances, par exemple.
Effectuer un audit interne de chaque département au sein d'une organisation,
tous les trois ans, sans tenir compte des risques ou de l'importance du
département.
Prendre en compte les responsabilités confiées aux auditeurs externes
pendant l'exécution d'un audit interne du service de trésorerie.

Conscience professionnelle dans le cadre des missions de

conseil
Les observations qui sont à la base de la conscience professionnelle lors de
missions d'assurance s'appliquent aussi aux missions de conseil (la complexité
relative et l'étendue du travail nécessaire pour atteindre les objectifs de la
mission, et les coûts associés aux bénéfices potentiels). Les besoins et les
attentes des clients sont de la plus haute importance.

En ce qui concerne le professionnalisme dans le cadre des missions de conseils,

l'audit interne doit prendre en compte :
Les besoins des représentants de la direction, y compris la nature, le
calendrier et la communication des résultats de la mission ;
Les motivations et raisons possibles des personnes à l'origine de cette
demande ;
Le volume de travail nécessaire pour atteindre les objectifs de la mission ;
Les compétences et ressources nécessaires pour mener la mission ;
Les effets sur le périmètre du plan d'audit approuvé par le comité d'audit ;
L'impact potentiel sur les futures missions d'audit ;
Les avantages organisationnels qui peuvent être tirés de la mission.

Voici quelques exemples de règles de professionnalisme pour les missions de

conseil :
Une connaissance fonctionnelle des Normes de l'IIA.
La compréhension des objectifs organisationnels liés à la mission de conseil.
L'émission de commentaires objectifs sur le processus ou l'activité proposé.

Exécuter une mission en l'absence de connaissance ou d'expérience du sujet et

sans supervision est un exemple de non-professionnalisme.

Rubrique 6 : Promotion de la formation

professionnelle continue (Niveau P)
La formation professionnelle continue est le moyen par lequel les membres d'une
profession maintiennent, améliorent, et élargissent leurs connaissances, savoir-
faire, et expérience exigés dans leur vie professionnelle.

Norme associées et Guides de mise en oeuvre

Vous retrouverez la Norme et Guides de mise en oeuvre relatives à la formation
professionnelle continue pour les auditeurs internes à l'illustration I-16.

Illustration I-16 : Norme de formation professionnelle continue et Recommandations

associées
Plan de formation professionnelle continue des
auditeurs internes
La profession d'audit interne est en constante évolution. C'est pourquoi les
meilleures pratiques encouragent les organisations à promouvoir le
perfectionnement professionnel et la certification des auditeurs internes. Le
Guide de mise en oeuvre 1230, « Formation professionnelle continue »,
réaffirme ce point et stipule : « Les auditeurs internes doivent améliorer leurs
connaissances au moyen d'une formation professionnelle continue. Les auditeurs
internes doivent être tenus informés des progrès et des développements en cours
au niveau des normes d'audit interne, des procédures, et techniques y compris le
Cadre des pratiques professionnelles internationales de l'IIA ».

Ce qui permet de développer et de renforcer les compétences d'un auditeur

permet aussi d'approfondir les connaissances. On peut citer par exemple une
formation spécialisée dans les processus d'entreprise, les techniques d'audit, les
compétences interpersonnelles, les compétences de communication et dans tout
autre domaine connexe.

Renforcement des compétences individuelles

grâce à la formation professionnelle continue
Il existe plusieurs moyens de se perfectionner sur le plan professionnel :
Les missions professionnelles.
Le mentorat.
Le réseautage.
La formation (acquisition et approfondissement de connaissances et
compétences grâce à des sources internes ou externes).
 La participation à des projets de recherche.
L'intelligence collective issue de l'analyse et de la synthétisation des
informations, etc.
Les études (cours universitaires...).
Les conférences.
L'appartenance et la participation à des organismes professionnels.
Les certifications et leur renouvellement.

Plusieurs facteurs influencent la façon dont les individus apprennent au fil du

temps. Une grande organisation disposera plus facilement des ressources, des
installations et du budget nécessaires pour proposer des formations en interne.
D'autres organisations choisiront d'indemniser les employés pour leur
participation à des programmes externes. Chaque individu peut développer une
préférence pour un mode d'apprentissage particulier (autoformation, séminaires,
formations en ligne...). Celui qui revient constamment est la nécessité d'un
apprentissage continu de l'audit interne.

Supports de formation de l'IIA

L'IIA est reconnu comme institution de formation au premier rang de la
profession et leader dans le développement professionnel. L'accès à de
nombreuses ressources de formation (telles que le présent document) aide les
professionnels de l'audit interne à répondre aux attentes de leurs employeurs et à
excéder les normes de performance. Toutes sortes d'opportunités existent, pour
les auditeurs internes débutants ou expérimentés comme pour les membres
d'autres professions liées.

L'illustration I-17 résume ces offres de formation et d'éducation.

Illustration I-17 : Les offres de formation et d'éducation de l'IIA

Pour plus d'informations spécifiques concernant les possibilités de formation et
d'apprentissage de l'IIA, vous pouvez visiter le site web de l'IIA www.theiia.org.

Importance des certifications et de leur renouvellement

Un excellent moyen de se perfectionner pour les auditeurs internes consiste à
obtenir les certifications professionnelles appropriées. La certification permet de
mesurer systématiquement certaines caractéristiques telles que l'éducation et
l'expérience pour qu'un individu soit reconnu comme ayant les connaissances et
autres exigences minimum requises pour un poste ou un emploi spécifique.

Il est possible d'obtenir une certification suivant les résultats obtenus dans les
disciplines suivantes.
Sortir diplômé d'un programme de formation agréé ou approuvé.
Détenir un type ou une durée d'expérience professionnelle spécifié.
Obtenir des résultats satisfaisants à un examen d'aptitude.

La certification d'auditeur interne certifié (CIA®, « Certified Internal Auditor® »)

symbolise la compétence, la réussite et l'engagement dans le cadre de la
profession d'audit interne. L'IIA offre également des certifications spécialisées :
Certification en auto-évaluation des contrôles (CCSA, Certification in
Control Self-Assessment)
Professionnel de l'audit certifié du secteur public (CGAP, Certified
Government Auditing Professional)
Auditeur de services financiers certifié (CFSA, Certified Financial Services
Auditor)
Certification en assurance de gestion des risques (CRMA, Certification in
Risk Management Assurance)

Pour plus d'informations spécifiques sur les programmes de certification de l'IIA,

veuillez consulter le site web de l'IIA www.theiia.org.

Certaines certifications professionnelles d'audit interne devraient considérer

l'inclusion d'autres certifications et titres professionnels de comptabilité
spécialisés tels que les programmes environnementaux, la technologie de
l'information, et l'ingénierie. Ci-dessous vous trouverez différents exemples de
titres connexes :
Canada—Certified Financial Consultant (CFC), Institute of Financial
Consultants
Inde—Chartered Accountant (CA), The Institute of Chartered Accountants of
India
Japon—Certified Public Accountant (CPA), The Japanese Institute of
Certified Public Accountants
Pays-Bas—Register Operational Auditor (RO), Nederlands Instituut van
Register Operational Auditor
États-Unis—Certified Treasury Professional (CTP), Association of Financial
Professionals

La plupart des programmes de certification exigent que les titulaires d'une

certification font preuve d'une compétence continue. Le terme
« recertification » est utilisé pour décrire les politiques qui exigent une preuve de
conformité continue à certains critères. Pour maintenir la validité de leurs
accréditations, les individus certifiés doivent se soumettre à des processus
d'évaluation pour prouver qu'ils détiennent toujours certaines compétences. En
général, le recertification exige qu'une formation professionnelle continue (CPE,
continuing professional education) soit suivie une fois par an ou tous les cinq
ans. Les RAI doivent suivre au moins 40 heures de formation par an pour
satisfaire aux exigences CPE et conserver leur certification.

Dans quels cas les auditeurs internes doivent-ils envisager la certification et le

processus de recertification ? Les principaux avantages sont les suivants :
Elles attestent la maîtrise d'un ensemble de connaissances défini.
Elles renforcent la crédibilité et le prestige professionnels.
Elles confirment la maîtrise des normes de pratique professionnelle.
Elles facilitent le perfectionnement professionnel.
Elles permettent de rester informé des dernières nouveautés d'un domaine
d'exercice.

Rubrique 7 : Assurance et amélioration

qualité de l'activité d'audit interne
(Niveau P)
Les organisations sont en constante évolution. Les opérations sont constamment
améliorées et les processus internes évoluent en permanence. Au fur et à mesure
qu'une organisation évolue, les services d'audit doivent évoluer au même rythme.
Comment l'auditeur interne peut-il gérer les besoins d'un management en
constante évolution et toujours s'assurer que l'activité d'audit produise les
meilleurs résultats ? Pour assurer la qualité constante des activités d'audit
interne, la fonction d'audit interne exige d'avoir en place un programme
d'assurance et d'amélioration qualité (QAIP).

Un département d'audit interne entièrement sous-traité doit aussi avoir un QAIP,

indépendamment de si le fournisseur externe en a mis un en place dans le cadre
de ses propres activités. Par exemple, PricewaterhouseCoopers a mis en place un
QAIP pour ses activités annuelles, mais chacun de ses clients (par exemple, «
entreprise XYZ ») doit également mettre en place un programme.

La norme 2070, « Responsabilité de l’organisation en cas de recours à un

prestataire externe pour ses activités d’audit interne », stipule « Lorsque
l’activité d’audit interne est réalisée par un prestataire de service externe, ce
dernier doit alerter l’organisation qu’elle reste responsable du maintien d’un
audit interne efficace ». Selon l'interprétation, « Cette responsabilité est
démontrée par le programme d’assurance et d’amélioration qualité, lequel
évalue la conformité avec la Définition de l’audit interne, le Code de
déontologie et les Normes ».

Normes associées et Guides de mise en oeuvre /

Guides pratiques
Les Normes, Guides de mise en oeuvre et Guides pratiques relatifs à l'assurance
et l' amélioration qualité de l'activité d'audit interne, sont listées à l'illustration I-
18.

Illustration I-18 : Assurance et amélioration qualité de l'activité d'audit Normes d'activité et

Recommandations associées
Établissement et mise en œuvre d'un
programme d'assurance et d'amélioration
qualité
La norme de qualification 1322 stipule que « le responsable de l'audit interne
doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité
portant sur tous les aspects de l'audit interne » L'interprétation de la norme
indique que : « Un programme d'assurance et d'amélioration qualité est conçu
de façon à évaluer la conformité de l’audit interne avec la Définition de l’audit
interne, les Normes et d'évaluer le respect du Code de Déontologie par les
auditeurs internes. Ce programme permet également de s’assurer de l’efficacité
et de l’efficience de l’activité d’audit interne et d’identifier toutes possibilités
d’amélioration. Le responsable de l’audit interne devrait encourager une
surveillance du programme d’assurance et d’amélioration qualité par le
Conseil. ».

Le Guide de mise en oeuvre 1300, « Programme d'assurance et d'amélioration

qualité » stipule ce qui suit le responsable de l'audit interne s’assure de la mise
en œuvre de processus permettant de donner aux diverses parties prenantes de
l’audit interne l’assurance raisonnable que ce service :
Exerce en accord avec la charte d'audit interne qui elle est cohérente avec la
Définition d'audit interne, le Code de déontologie et les Normes.
Opère de manière efficace et efficiente.
Contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à
améliorer le fonctionnement de l’organisation.

Parmi ces processus peuvent figurer une supervision appropriée, des évaluations
périodiques internes, un contrôle continu de la qualité d'assurance, et des
évaluations périodiques externes.

Éléments-clés d'un QAIP

Les éléments du QAIP vont du développement de politiques ou procédures aux
fonctions d'enregistrement pour les activés de missions d'audit interne.

L'illustration I-19 à la page suivante donne un exemple d'évaluations de la

qualité au niveau interne et externe.
Selon l'interprétation de la norme 1311 « Évaluations internes » :

La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de

l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques
courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les
informations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition
de l’audit interne, au Code de Déontologie et aux Normes.

Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit
interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.

Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de
l’ensemble des éléments du cadre de référence international des pratiques professionnelles

Illustration I-19 : QAIP, Évaluations Internes et Externes

Les auditeurs internes doivent consulter les Normes associées et les Guides de
mise en oeuvre pour ce genre d’évaluation QAIP. Voici un résumé des éléments
importants.

Évaluations internes
Le RAI met en place des évaluations internes continues pour évaluer
régulièrement et individuellement les pratiques et politiques des procédures
d'audit. Le type et le nombre d'évaluations varient en fonction de la nature de
l'organisation. Des processus et des outils spécifiques doivent être définis pour
chaque organisation. Les conclusions doivent être développées régulièrement, et
des mesures adéquates doivent être prises pour améliorer la qualité des activités
continues d'audit.

Les évaluations périodiques représentent un autre aspect important du processus

d'évaluation interne. Elles s'apparentent davantage à une méthode d'auto-
évaluation programmée visant à déterminer si les actions appropriées sont
entreprises et si des changements nécessitent d'être apportés aux pratiques et
procédures d'audit interne afin d'améliorer la qualité des programmes. Ce
procédé périodique d'auto-évaluation est aussi utilisé par d'autres organisations
pour qu'elles puissent effectuer leur propre évaluation conformément aux
Normes. Ce type de révision leur permet de mener leur propre évaluation avant
toute évaluation externe de la qualité.

Périmètre des évaluations internes

Ces évaluations doivent inclure :
Une supervision constante et des tests courants des performances du travail d'audit et de conseil ;
Des évaluations et analyses permanents des mesures de performance (par exemple, la réalisation du
plan d'audit, la durée du cycle, les recommandations acceptées et la satisfaction client).
Des validations périodiques de la conformité aux lois, règlements et normes gouvernementales ou
industrielles en vigueur ;
Des validations périodiques de conformité aux Normes et au Code de déontologie y compris les
actions correctrices en temps opportun pour remédier aux cas importants de non-conformité.
Une évaluation de la pertinence de la charte, des objectifs, des politiques et des procédures de
l'activité d'audit interne ;
Une évaluation de la contribution aux processus de contrôle, gouvernance et gestion des risques de
l'organisation ;
Une évaluation de l'efficacité des activités d'amélioration continue et de l'adoption des meilleures
pratiques ;
Si l'activité d'audit apporte de la valeur, améliore les opérations et aide l'organisation à atteindre ses
objectifs.

Mesures de la qualité
Le Guide de mise en oeuvre 1311 donne des conseils concis pour établir des
mesures de performance afin d'évaluer l'activité d'audit interne. Il est
recommandé de consulter ce guide en liaison avec les Normes et toutes autres
méthodes de mesures les plus courantes.

Bien que ces conseils fournissent des exemples de mesures spécifiques

considérées comme essentielles, il est important de bien comprendre qu'il
n'existe aucun ensemble de mesures efficaces applicables de manière universelle
à toutes les activités d'audit. Les mesures quantitatives et les évaluations
qualitatives sont importantes pour démontrer la performance de l'activité d'audit
aux parties prenantes clés.

L'illustration I-20 offre une perspective précise et ponctuelle des mesures de

performance, considérées importantes pour un certain nombre de RAI.

Il est de la responsabilité du RAI d'établir une structure pour communiquer les

résultats des évaluations périodiques qui permettent de conserver une crédibilité
et une objectivité adéquates. En général, les individus réalisant les révisions
permanentes et périodiques doivent rendre compte au RAI tout au long de
l'exécution de ces révisions et lui communiquer directement leurs résultats.

Si les résultats de l'évaluation interne déterminent qu'il existe des points à

améliorer ceux-ci doivent être mis en œuvre par le RAI par le biais du QAIP.

Pour plus d'informations sur l'exécution de revues internes permanentes,

consultez le Guide de mise en oeuvre 1311, « Évaluations internes ».

Évaluations externes
Selon l'interprétation de la Norme 1312 :

Les évaluations externes peuvent être effectuées par une évaluation entièrement externalisée ou une
auto-évaluation suivie d’une validation indépendante externe. L’évaluateur externe doit statuer sur la
conformité avec les Normes et le Code de déontologie. L’évaluation externe peut également inclure des
commentaires de portée opérationnelle ou stratégique.

Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines :
la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences
peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances
théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe
d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences
requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se
servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation
possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation.

La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont
la fonction d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêts, réel ou perçu
comme tel. Le responsable de l’audit interne devrait encourager la surveillance de l’évaluation externe
par le Conseil pour limiter les conflits d’intérêts perçus ou potentiels.

Les révisions externes de l'évaluation de la qualité peuvent être effectuées par :

Une équipe totalement indépendante de l’organisation qui est évaluée. (Ces
équipes sont disponibles auprès de l'IIA ou d'organismes de consultation
ayant connaissance des exigences des normes relatives à la performance
d’audit.)
Une auto-évaluation validée par une source indépendante par un examinateur
indépendant.
L'équipe d'évaluation par des pairs composée de membres d’au moins trois
 organisations différentes.

Les qualifications nécessaires sont les mêmes pour les trois équipes
d’évaluation. Une équipe externe d'évaluation doit comporter des membres ayant
les connaissances nécessaires de la technologie de l'information, de l’expérience
pertinente dans ce secteur d'activité, et de l’expertise dans d’autres disciplines
spécialisées (telles que la comptabilité, les taxes, les affaires environnementales
le cas échéant).

L’intégrité et l’objectivité sont des considérations importantes au niveau de la

procédure de sélection. Le RAI doit impliquer la direction générale et le Conseil
dans la procédure de sélection d'un examinateur externe et obtenir leur accord.

Périmètre des évaluations externes

Le Guide de mise en oeuvre 1312 recommande que les évaluations externes
consistent en un large champ d'application qui inclut les éléments de l'activité
d'audit interne suivants :

La conformité à la Définition d'audit interne au Code de déontologie; aux Normes; à la charte, aux
plans, politiques, procédures, pratiques et exigences législatives et réglementaires applicables de
l'activité d'audit interne.
Les attentes de l'activité d'audit interne comme indiquées par le Conseil, la direction générale et les
directeurs des opérations.
L'intégration de l'activité d'audit interne au processus de gouvernance de l'organisation, y compris les
relations entre et parmi les principaux groupes impliqués dans le processus.
Les outils et techniques employés par l'activité d'audit interne.
Un ensemble de connaissance, expérience et de disciplines au sein du personnel y compris une
concentration sur l'amélioration des processus.
Déterminer si ou non l'activité d'audit interne apporte de la valeur ou améliore les opérations d'une
organisation.

Le Manuel sur l'évaluation de la qualité et le Guide de mise en oeuvre 1312

contiennent des informations supplémentaires sur l'évaluation externe.

Communication des résultats du programme

d'assurance et d'amélioration qualité
Les Normes et diverses Guides de mise en oeuvre permettent d'identifier les
résultats de rapports spécifiques concernant les évaluations internes et externes à
l'intention des parties prenantes. Pour les évaluations internes, le RAI doit
partager les résultats, les plans d'action nécessaires et leur mise en œuvre réussie
avec la direction générale, le Conseil et les auditeurs externes. Pour les
évaluations externes, les résultats préliminaires d'évaluations doivent être
examinés avec le RAI pendant et à la conclusion du processus d'évaluation. Les
résultats finaux doivent être communiqués dans un rapport formel au RAI ou
tout autre responsable ayant autorisé l'évaluation pour le compte de
l'organisation ; il est conseillé de transmettre des copies directement aux
membres concernés de la direction générale et du Conseil.

Le rapport formel des évaluations externes doit :

Contenir un avis basé sur un processus structuré concernant la conformité de
l'activité d'audit interne à la Définition de l'audit interne, au Code de
déontologie et aux Normes.
Examiner et évaluer l'usage des bonnes pratiques observé durant l'évaluation
ou de tout autre mesure qui pourrait s'appliquer à cette activité.
Emettre des recommandations d'amélioration appropriées.

Le RAI doit également communiquer les détails des actions correctives

planifiées pour les problèmes importants et rendre compte de la mise en œuvre
de ces mesures.

Conformité aux Normes

Les évaluations internes et externes d'une activité d'audit interne doivent pouvoir
évaluer et exprimer une opinion quant à la conformité de l'activité d'audit interne
à la Définition de l'audit interne, aux Code de déontologie et aux normes. Le
Guide de mise en oeuvre 1321 définit les notions de conformité et non-
conformité selon les Normes :
Le terme de « Conformité » signifie que les pratiques de l'activité d'audit
interne, dans leur ensemble, satisfont aux exigences de la Définition d'audit
interne, au Code de déontologie, et aux Normes ».
Le terme de « Non-conformité » signifie que « l'impact et la sévérité des
lacunes au niveau des pratiques d'audit interne sont importants car ils nuisent
à la capacité de l'audit interne d'assumer ses responsabilités ».

Le Guide de mise en oeuvre stipule aussi que le rapport sur l'évaluation

indépendante doit exprimer (si cela bénéficie l'opinion générale) le degré de
conformité partielle à la Définition d'audit Interne au Code de déontologie et/ou
aux Normes individuelles.

Selon l'interprétation de la Norme 1321 : « L’audit interne est en conformité avec

le Code de déontologie et les Normes lorsqu’il respecte ces exigences. Les
résultats du programme d’assurance et d’amélioration qualité incluent les
résultats des évaluations internes et des évaluations externes. Toute fonction
d’audit interne disposera des résultats d’évaluations internes. Les fonctions
d’audit interne qui ont plus de cinq ans d’ancienneté disposeront également des
résultats de leurs évaluations externes ».

Selon le cas, les évaluations doivent inclure des recommandations visant à

obtenir certaines améliorations.

La norme 1322 « Indication de non-conformité » stipule que « Quand la non-

conformité de l’activité d’audit interne avec la Définition de l’audit interne, le
Code de Déontologie ou encore les Normes a une incidence sur le champ
d'intervention ou sur le fonctionnement de l'audit interne, le responsable de
l’audit interne doit informer la direction générale et le Conseil de cette non-
conformité et de ses conséquences ».

Mise en œuvre de procédures d'assurance

qualité/Recommandation d'améliorations pour
l'activité d'audit interne
Le Manuel d'évaluation qualité de l'IIA donne des conseils spécifiques
concernant l'élaboration de rapports et les suivis des évaluations internes y
compris les recommandations suivantes :
Pour renforcer l'indépendance et l'objectivité de l'équipe d'évaluation, l'équipe
et le RAI doivent s'accorder sur les modalités de communication (moyen et
format) au début de l'évaluation.
Le RAI doit documenter par écrit une réponse/un plan d'action et un
calendrier de mise​ en œuvre pour chaque recommandation du rapport final
écrit.
Les copies des rapports finaux transmises à l'extérieur de l'activité d'audit
 interne doivent inclure une copie du plan d'action et de mise en œuvre de
l'activité d'audit interne.

La norme 1320 stipule que « le responsable de l'audit interne doit communiquer

les résultats du programme d'assurance et d'amélioration qualité à la direction
générale ainsi qu’au Conseil. Cette communication devrait inclure :
le périmètre et la fréquence des évaluations internes et externes ;
les qualifications et l’indépendance du ou de(s) évaluateur(s) ou de l’équipe
d’évaluateurs ;
y compris les conflits d’intérêts potentiels ;
les conclusions des évaluateurs ;
les plans d’actions correctives ».

L'interprétation de la norme 1320 clarifie les points inclus dans cette

communication : « Pour démontrer la conformité à la Définition de l’audit
interne, au Code de Déontologie et aux Normes, les résultats des évaluations
internes périodiques et des évaluations externes doivent être communiqués dès
l’achèvement de ces évaluations. Les résultats de la surveillance continue sont
quant à eux communiqués au moins une fois par an. Ces résultats incluent
l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur le degré de
conformité de l’activité d’audit interne ».

D'après le Manuel d'évaluation qualité de l'IIA, l'aspect le plus important de

l'évaluation externe est l'évaluation, par l'équipe, de la conformité de l'activité
d'interne aux Normes et à sa charte et inclut le champ d'utilisation des meilleures
pratiques ainsi que son programme d'amélioration progressive. Ces évaluations
ont aussi pour but d'examiner les possibilité d'amélioration et les
recommandations qui favoriseraient le respect des Normes, apporteraient de la
valeur aux clients, et en général, jouer un rôle de catalyseur pour promouvoir un
changement positif au sein d'une organisation.

Le processus de communication de l'évaluation externe implique un processus

systématique de conférences, un rapport préliminaire et un rapport final. Le
Conseil doit recevoir une copie du rapport d'évaluation externe de la qualité. Il
est de la responsabilité du RAI de réagir aux recommandations et d'établir un
plan d'action contenant des mesures correctives.
Dans la plupart des organisations le processus externe de communication de
l'évaluation est mené de la manière suivante :
Les résultats des évaluations externes sont communiqués à la direction
générale et au comité d'audit et décrits dans un rapport d'évaluation externe
de la qualité.
Le responsable de l'équipe d'audit externe peut être invité à effectuer des
présentations à l'encadrement supérieur de l'organisation et au comité d'audit
pour s'assurer que les opportunités identifiées sont bien comprises et garantir
un programme d'audit interne amélioré.
Les actions d'amélioration du programme d'audit interne prévues par le RAI
sont incluses dans le rapport.
Le RAI rend compte au comité d'audit pour communiquer les progrès réalisés
en matière de renforcement du programme d'audit interne.

Étapes suivantes
Vous avez terminé la Partie 1, Section I du CIA Learning System®. À
présent, vérifiez votre compréhension en effectuant le ou les tests en ligne
spécifiques à cette section pour vous aider à identifier tout contenu mal
assimilé.

Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez

maîtriser ces informations, vous pouvez passer à l'étude de la Section II.