A

AUDIT INTRNE
L3CCA/ESGIS

Chargé du Module : Dr MOWU

1|Page
A

t Interne
AUDIT INTERNE

La fonction d’audit interne est une fonction relativement récente puisque son apparition (ou sa
réapparition, diraient certains) remonte à la crise économique de 1929 aux États-Unis.

Section 1 : Naissance d’une fonction

1. Audit interne : fonction nouvelle

Les entreprises subissaient alors de plein fouet la récession économique et l’ordre du jour était
aux économies de toute nature. Les comptes furent passés au peigne fin en vue d’une réduction
des charges. Or les grandes entreprises américaines utilisaient déjà les services de Cabinets
d’audit externe, organismes indépendants ayant pour mission la certification des comptes,
bilans et états financiers. Là comme ailleurs, on chercha le moyen de réduire le montant des
dépenses et on s’avisa que pour mener à bien leurs travaux de certification les auditeurs externes
devaient se livrer à de nombreuses préparatoires : inventaires de toute nature, analyses de
comptes, sondages divers et variés, etc. On en vint donc tout naturellement à suggérer de faire
assumer certains de ces travaux préparatoires par du personnel de l’entreprise. Les cabinets
d’audit externe donnèrent leur accord sous la condition d’une certaine supervision.

Ainsi apparurent ces « auditeurs » puisqu’ils effectuaient des travaux d’audit, au sens où on
l’entendait alors, mais « internes » puisque membres à part entière des entreprises. Ils
participaient aux travaux courants des auditeurs externes sans toutefois en établir les synthèses
et les conclusions. « Petites mains », « sous-traitants » des auditeurs externes, ils permirent
d’atteindre l’objectif initialement fixé : l’allégement des charges des entreprises. Ainsi est né,
non pas la fonction mais le mot.

La crise passée, on continua à les utiliser puisqu’ils avaient acquis la connaissance et la pratique
de méthodes et outils appliqués au domaine comptable ; peu à peu ils en élargirent le champ
d’application et en modifièrent insensiblement les objectifs. Mais longtemps encore la fonction
d’audit interne va conserver dans la mémoire collective ce patrimoine héréditaire. Et ce d’autant
plus aisément qu’il s’agit là d’une histoire récente. Au regard des grandes fonctions
traditionnelles de l’entreprise : fonction de production, fonction commerciale, fonction
comptable… qui ont toujours existé, on mesure à quel point la fonction d’audit interne en est
encore à ses premiers pas.

Du caractère récent de la fonction d’audit interne résultent trois conséquences :

2|Page
  Situations hétérogènes
Bien que rassemblées au sein d’un même institut professionnel : l’Institut de l’Audit Interne
(IIA), les entreprises et organisations qui pratiquent l’audit interne en donnent un panorama
assez hétérogène.

Sans doute l’IIA traduit et contribue à promouvoir la pratique dominante qui peu à peu s’impose
à tous, mais cette pratique est, par la nature des choses, fortement colorée par la culture des
entreprises. Cette dimension culturelle se perçoit dans les formations, les organisations, les
méthodes de travail, le vocabulaire.

Les outils de travail eux-mêmes sont influencés par la culture. Telle entreprise à dominante
technique voit ses auditeurs privilégier les interrogations informatiques, sondages statistiques,
outils mathématiques, telle autre à dominante financière a un service d’audit utilisant de façon
préférentielle les ratios, les contrôles et les rapprochements comptables.

Certaines ne pratiquent la fonction que dans le domaine financier (le poids des origines) alors
que dans le même temps d’autres abordent des rivages encore peu explorés : techniques de
pointe, management général, environnement, etc.

 Vocabulaire instable

Le vocabulaire traduit l’importance de cette dimension culturelle. Les organisations qui n’en
sont qu’au début vont utiliser un vocabulaire très largement inspiré des pratiques des auditeurs
externes, l’usage imprudent d’un « mauvais mot » pouvant parfois même conduire à des
divergences doctrinales.

Mais plus simplement, et plus généralement, le vocabulaire est emprunté à une fonction voisine,
il n’est pas spécifique : papiers de travail, référencement, ajustement, certification, conformité,
reporting, etc. sont des mots antérieurs à la fonction d’audit interne et que celle-ci s’est
appropriée avec une propension plus ou moins grande selon l’ancienneté du service.

 Divergences doctrinales

Elles sont perceptibles dans les ouvrages, dans les discours, elles se traduisent dans la pratique
des entreprises. Toutes ont pour fondement la conception même de l’audit interne selon que
l’on considère le caractère répressif ou préventif du rôle de l’auditeur.

Dans le premier cas, on le redoute car il sert de révélateur d’erreurs, de fraudes, de

malversations en tout genre. Dans le second cas, il est attendu, sollicité pour ses
recommandations qui permettent aux responsables de progresser par une meilleure maîtrise de
leur activité. Ces deux conceptions de l’audit interne sont divergentes, elles conduisent à la mise
en œuvre d’une démarche et de techniques d’audit singulières, à l’établissement de conclusions

3|Page
de nature différente. Elles impliquent également des profils d’auditeurs tout à fait
dissemblables, avec des psychologies spécifiques. La conception « policière » conduit à faire
fonctionner les services d’audit interne avec des cadres très confirmés, dotés de solides
compétences professionnelles.

Dans le second cas, au contraire, la démarche de « conseil » et de « consultant » conduit plutôt

à affecter à l’audit interne de jeunes cadres à haut potentiel, qui quitteront l’audit interne dès
qu’ils auront tiré le maximum de profit de l’exercice de la fonction : acquisition d’une parfaite
connaissance de l’entreprise dans toutes ses dimensions et acquisition d’une méthodologie
permettant d’assumer des responsabilités avec sécurité et efficacité.

Peu à peu tous s’accordent pour ne pas confondre « audit interne » et « inspection », et de fait
nous verrons que la grande majorité des entreprises retient aujourd’hui la conception du conseil
et du consultant conformément à la nouvelle définition de l’audit interne ; ce qui n’exclut pas
les tendances et les nuances.

2. Audit interne : fonction universelle

Ce qualificatif doit être compris dans un double sens : c’est une fonction universelle car elle
s’applique à toutes les organisations, mais c’est aussi une fonction universelle car elle
s’applique à toutes les fonctions là où elle s’exerce.

2.1. Application à toutes les organisations

Le terme « entreprise » est insuffisant pour qualifier le champ d’application de l’audit interne.
La fonction ne se confond pas nécessairement avec une structure propre. On peut imaginer une
fonction d’audit interne sans service spécifique, mise en œuvre par d’autres agents de
l’entreprise. Quels sont ces « autres agents » qui pourraient éventuellement mettre en œuvre la
fonction dans un organisme qui ne posséderait pas de service spécifique ?

 ce pourrait être le chef d’entreprise lui-même, dans ce cas juge et partie, mais qui pourrait
améliorer son diagnostic, et donc sa gestion, par l’utilisation de la méthodologie d’audit.
On verra que cette tendance se développe avec le self-audit ;
 ce pourrait être aussi un de ses collaborateurs directs, mais on s’éloignerait encore plus
de la norme et donc des conditions de fonctionnement de l’audit interne.

Cette situation ne serait donc pas sans poser de graves problèmes d’incompatibilités
éventuelles, mais l’évoquer revient à souligner à quel point la fonction peut être indépendante
de la taille de l’entreprise. Et même si la dimension est souvent invoquée comme un obstacle à
l’implantation d’un service d’audit interne, elle ne peut véritablement être retenue que pour les
petites structures. Dans les moyennes entreprises, il s’agit bien davantage d’une résistance
culturelle, largement due à un manque d’information.

4|Page
Si l’audit interne s’applique à toutes les tailles d’entreprises, il s’applique également à toutes
les natures d’entreprises. L’entreprise à vocation commerciale est autant concernée que
l’entreprise industrielle ou l’entreprise de services.

C’est probablement dans cette dernière catégorie, excepté le secteur bancaire, que la fonction
d’audit interne a encore le moins pénétré, et sans doute parce que la dimension multinationale
qui a favorisé le développement de la fonction, s’est d’abord rencontrée dans les secteurs
industriel et bancaire.
Au-delà des entreprises, les associations de toute nature, les sociétés civiles et même les
organismes confessionnels ou religieux peuvent et doivent être intéressés par cette fonction dès
l’instant qu’ils ont acquis une certaine dimension.

Dans chacune de ces organisations l’audit interne et cela n’est pas encore clairement perçu par
tous – s’applique à toutes les fonctions sans exclusive.

2.2. Application a toutes les fonctions

Nombreux sont encore ceux qui, lorsqu’on parle d’audit interne, pensent fonction financière et
comptable. La fonction a, de fait, largement débordé ses limites historiques et concerne, sinon
dans la pratique, à tout le moins dans sa conception théorique, toutes les fonctions sans
restriction aucune. On peut donc décliner toutes les fonctions de l’entreprise : l’auditeur interne
va y exercer ses activités pour le plus grand profit de tous.

 Fonction financière et comptable

Comptabilité, trésorerie, sont bien évidemment inscrites au plan d’audit interne, mais avec des
objectifs complémentaires par rapport à ceux assignés aux auditeurs externes. Nous verrons, à
l’occasion du positionnement de la fonction, en quoi ces objectifs diffèrent. Mais nous verrons
aussi à quel point audit interne et audit externe sont appelés à collaborer, tant est grande la
complémentarité de leur action.

 Fonction commerciale et logistique

Marketing, ventes, publicité, stockage, transports, tous ces domaines doivent être explorés par
l’auditeur interne. On perçoit bien que dans cette approche, l’aspect financier et comptable n’est
pas seul concerné. L’universalité des objectifs de l’audit interne conduit à analyser tous les
autres aspects de la fonction : relations commerciales et publicité, solvabilité du client, qualité
des livraisons, recherche des prospects, etc.

 Fonction fabrication/production

Au sens le plus large du terme, c’est-à-dire incluant aussi bien l’examen des installations de
fabrication, que celui de la production, de la maintenance, des investissements, de la sécurité
industrielle, etc. Ce qui veut dire en clair que l’auditeur interne est présent aussi bien dans les

5|Page
usines et sur les chantiers que dans les bureaux. Sans doute, la réunion d’un certain nombre de
conditions est-elle nécessaire pour parvenir à cette situation, en particulier l’exigence d’une
culture technique, à tout le moins pour les entreprises à haute technologie.

Mais, si on veut donner à la fonction la plénitude de sa dimension on comprend bien qu’il est
nécessaire que l’équipe d’audit interne soit composée d’auditeurs de toutes origines et de toutes
formations, ce qui est d’ailleurs préconisé par les normes professionnelles.

 Fonction informatique et pas seulement l’informatique de gestion

L’auditeur informatique qui n’est pas un auditeur ayant appris l’informatique, mais
nécessairement un informaticien formé à la méthodologie et aux outils d’audit interne, cet
auditeur informatique exerce son talent dans cinq directions fondamentales :
 l’audit des centres informatiques, et pas seulement les centres informatiques de gestion
mais également l’informatique industrielle, l’informatique de « process » comme disent
les Anglo-Saxons, c’est-dire celle qui concourt à la fabrication automatisée. Bref partout
où il y a du hardware, il y a matière à audit ;
 l’audit de la bureautique dans toute son étendue, sa diversité et sa complexité ;
 l’audit des réseaux informatiques, nécessaire complément des deux points antérieurs,
lequel exige de la part des auditeurs un niveau de compétence technique assez élevé.
C’est-à-dire que toutes les équipes d’audit ne sont pas en mesure d’aborder ces
questions ; il leur faut alors trouver des solutions de substitution ;
 l’audit des systèmes en exploitation et des logiciels applicatifs. Ce domaine recouvre ici
l’ensemble des autres fonctions de l’entreprise dans la mesure où celles-ci font largement
appel à l’informatique. L’audit informatique est alors dans ce cas particulier une
spécificité de chacune des fonctions ;
 l’audit des systèmes en développement qui présente les mêmes caractéristiques que le
précédent puisqu’il se situe en amont de l’exploitation. Il faut ici souligner que le rôle de
l’auditeur ne peut pas et ne doit pas se confondre avec celui des responsables en charge
du développement. Là comme ailleurs, l’auditeur n’est pas celui qui « fait les choses »,
mais celui qui « regarde comment les choses sont faites ».

 Fonctions de gestion

Nous englobons sous ce vocable tout ce qui a pu être omis dans l’énumération antérieure.
Gestion du personnel, au sens le plus large et dans toutes ses composantes, logistique générale
de l’entreprise, depuis le nettoyage des bureaux jusqu’à l’archivage en passant par le
gardiennage et l’imprimerie, toutes ces activités doivent être inscrites au programme de travail
de l’auditeur interne. Et comme il y a de plus en plus de fonctions codifiées et normalisées, le
champ ne cesse de s’étendre : hier la qualité, aujourd’hui l’environnement.

 Fonction audit interne

L’audit interne étant une fonction et toutes les fonctions ayant vocation à être auditées, il va de
soi que l’audit interne doit également être audité et donc prendre sa place dans l’énumération
ci-dessus. Mais comment réaliser cet audit de l’audit, sorte de pari impossible ?

6|Page
  Fonction managériale
Certains affirment qu’il faut l’exclure, qu’elle constitue l’exception qui confirme la règle. Il
s’agit là sans nul doute d’un repli devant la difficulté car il n’est pas douteux qu’étendre ainsi
l’audit interne n’est pas chose aisée, en effet, il convient de vaincre un double obstacle :

 l’obstacle créé par la Direction Générale elle-même qui, si elle ne connaît pas bien la
fonction, ou pire encore, si elle s’en fait une idée fausse, ne donnera pas son aval à une
telle entreprise ;
 l’obstacle créé par l’auditeur interne lui-même qui aura à veiller à ne pas porter de
jugement sur la nature de l’action de la Direction, ce qui bien évidemment, va rendre sa
tâche difficile.

Pour l’essentiel, l’audit interne est une fonction universelle, et c’est aussi une fonction
périodique.

2.3. Audit interne : fonction périodique

C’est une fonction permanente dans l’entreprise, mais c’est une fonction qui est périodique pour
ceux qui la rencontrent. Les « audités » (chefs de service, chefs de départements, Directeurs)
reçoivent les auditeurs en mission pour une semaine ou deux semaines ou trois mois ; puis,
mission terminée, ceux-ci s’en vont. Ils reviendront dans deux ans, dans trois ans ou dans cinq
ans selon une fréquence qui sera fonction de l’importance du risque dans l’activité auditée.
Donc fonction à éclipses dans la mesure où le travail n’est pas exercé en permanence au même
endroit.

Mais les activités permanentes de l’audit interne qui du 1er janvier au 31 décembre va tourner
dans l’entreprise pour exercer ses missions dans tous les secteurs.

Cette périodicité des missions est calculée selon le risque de chaque activité : activité à haut
risque ? Cela implique des missions fréquentes.

Activités à risque faible ? Cela implique des missions plus espacées dans le temps.

Un service d’audit interne bien organisé doit donc impérativement disposer d’un outil de
mesure du risque pour calculer la fréquence de ses missions. Il est intéressant de souligner, dès
à présent, que le caractère permanent implique pour l’auditeur interne l’exclusion de toute
responsabilité dans des fonctions opérationnelles en dehors de ses missions d’audit. Cette règle
est à la fois une nécessité pratique et une exigence déontologique. C’est une nécessité pratique
car on ne peut être à la fois juge et partie, auditeur et responsable opérationnel. C’est également
une exigence déontologique car elle est imposée par la nécessité de tout auditer et de le faire
sans aucun subjectivisme.

7|Page
Section 2 - Champ d’application

Tout comme la technique comptable distingue les dépenses par nature et les dépenses par
destination, critère de la distinction entre comptabilité générale et comptabilité analytique, de
même l’audit interne distingue un classement par objectifs (ou par nature) et un classement par
destination, l’un et l’autre pouvant être disposés dans un tableau à double entrée.

1. Audit de conformité

L’audit de conformité correspond à la démarche simple et traditionnelle de l’auditeur et qui va

consister à vérifier la bonne application des règles, procédures, descriptions de poste,
organigrammes, systèmes d’information, etc. en bref, il va comparer la règle et la réalité, ce qui
devrait être et ce qui est.

Autrement dit, il va travailler par rapport à un référentiel et c’est en cela que son travail est
relativement simple. L’auditeur, s’étant informé sur tout ce qui devrait être, signale au
responsable les distorsions, les non-applications (évitables ou inévitables), les mauvaises
interprétations des dispositions établies ; il en analyse les causes et les conséquences et
recommande ce qu’il convient de faire pour qu’à l’avenir les règles soient appliquées. Cette
mission est rapportée à l’audité qui en fait son profit.

Avec les manquements graves et répétés aux différentes législations et réglementations,

constatés récemment, l’audit de conformité semble bien prendre une importance accrue et est
toujours d’actualité.

2. Audit d’efficacité

Progressivement les objectifs assignés à l’auditeur interne ont été élargis. Étant devenu un
spécialiste du diagnostic, de l’appréciation des méthodes, procédures, analyses de postes,
organisation du travail, l’auditeur a pris l’habitude d’émettre une opinion, non plus seulement
sur la bonne application des règles, mais également sur leur qualité.

Dans cette démarche, l’auditeur interne est d’autant plus efficace que son professionnalisme, sa
connaissance de l’entreprise, son savoir-faire dans la fonction auditée sont plus importants. On
voit tout naturellement s’esquisser le partage des tâches : à l’auditeur junior les audits de
conformité et de régularité, mais à l’auditeur senior, plus expérimenté, les audits d’efficacité.
Lorsqu’on parle d’audit d’efficacité, on va au plus simple englobant à la fois les notions
d’efficacité et d’efficience. C’est pourquoi, il serait plus cohérent de parler d’audit de
performance, mais le vocable « audit d’efficacité » est maintenant entré dans la pratique.

3. Audit de management

Il ne s’agit pas, d’auditer la Direction Générale en portant un quelconque jugement sur ses
options stratégiques et politiques.

8|Page
L’audit du management, c’est observer les choix et les décisions, les comparer, les mesurer
dans leurs conséquences et attirer l’attention sur les risques ou les incohérences. L’audit de
management va consister à réaliser l’audit de ce processus d’élaboration de la stratégie ; donc
là également, audit de conformité mais portant sur une matière noble, dans laquelle la Direction
Générale est impliquée au premier chef, savoir le respect des règles définies pour l’élaboration
de la stratégie.

4. Audit de stratégie

On commence à parler d’audit de stratégie, conçu comme une confrontation de l’ensemble des
politiques et stratégies de l’entreprise avec le milieu dans lequel elles se situent pour en vérifier
la cohérence globale. Cette conception confirme la pétition de principe en vertu de laquelle
l’auditeur interne ne saurait en aucun cas prétendre apprécier les politiques et stratégies, son
rôle se limite à souligner éventuellement les incohérences. Observons cependant que ces
simples révélations peuvent conduire la direction générale à modifier au fond tel ou tel point
pour retrouver une cohérence globale.

Il s’agit là d’audits de haut niveau, exigeant des compétences sérieuses et qui – en dépit des
déclarations – ne sont encore pratiqués que par quelques-uns. Il est certain que cette ultime
étape en cours de développement laisse présager des conceptions plus élaborées de l’audit
interne. Les avancées pressenties sur l’audit du gouvernement d’entreprise prennent place dans
ce contexte.

Section 3- Définitions

Fonction évolutive, l’audit interne a vu se succéder plusieurs définitions avant que la notion ne
soit stabilisée.
Nous retenons dans ce cours la position de l’IIA.

1. Définition de l’Audit Interne

Suivant la définition d’audit Interne de l'IIA, « L’audit interne est une activité indépendante
et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses
opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée. Il aide une organisation à atteindre ses objectifs en apportant une approche
systématique et rigoureuse pour évaluer et améliorer l'efficacité des processus de gestion
des risques, contrôle et gouvernance ».
Comme défini dans le Glossaire des Normes, l'activité d’audit interne est « un département,
une division, une équipe de consultants ou tout autre professionnel qui fournit une assurance
indépendante, objective et des services de conseils qui apportent de la valeur et améliorent les
opérations d'une organisation ». Les activités d’audit interne sont souvent désignées par
l’acronyme GRC (gouvernance, risque et contrôle).

9|Page
 L’audit interne est mené par des professionnels ayant une connaissance approfondie de la
culture, des systèmes, et des processus d'affaires. Les activités d’audit interne peuvent être
effectuées par des personnes internes ou extérieures à l’organisation.

Les auditeurs internes sont la conscience et les conseillers d’une organisation et permettent de
favoriser l’efficacité des opérations, le contrôle interne et la gestion des risques. Ils informent
la direction et le conseil d'administration (et/ou d'autres structures de surveillance de
gouvernance) et leur soumettent des recommandations dans le but d'aider l'organisation à
atteindre ses objectifs. Pour remplir ces responsabilités, les auditeurs internes doivent faire
preuve de professionnalisme, objectivité, connaissance, intégrité et leadership.
Le texte suivant définit et explique les termes clés de la définition d’audit Interne.
1.1. Indépendance organisationnelle et objectif individuel

La première partie définit l'audit interne comme étant une « . . . assurance indépendante et
objective et une activité de conseil . . . . » L'indépendance et l'objectivité individuelle de
l'organisation constituent la base même de l'audit interne; toute confiance des parties prenantes
dans le travail des auditeurs repose sur ce fondement.

La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation ». Le Glossaire des Normes définit
le RAI comme « occupant un poste de direction chargé de gérer efficacement l'activité d'audit
interne conformément à la charte de l'audit interne et à la Définition de l'audit interne, au Code
de déontologie et aux Normes ». Que représente l'indépendance organisationnelle pour un
auditeur interne qui lui est après tout généralement un employé ?

L'indépendance organisationnelle existe lorsque le RAI : (Responsable de l’Audit Interne)

 Communique son rapport au Conseil sur le plan fonctionnel,
 A un accès direct et non restreint au Conseil,
 Communique son rapport sur le plan administratif au directeur général ou tout autre
responsable de l'organisation ou à un autre niveau de l'organisation à partir du moment
où l'activité d'audit interne contrôle sans ingérence la portée et la performance de travail
et la communication des résultats.
Les parties prenantes doivent être bien conscientes que les auditeurs internes peuvent examiner
tous les domaines de l'organisation tout en restant impartiaux et sans se laisser influencer par
d'autres.

L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts qu'ils soient
évidents ou apparents, ce qui signifie que si une situation pourrait être perçu comme un conflit
d'intérêt cela pourrait nuire à la crédibilité de l'auditeur interne.

1.2. Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999 seulement, mais il
reflète le rôle croissant de l’audit interne au niveau des conseils à valeur ajoutée et des

10 | P a g e
suggestions liées aux décisions axées sur l'avenir. Les auditeurs peuvent participer au niveau
décisionnel car les processus sont en cours d’évolution pour que les contrôles adéquats soient
mis en place dans le cadre de nouveaux projets ou processus et ce depuis leur création. À partir
du moment où les auditeurs internes indiquent clairement qu’ils ne prennent aucune décision
d'eux-mêmes, cela ne compromet pas l’indépendance lorsque ces derniers donnent un conseil
ou proposent des suggestions.

1.3. Évaluer et améliorer l’efficacité de gestion des risques, du contrôle et de la

gouvernance.
La dernière partie de la définition d'audit interne traite de l’évaluation et de l’efficacité de la
gestion des risques, du contrôle et de la gouvernance. Tandis que la définition originale de
l'audit interne ne mentionne que le contrôle, si la direction générale et le Conseil le souhaitent,
l’audit interne peut et doit fournir une évaluation plus complète de la gestion des risques et du
processus de gouvernance de l’organisation.

Les auditeurs internes étaient et sont souvent les premiers à établir une évaluation complète de
la gestion des risques d’une entreprise et la plupart d’entre eux ont participé à la mise en place
de cette fonction au sein d'une organisation. Pour éviter toute perte d’indépendance ou
d’objectivité, certaines organisations ont nommé un auditeur interne au poste de responsable de
la gestion des risques tandis que d’autres organisations déterminent ces activités de gestion des
risques dans le cadre de missions de conseil.

1.4. Interconnexion des risques, du contrôle et de la gouvernance

Les risques, le contrôle et la gouvernance définissent les activités d'une entreprise. Les
organisations qui réussissent ne privilégient aucun de ces trois éléments, mais reconnaissent la
puissante interaction et les avantages des trois.

Ensembles, le risque, le contrôle et la gouvernance déterminent largement la capacité d'une

organisation à réussir sur son marché. Lorsqu'elles sont mises en places correctement et bien
exécutées, ces trois activités prennent également en charge des interactions enrichissantes avec
les parties prenantes de l'organisation.

Les auditeurs internes doivent être compétents dans chacune des trois activités. D'après les
exigences de la norme 2100, « Nature du travail » : La mise en œuvre du Cadre des pratiques
professionnelles résume succinctement la façon dont les auditeurs internes doivent évaluer et
contribuer à l'amélioration de la gestion des risques, du contrôle et des systèmes de
gouvernance. Ces points sont présentés comme suit :

Risque
Aider une organisation à gérer le risque :

 En identifiant et en évaluant les expositions importantes au risque,

 En contribuant à l’amélioration des systèmes de contrôle et de gestion des risques,
 En surveillant et en évaluant le système de gestion des risques.

11 | P a g e
Contrôle
Aider une organisation à conduire des contrôles efficaces :

 En évaluant l’efficacité et l’efficience des contrôles,

 En favorisant l’amélioration continue de l’environnement de contrôle.

Gouvernance
Aider une organisation à évaluer le processus de gouvernement d’entreprise et formuler des
recommandations en vue de son amélioration. A cet effet, il détermine si le processus répond
aux objectifs suivants :

 promouvoir l’éthique et les valeurs appropriées au sein de l’organisation ;

 assurer une gestion et une responsabilité efficaces des performances organisationnelles ;
 communiquer efficacement les informations relatives au risque et au contrôle aux
secteurs appropriés de l’organisation ;
 communiquer efficacement les informations au Conseil, aux auditeurs internes et
externes et à la Direction et coordonner leurs activités.

L'activité d'audit interne doit déterminer la meilleure façon de réaliser les activités dans les trois
domaines. Des facteurs tels que la culture organisationnelle, le rôle du groupe d'audit interne
dans l'organisation et les attentes des intervenants aideront à forger les pratiques spécifiques
d'audit interne.

2. Code de d’éthique
Les codes de déontologie contribuent à encourager un comportement conforme à l'éthique, à
prévenir les agissements contraires à l'éthique et à faire face aux dilemmes éthiques.
Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des normes de
conduite généralement acceptées et profitables à une organisation comme à ses clients. Il établit
une approche uniforme pour orienter les comportements. La conduite éthique dépend bien sûr
d'un engagement à « bien agir », mais elle requiert également une vision claire de ce qu'est la
bonne action. Avoir une vision nette des questions éthiques peut parfois être difficile. Les
conflits d'intérêt soulevés presque inévitablement par toute profession ayant plusieurs
responsabilités (envers la profession elle-même, envers les collègues, envers les clients, envers
les employeurs et envers la communauté) jettent parfois une ombre sur la ligne séparant la
bonne action de l'action habituelle, de l'action facile ou de l'action rentable.

2.1. Respecter et favoriser le respect du Code de déontologie de l'IIA

L’IIA met en œuvre son Code de déontologie « pour promouvoir une culture éthique chez
les auditeurs internes professionnels ». Le Code « établit les principes fondamentaux
pertinents pour la profession et pour la pratique de l’audit interne. Il décrit les règles de
conduite décrivant les normes de comportement attendues des auditeurs internes ».

12 | P a g e
 Le glossaire des Normes définit le Code de déontologie de l’IIA comme « une mise en œuvre
pratique des principes fondamentaux de l'audit interne et a pour but de guider la conduite
éthique des auditeurs internes. Le Code de déontologie s’applique aux parties et entités
qui fournissent des services d’audit interne ».

L’IIA fonde son Code de déontologie sur 4 principes fondamentaux de conduite

professionnelle : la confidentialité, l’objectivité, la compétence et l’intégrité. Le Code
interprète chacun de ces quatre principes en décrivant ce que chacun signifie et en spécifiant
les Règles de conduites correspondantes, lesquelles fournissent un guide de mise en pratique
des principes proposés en théorie.
Le Code fait plus qu’exiger une conduite déontologique, il définit cette conduite en détail.

Tous les RAI (quel que soit leur état de service actuel) doivent se soumettre au Code de
déontologie de l’IIA, tel que montré dans l’illustration I-3 plus bas.

 Domaines dans lesquels des conflits d’intérêts potentiels peuvent survenir

Il n’est pas difficile de repérer les potentiels conflits d’intérêts soulevés dans le Code. Par
exemple, selon le premier principe, à savoir l'intégrité, l'auditeur doit divulguer les informations
appropriées dès que la loi ou la profession l'exige. Sous le sceau de la confidentialité, l’auditeur
est chargé de respecter la confidentialité de l’information à moins qu’il soit légalement ou
professionnellement obligé de la révéler.

 Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services
d’audit interne. Toute violation du Code de Déontologie par des membres de l’Institut, des
titulaires de certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet
d’une évaluation et sera traitée en accord avec les statuts de l’Institut et ses directives
administratives. Le fait qu’un comportement donné ne figure pas dans les règles de conduite ne
l’empêche pas d’être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire
à l’encontre de la personne qui s’en est rendu coupable.

2.2. Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
 Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la
crédibilité accordées à leur jugement.
 Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité
professionnelle en collectant, évaluant et communiquant les informations relatives à
l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable

13 | P a g e
 tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intérêts ou par autrui.
 Confidentialité : Les auditeurs internes respectent la valeur et la propriété des
informations qu’ils reçoivent; ils ne divulguent ces informations qu’avec les
autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige
à le faire.
 Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les
savoir-faire et expériences requis pour la réalisation de leurs travaux.

2.3. Règles de conduite

2.3.1. Intégrité

Les auditeurs internes :

a) Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.

b) Doivent respecter la loi et faire les révélations requises par les lois et les règles de la
profession.
c) Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes
déshonorants pour la profession d’audit interne ou leur organisation.
d) Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

2.3.2. Objectivité
Les auditeurs internes :

e) Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce
principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en
conflit avec les intérêts de leur organisation.
f) Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
g) Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.

2.3.3. Confidentialité
Les auditeurs internes :

h) Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de
leurs activités.
i) Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs
éthiques et légitimes de leur organisation.

14 | P a g e
 2.3.4. Compétence
Les auditeurs internes :

j) Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le
savoir-faire et l’expérience nécessaires.
k) Doivent exercer des services d'audit interne en accord avec les Normes internationales
pour la pratique professionnelle de l'audit interne.
l) Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.

L'objectivité peut être compromise si l'auditeur interne doit auditer un département dans lequel
il a travaillé au cours des 12 derniers mois, ou prévoit d'y travailler dans un futur proche. La
norme 1130.A1, « Atteinte à l'indépendance et à l'objectivité », donne des conseils
spécifiques sur ce type de conflit et indique, « Les auditeurs internes doivent s'abstenir d'auditer
des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur
interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a
eu la responsabilité au cours de l’année précédente ».
Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut être difficile,
en début de mission, de déterminer si une personne est ou n'est pas compétente pour ladite
mission, surtout lorsque la fierté professionnelle ou l'éventualité d'une promotion semble être
en jeu. L'aveu « Je ne peux pas le faire » ne suscite généralement que très peu de soutien.
Cependant, les principes du Code et Règles de conduite sont à appliquer obligatoirement
seulement lorsque ceux-ci sont compatibles avec les principes législatifs.

Ces situations de conflits d'intérêts font de la conduite éthique un défi - c'est pour cela que les
codes de conduites sont nécessaires. Dans une situation qui n'est pas couverte par les Règles
de conduite, l'auditeur doit appliquer les principes pour déterminer l'attitude éthique. Il peut être
aussi utile de demander conseil à ceux qui peuvent avoir une plus grande objectivité ou plus
d'expérience.

Section 4- Normes internationales pour la pratique professionnelle de l’audit interne (les

normes)
L’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans
des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en
outre exercé par des professionnels de l'audit, internes ou externes à l'organisation.
Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque
environnement, il est essentiel de se conformer aux Normes internationales pour la pratique
professionnelle de l'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs
internes et l’audit interne s'acquittent de leurs responsabilités.

Les Normes ont pour objet :

15 | P a g e
  de définir les principes fondamentaux de la pratique de l'audit interne ;
 de fournir un cadre de référence pour la réalisation et la promotion d'un large champ
d’intervention d'audit interne à valeur ajoutée ;
 d'établir les critères d'appréciation du fonctionnement de l'audit interne ;
 de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes sont des principes obligatoires constituées :

 de déclarations sur les conditions fondamentales pour la pratique professionnelle de
l’audit interne et pour l’évaluation de sa performance. Elles sont internationales et
applicables tant au niveau du service qu’au niveau individuel ;
 d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.

Les Normes se composent des Normes de qualification, des Normes de fonctionnement. Les
Normes de qualification énoncent les caractéristiques que doivent présenter les organisations et
les personnes accomplissant des missions d'audit interne. Les Normes de fonctionnement
décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant
de mesurer la performance des services fournis. Les Normes de qualification et les Normes de
fonctionnement s’appliquent à tous les services d’audit.

Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de
fonctionnement en indiquant les exigences applicables dans les activités d’assurance (A) ou de
conseil (C).

Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en
vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une
opération, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne
détermine la nature et l'étendue des missions d’assurance.

Elles comportent généralement trois types d'intervenants :

 la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction, le
processus, le système ou le sujet examiné – autrement dit le propriétaire du processus,
 la personne ou le groupe réalisant l'évaluation – l'auditeur interne, et
 la personne ou le groupe qui utilise les résultats de l'évaluation – l'utilisateur.

Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et
leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux
intervenants :
 la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne, et
 la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la
réalisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et
n'assumer aucune fonction de management.

Les Normes s’appliquent aux auditeurs internes et à l'activité d’audit interne. Tous les auditeurs
internes ont la responsabilité de se conformer aux Normes relatives à l’objectivité, aux

16 | P a g e
compétences et à la conscience professionnelle individuelles. De plus, ils doivent se conformer
aux Normes relatives aux responsabilités associées à leur poste. Les responsables de l’audit
interne ont la responsabilité d’assurer la conformité globale de l'activité d’audit interne avec les
Normes et d’en rendre compte.

1. Normes de qualification

 1000 – Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement
définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le
Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir
périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale
et du Conseil.

Interprétation :
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les
responsabilités de cette activité. La charte définit la position de l'audit interne dans
l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l’audit
interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires
à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation
finale de la charte d’audit interne relève de la responsabilité du Conseil.

1000.A1 - La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions
d'assurance à l'extérieur de l'organisation, leur nature doit être également définie
dans la charte d'audit interne.

1000.C1 - La nature des missions de conseil doit être définie dans la charte d'audit
interne.

 1010 - Reconnaissance de la définition de l’audit interne, du Code de Déontologie

ainsi que des Normes dans la charte d'audit interne
Le caractère obligatoire de la définition de l'audit interne, du Code de Déontologie ainsi que
des Normes doit être reconnu dans la charte d'audit interne.
Le responsable de l’audit interne présente la définition de l’audit interne, le Code de
Déontologie ainsi que les Normes à la direction générale et au Conseil.

 1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux
avec objectivité.
Interprétation :
L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses
responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice
de ses responsabilités, le responsable de l’audit interne doit avoir un accès direct et non

17 | P a g e
restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double
rattachement. Les atteintes à l’indépendance doivent être appréhendées à différents niveaux :
 au niveau de l’auditeur interne ;
 au niveau de la conduite de la mission ;
 au niveau de l’audit interne et de son positionnement dans l’organisation.

L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans
compromis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre
jugement à celui d’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité
doivent être appréhendées au niveau de :
 l’auditeur interne ;
 la conduite de la mission ;
 l’audit interne et de son positionnement dans l’organisation.

 1110 - Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de
l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le
responsable de l’audit interne doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation.
Interprétation :
L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
 approuve la charte d’audit interne ;
 approuve le plan d’audit interne fondé sur l’approche par les risques ;
 approuve le budget et les ressources prévisionnels de l’audit interne ;
 soit destinataire des informations adres++sées par le responsable d’audit relatives à
la réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ;
 approuve les décisions liées à la nomination et à la révocation du responsable de l’audit
interne ;
 approuve la rémunération du responsable de l’audit interne ;
 demande des informations pertinentes au management et au responsable de l’audit
interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.

1110.A1 - L'audit interne ne doit subir aucune ingérence lors de la définition de

son champ d'intervention, de la réalisation du travail et de la communication des
résultats.

 1111 - Relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le
Conseil.
 1120 – Objectivité individuelle

18 | P a g e
Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter
tout conflit d'intérêt.
Interprétation :

Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui
jouit d’une position de confiance, a un intérêt personnel ou professionnel venant en
concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur
d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si
aucun acte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer
une situation susceptible d’entamer la confiance en l’auditeur interne, vis-à-vis du service
d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacité d’un
individu à conduire ses activités et exercer ses responsabilités de manière objective.

 1130 – Atteinte à l'indépendance ou à l'objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou
même en apparence, les parties concernées doivent en être informées de manière précise. La
forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.
Interprétation :
Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle,
peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les
restrictions d'accès aux dossiers, aux personnes et aux biens, ainsi que les limitations de
ressources telles que des limitations financières.
L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à
l'indépendance dépend d’une part des attentes de la direction générale et du Conseil, telles que
décrites dans la charte d'audit interne, en termes de responsabilités de l’audit interne et du
responsable d’audit interne, et d’autre part de la nature de cette atteinte.

1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations

particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur
interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une
activité dont il a eu la responsabilité au cours de l'année précédente.

1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable

de l'audit a la charge doivent être supervisées par une personne ne relevant pas de
l'audit interne.

1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de
conseil liées à des opérations dont ils ont été auparavant responsables.

1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont

susceptibles d'être compromises lors des missions de conseil qui leur sont
proposées, ils doivent en informer le client donneur d'ordre avant de les accepter.

 1200 – Compétence et conscience professionnelle

19 | P a g e
Les missions doivent être conduites avec compétence et conscience professionnelle.

 1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit
interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de ses responsabilités.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique
utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer
pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs
internes sont encouragés à démontrer leurs compétences en obtenant des certifications et
qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout
autre diplôme promu par l’IIA ou par d’autres organisations professionnelles appropriées.

1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de

personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances,
le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou
partie de leur mission.

1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantes

pour évaluer le risque de fraude et la façon dont ce risque est géré par
l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne
dont la responsabilité première est la détection et l'investigation des fraudes.

1210.A3 - Les auditeurs internes doivent posséder une connaissance suffisante des
principaux risques et contrôles relatifs aux technologies de l'information, et des
techniques d'audit informatisées susceptibles d'être mises en oeuvre dans le cadre
des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas
censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit
informatique.

1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseil

ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne
possèdent pas les connaissances, le savoir-faire et les autres compétences
nécessaires pour s'acquitter de tout ou partie de la mission.

 1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut
attendre d'un auditeur interne raisonnablement averti et compétent. La conscience
professionnelle n'implique pas l'infaillibilité.

1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments suivants :

20 | P a g e
  l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;
 la complexité relative, la matérialité ou le caractère significatif des domaines
auxquels sont appliquées les procédures propres aux missions d'assurance ;
 l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de
management des risques et de contrôle ;
 la probabilité d'erreurs significatives, de fraudes ou de non-conformité;
 le coût de la mise en place des contrôles par rapport aux avantages escomptés.

1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur

interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse
des données.

1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à

l'égard des risques significatifs susceptibles d'affecter les objectifs, les opérations
ou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont
menées avec la conscience professionnelle requise, ne garantissent pas que tous les
risques significatifs seront détectés.

1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute
leur conscience professionnelle, en prenant en considération les éléments suivants
:
 les besoins et attentes des clients, y compris sur la nature, le calendrier et la
communication des résultats de la mission ;
 la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les
objectifs fixés ;
 son coût par rapport aux avantages escomptés.

 1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences
par une formation professionnelle continue.

 1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et
d'amélioration qualité portant sur tous les aspects de l'audit interne.
Interprétation :
Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :
 la conformité de l’audit interne avec la définition de l’audit interne et les
Normes ;
 le respect du Code de Déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité
d’audit interne et d’identifier toutes opportunités d’amélioration.

 1310 – Exigences du programme d'assurance et d'amélioration qualité

21 | P a g e
Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes
qu’externes.
 1311 – Évaluations internes
Les évaluations internes doivent comporter :
 une surveillance continue de la performance de l'audit interne ;
 des évaluations périodiques, effectuées par auto-évaluation ou par d'autres
personnes de l'organisation possédant une connaissance suffisante des
pratiques d'audit interne.

Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du
suivi de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et
les pratiques courantes de gestion du service d’audit interne. Ce contrôle utilise les processus,
les outils et les informations nécessaires à l’évaluation du service d’audit interne en termes de
conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Les évaluations périodiques sont conduites pour apprécier également la conformité du service
d’audit interne à la définition de l’audit interne au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension
de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.

 1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit
interne doit s'entretenir avec le Conseil au sujet :
 des modalités et de la fréquence de l’évaluation externe ; et
 des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que
de leur indépendance y compris au regard de tout conflit d'intérêt potentiel.

Interprétation
Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée
ou d’une auto-évaluation avec validation indépendante externe.
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences
professionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de
l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est
qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.

22 | P a g e
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de
l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de
conflit d’intérêt réel ou apparent.

 1320 – Rapports relatifs au programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et
d'amélioration qualité à la direction générale ainsi qu’au Conseil.
Interprétation :
La forme, le contenu ainsi que la fréquence des communications relatives aux résultats du
programme d'assurance et d'amélioration qualité sont définies lors de discussions avec la
direction générale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de
celles du responsable de l’audit interne comme définies dans la charte d’audit interne. Pour
démontrer la conformité à la définition de l’audit interne, au Code de Déontologie et aux
Normes, les résultats des évaluations internes périodiques et des évaluations externes doivent
être communiqués dès l’achèvement de ces évaluations. Les résultats de la surveillance
continue sont quant à eux communiqués au moins une fois par an. Ces résultats incluent
l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité de
l’activité d’audit interne.

 1321 – Utilisation de la mention « conforme aux Normes internationales pour la

pratique professionnelle de l’audit interne »
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite
conformément aux Normes internationales pour la pratique professionnelle de l'audit interne
seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.

Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences
de la définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de
résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans
d’ancienneté disposeront également des résultats de leurs évaluations externes.

 1322 – Indication de non-conformité

Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne, le
Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur
le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction
générale et le Conseil de cette non-conformité et de ses conséquences.

2. Normes de fonctionnement

 2000 – Gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir
qu’elle apporte une valeur ajoutée à l’organisation.

23 | P a g e
Interprétation :
L’activité d’audit interne est gérée efficacement quand :
 les résultats des travaux de l’audit interne répondent aux objectifs et
responsabilités définis dans la charte d’audit interne ;
 l’audit interne est exercé conformément à la définition de l’audit interne et
aux Normes;
 les membres de l’équipe d’audit agissent en respectant le Code de
Déontologie et les Normes.

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à
l’efficience ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management
des risques et de contrôle interne.

 2010 – Planification
Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définir
des priorités cohérentes avec les objectifs de l'organisation.

Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les
risques. Pour se faire, le responsable de l’audit interne prend en compte le système de
management des risques défini au sein de l’organisation, il tient notamment compte de
l’appétence pour le risque définie par le management pour les différentes activités ou branches
de l’organisation. Si ce système de management des risques n’existe pas, le responsable de
l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération
le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit,
le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités,
les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation.

2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la direction
générale et du Conseil doivent être pris en compte dans ce processus.
2010.A2 - Le responsable de l’audit interne doit identifier et prendre en
considération les attentes de la direction générale, du Conseil et des autres parties
prenantes concernant les opinions et d’autres conclusions de l’audit interne.
2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit
interne, avant de l'accepter, devrait considérer dans quelle mesure elle est
susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et
le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées
doivent être intégrées dans le plan d'audit.

 2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son
plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important
24 | P a g e
susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également
signaler l'impact de toute limitation de ses ressources.

 2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité
soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit
approuvé.

Interprétation
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres
compétences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes,
la quantité de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises
en œuvre efficacement quand elles sont utilisées de manière à optimiser la réalisation du plan
d’audit.

 2040 – Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à
l'activité d'audit interne.

Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est
structuré l’audit interne et de la complexité de ses travaux.

 2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.

 2060 – Rapports à la direction générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et
au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré
de réalisation du plan d’audit. Il doit plus particulièrement rendre compte :
 de l’exposition aux risques significatifs (y compris des risques de fraude) et
des contrôles correspondants ;
 des sujets relatifs au gouvernement d’entreprise et ;
 de tout autre problème répondant à un besoin ou à une demande de la direction
générale ou du Conseil.

Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction
générale et le Conseil et dépendent de l’importance des informations à communiquer et de
l’urgence des actions correctives devant être entreprises par la direction générale et le Conseil.

25 | P a g e
  2070 – Responsabilité de l’organisation en cas de recours à un prestataire externe
pour ses activités d’audit interne
Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce dernier
doit alerter l’organisation qu’elle reste responsable du maintien d’un audit interne efficace.

Interprétation :
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité,
lequel évalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les
Normes.
 2100 – Nature du travail
L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.

 2110 – Gouvernement d'entreprise

L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des
recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le
processus répond aux objectifs suivants :
 promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
 garantir une gestion efficace des performances de l'organisation, assortie d'une
obligation de rendre compte ;
 communiquer aux services concernés de l'organisation les informations relatives aux
risques et aux contrôles ;
 fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activités.

2110.A1 – L'audit interne doit évaluer la conception, la mise en oeuvre et

l'efficacité des objectifs, des programmes et des activités de l'organisation liés à
l'éthique.
2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes
d’information de l’organisation soutient la stratégie et les objectifs de
l’organisation.

 2120 – Management des risques

L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.

Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs
internes doivent s’assurer que :
 les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
 les risques significatifs sont identifiés et évalués ;
 les modalités de traitement des risques retenues sont appropriées et en adéquation avec
l’appétence pour le risque de l’organisation ;

26 | P a g e
  les informations relatives aux risques sont recensées et communiquées en temps
opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie
et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
différentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension du processus
de management des risques de l’organisation et de son efficacité.
Les processus de management des risques sont surveillés par des activités de gestion
permanente, par des évaluations spécifiques ou par ces deux moyens.

2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement

d'entreprise, aux opérations et aux systèmes d'information de l'organisation au
regard de :
 l’atteinte des objectifs stratégiques de l’organisation ;
 la fiabilité et l'intégrité des informations financières et opérationnelles ;
 l'efficacité et l'efficience des opérations et des programmes ;
 la protection des actifs ;
 le respect des lois, règlements, règles, procédures et contrats.
2120.A2 - L’audit interne doit évaluer la possibilité de fraude et la manière dont
ce risque est géré par l’organisation.
2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir
les risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de
l’existence de tout autre risque susceptible d’être significatif.
2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour évaluer les processus de management des
risques de l'organisation.
2120.C3 - Lorsque les auditeurs internes aident le management dans la conception
et l’amélioration des processus de management des risques, ils doivent s’abstenir
d’assumer une responsabilité opérationnelle en la matière.
2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en
évaluant son efficacité et son efficience et en encourageant son amélioration continue.

2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de

contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise,
aux opérations et systèmes d'information de l'organisation. Cette évaluation doit
porter sur les aspects suivants :

 l’atteinte des objectifs stratégiques de l’organisation,

 la fiabilité et l'intégrité des informations financières et opérationnelles ;
 l'efficacité et l'efficience des opérations et des programmes ;
 la protection des actifs ;

27 | P a g e
  le respect des lois, règlements, règles, procédures et contrats.

2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des

dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les
processus de contrôle de l’organisation.

 2200 – Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.

 2201 – Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
 les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ;
 les risques significatifs liés à l'activité, ses objectifs, les ressources mises en oeuvre et
ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque
est maintenu à un niveau acceptable ;
 la pertinence et l'efficacité des processus de gouvernement d’entreprise, de
management des risques et de contrôle de l'activité, en référence à un cadre ou modèle
approprié ;
 les opportunités d'améliorer de manière significative les processus de gouvernement
d’entreprise, de management des risques et de contrôle de l'activité.

2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à

l'organisation, les auditeurs internes doivent élaborer avec eux un accord écrit sur
les objectifs et le champ de la mission, les responsabilités et les attentes
respectives, et préciser les restrictions à observer en matière de diffusion des
résultats de la mission et d'accès aux dossiers.
2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilités de
chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit être formalisé.

2210 – Objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.
2210.A1 – Les auditeurs internes doivent procéder à une évaluation préliminaire
des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent
être déterminés en fonction des résultats de cette évaluation.
2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent
tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de
fraudes ou de non-conformité et d’autres risques importants.
2210.A3 – Des critères adéquats sont nécessaires pour évaluer le gouvernement
d’entreprise, le management des risques et le dispositif de contrôle. Les
auditeurs internes doivent déterminer dans quelle mesure le management et/ou le

28 | P a g e
 Conseil a défini des critères adéquats pour apprécier si les objectifs et les buts ont
été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser
dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler
avec le management et/ou le Conseil pour élaborer des critères d'évaluation
appropriés.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrôle dans la
limite convenue avec le client.
2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec
les valeurs, la stratégie et les objectifs de l'organisation.

 2220 – Champ de la mission

Le champ doit être suffisant pour atteindre les objectifs de la mission.
2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le
personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle
de tiers.
2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes
opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser
les objectifs et le champ de la mission de conseil, les responsabilités et les attentes
respectives. Les résultats de la mission de conseil sont communiqués
conformément aux Normes applicables à ces missions.
2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes
doivent s'assurer que le champ d'intervention permet de répondre aux objectifs
convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur
ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider
s'il y a lieu de poursuivre la mission.
2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent
examiner les dispositifs de contrôle relatifs aux objectifs de la mission et être
attentifs à l'existence de tout problème de contrôle significatif.

 2230 – Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour
atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la
complexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter un programme de travail permettant
d'atteindre les objectifs de la mission.
2240.A1 – Les programmes de travail doivent faire référence aux procédures à
appliquer pour identifier, analyser, évaluer et documenter les informations lors de
la mission. Le programme de travail doit être approuvé avant sa mise en oeuvre.
Les ajustements éventuels doivent être approuvés rapidement.
2240.C1 – Les programmes de travail des missions de conseil peuvent varier, dans
leur forme et leur contenu, selon la nature de la mission.

29 | P a g e
  2300 – Accomplissement de la mission
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations
nécessaires pour atteindre les objectifs de la mission.

 2310 – Identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et
utiles pour atteindre les objectifs de la mission.

Interprétation :
Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne
prudente et informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une
information fiable est une information concluante et facilement accessible par l’utilisation de
techniques d’audit appropriées. Une information pertinente conforte les constatations et
recommandations de l’audit, et répond aux objectifs de la mission. Une information utile aide
l’organisation à atteindre ses objectifs.

 2320 – Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des
analyses et évaluations appropriées.

 2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les
conclusions et les résultats de la mission.
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de
la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis
d'un juriste avant de communiquer ces dossiers à des parties extérieures.
2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de
conservation des dossiers de la mission et ce, quelque soit le support d’archivage
utilisé. Ces règles doivent être cohérentes avec les orientations définies par
l'organisation et avec toute exigence réglementaire ou autre.
2330.C1 – Le responsable de l'audit interne doit définir des procédures concernant
la protection et la conservation des dossiers de la mission de conseil ainsi que leur
diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être
cohérentes avec les orientations définies par l'organisation et avec toute exigence
réglementaire ou autre appropriée.

 2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs
sont atteints, la qualité assurée et le développement professionnel du personnel effectué.

Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs
internes, ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière

30 | P a g e
responsabilité de la supervision des missions qui sont réalisées par ou pour le compte du
service d’audit interne, mais il peut désigner d’autres membres de l’équipe d’audit interne
possédant l’expérience et la compétence nécessaires pour réaliser cette supervision. La preuve
de la supervision doit être documentée et conservée dans les papiers de travail.

 2400 – Communication des résultats

Les auditeurs internes doivent communiquer les résultats des missions.

 2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.
2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a
lieu, contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu’une
opinion ou une conclusion sont émises, elles doivent prendre en compte les attentes
de la direction générale, du Conseil, et des autres parties prenantes. Elles doivent
également s’appuyer sur une information suffisante, fiable, pertinente et utile.
Interprétation :
Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation,
de conclusions ou de toute autre description des résultats.
Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité
opérationnelle spécifique. La formulation de ces opinions exige de prendre en compte les
résultats de la mission et leur caractère significatif.

2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,
lors de la communication des résultats de la mission.
2410.A3 – Lorsque les résultats de la mission sont communiqués à des
destinataires ne faisant pas partie de l'organisation, les documents communiqués
doivent préciser les restrictions à observer en matière de diffusion et d'exploitation
des résultats.
2410.C1 – La communication sur l'avancement et les résultats d'une mission de
conseil variera dans sa forme et son contenu en fonction de la naturede la mission
et des besoins du client donneur d'ordre.

 2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise
en temps utile.

Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits
sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une
évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une
communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un
langage excessivement technique et fournit toute l’information significative et pertinente. Une
communication concise va droit à l’essentiel et évite tout détail superflu, tout développement

31 | P a g e
non nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité
et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une
communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre
toute l’information significative et pertinente, ainsi que les observations permettant d’étayer
les recommandations et conclusions. Une communication émise en temps utile est opportune et
à propos, elle permet au management de prendre les actions correctives appropriées en
fonction du caractère significatif de la problématique.

 2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le responsable
de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la
version initiale.

 2430 –Utilisation de la mention « conduit conformément aux Normes internationales

pour la pratique professionnelle de l’audit interne »
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites
conformément aux Normes internationales pour la pratique professionnelle de l’audit interne
» seulement si les résultats du programme d’assurance et d’amélioration qualité le démontrent.

 2431 – Indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément à la Définition de l’audit interne,
au Code de Déontologie ou aux Normes, la communication des résultats doit indiquer :
 les principes ou les règles de conduite du Code de Déontologie, ou les
Normes avec lesquelles la mission n’a pas été en conformité ;
 la ou les raisons de la non-conformité ;
 l'incidence de la non-conformité sur la mission et sur les résultats
communiqués.

 2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Interprétation:
Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du
rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé.
Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière
responsabilité.
2440-A1 – Le responsable de l'audit interne est chargé de communiquer les
résultats définitifs aux destinataires à même de garantir que ces résultats recevront
l'attention nécessaire.

2440-A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts,

le responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les
résultats à des destinataires ne faisant pas partie de l'organisation :
 évaluer les risques potentiels pour l'organisation ;

32 | P a g e
  consulter la direction générale et/ou, selon les cas, un conseil juridique ;
 maîtriser la diffusion en imposant des restrictions quant à l'utilisation des
résultats.

2440-C1 – Le responsable de l'audit interne est chargé de communiquer les

résultats définitifs des missions de conseil à son client donneur d'ordre.
2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes
relatifs aux processus de gouvernement d'entreprise, de management des risques et
de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour
l'organisation, ils doivent être communiqués à la direction générale et au Conseil.
 2450 – Les opinions globales
Lorsqu’une opinion globale est émise, elle doit prendre en compte les attentes de la direction
générale, du Conseil et des autres parties prenantes. Elle doit également s’appuyer sur une
information suffisante, fiable, pertinente et utile.
Interprétation :
La communication précisera :
 le périmètre, y compris la période concernée par l’opinion ;
 les limitations de périmètre ;
 le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services
donnant une assurance sur la maîtrise des activités ;
 le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour
formuler l’opinion globale ;
 l’opinion globale, l’avis ou la conclusion donnée.

Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.

 2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de
surveiller la suite donnée aux résultats communiqués au management.
2500-A1 – Le responsable de l'audit interne doit mettre en place un processus de
suivi permettant de surveiller et de garantir que des mesures ont été effectivement
mises en oeuvre par le management ou que la direction générale a accepté de
prendre le risque de ne rien faire.
2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions
de conseil conformément à l'accord passé avec le client donneur d'ordre.
 2600 – Communication relative à l’acceptation des risques
Lorsque le responsable de l'audit interne conclut que le management a accepté un niveau de
risque qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec
la direction générale. Si le responsable de l’audit interne estime que le problème n’a pas
été résolu, il doit soumettre la question au Conseil.

Interprétation :
L’identification du niveau de risque accepté par le management peut résulter d’une mission
d’assurance, d’une mission de conseil, du suivi des plans d’actions du management à la suite

33 | P a g e
de missions d’audit interne antérieures, ou d’autres moyens. La réponse au risque ne relève
pas du responsable d’audit interne.

Section 5- Positionnement de la fonction

Pour mieux éclairer la fonction nous traçons les frontières de son action par rapport à celles qui
jouxtent son domaine d’application.

1. Audit interne et l’audit externe

L’audit externe est une fonction indépendante de l’entreprise dont la mission est de certifier
l’exactitude des comptes, résultats et états financiers ; et plus certifier la régularité, la sincérité
et l’image fidèle des comptes et états financiers.
Le développement de plus en plus important de ces autres fonctions dans les grands cabinets a
créé souvent la confusion.

S’agissant de la fonction d’audit externe, et de celle-là seulement, on peut inventorier de façon

précise les différences entre les deux fonctions ; il est utile de noter également qu’elles sont non
point concurrentes mais largement complémentaires. Ces différences sont :

 Le statut de l’auditeur
C’est une évidence mais qui est fondamentale. L’auditeur interne appartient au personnel de
l’entreprise, l’auditeur externe (cabinet international ou commissaire aux comptes) est dans la
situation d’un prestataire de services juridiquement indépendant.

 Les bénéficiaires de l’audit

L’auditeur interne travaille pour le bénéfice des responsables de l’entreprise : managers,
direction générale, éventuellement comité d’audit.

L’auditeur externe certifie les comptes à l’intention de tous ceux qui en ont besoin :
actionnaires, banquiers, autorités de tutelle, clients et fournisseurs, etc.

 Les objectifs de l’audit

Alors que l’objectif de l’audit interne est d’apprécier la bonne maîtrise des activités de
l’entreprise (dispositifs de contrôle interne) et de recommander les actions pour l’améliorer,
celui de l’audit externe est de certifier la régularité, la sincérité, l’image fidèle, des comptes,
résultats et états financiers.

Observons que pour atteindre ces objectifs les auditeurs externes auront, eux aussi, à apprécier
des dispositifs de contrôle interne, ceux qui précisément doivent en principe garantir les trois
caractéristiques fondamentales ci-dessus énoncées : ce seront donc des dispositifs de nature
essentiellement financière, comptable et quantitative.
Ces différences quant aux objectifs commandent et gouvernent toutes les autres :

o ce sont elles qui justifient le statut ;

o ce sont elles qui différencient les bénéficiaires.

34 | P a g e
  Le champ d’application de l’audit
Eu égard à ses objectifs, le champ d’application de l’audit externe englobe tout ce qui concourt
à la détermination des résultats, à l’élaboration des états financiers et rien que cela ; mais dans
toutes les fonctions de l’entreprise.

L’auditeur externe qui limiterait ses observations et investigations au secteur comptable ferait
œuvre incomplète. Les professionnels le savent bien qui explorent toutes les fonctions de
l’entreprise et tous les systèmes d’information qui participent à la détermination du résultat et
cette exigence est de plus en plus grande au fur et à mesure que se développent les saisies à la
source

Le champ d’application de l’audit interne est beaucoup plus vaste puisqu’il inclut non
seulement toutes les fonctions de l’entreprise, mais également dans toutes leurs dimensions.
Ainsi, porter une appréciation technique sur l’entretien de tel matériel de fabrication ou
apprécier qualitativement les modalités de recrutement de l’encadrement est tout à fait dans le
champ d’application de l’audit interne et en dehors de celui de l’audit externe. Toutefois, ce
dernier est concerné par l’entretien ou le recrutement dans leurs dimensions financières.

 La prévention de la fraude
L’audit externe est intéressé par toute fraude, dès l’instant qu’elle a, ou est susceptible d’avoir,
une incidence sur les résultats. En revanche, une fraude touchant, par exemple, à la
confidentialité des dossiers du personnel, concerne l’audit interne, mais non l’audit externe.

 L’indépendance de l’auditeur
Il va de soi que cette indépendance n’est pas de même nature. L’indépendance de l’auditeur
externe est celle du titulaire d’une profession libérale, elle est juridique et statutaire ; celle de
l’auditeur interne est assortie des restrictions analysées au chapitre précédent.

 La périodicité des audits

Les auditeurs externes réalisent en général leurs missions de façon intermittente et à des
moments privilégiés pour la certification des comptes : fin de trimestre, fin d’année. En dehors
de ces périodes, ils ne sont pas présents, sauf le cas de certains grands groupes dont l’importance
des affaires exige la présence permanente d’une équipe tout au long de l’année, laquelle équipe
grossit considérablement en période d’arrêté des comptes.

L’auditeur interne travaille en permanence dans son entreprise sur des missions planifiées en
fonction du risque et qui l’occupent avec la même intensité quelle que soit la période. Mais
observons également que l’auditeur externe est en relation avec les mêmes interlocuteurs dans
les mêmes services, alors que l’auditeur interne change sans cesse d’interlocuteur. Du point de
vue relationnel c’est donc l’audit externe qui est permanent et l’audit interne périodique.

35 | P a g e
  La méthode de l’auditeur
Les auditeurs externes réalisent leurs travaux selon des méthodes qui ont fait leurs preuves, à
base de rapprochements, analyses, inventaires. La méthode des auditeurs internes est spécifique
et originale ; elle sera décrite en détail dans la troisième partie de cet ouvrage.

Les différences entre les deux fonctions sont donc précises et bien connues ; il ne saurait y avoir
de confusion. Mais elles ne doivent pas s’ignorer car l’appréciation et la bonne mise en œuvre
de leur complémentarité sont pour l’organisation tout entière un gage d’efficacité.

2. Audit interne et conseil ou consultant externe

Les consultants ont, eux aussi, une connaissance du monde extérieur à l’entreprise qui les fait
bénéficier d’un jeu de référentiels que n’ont pas toujours les auditeurs internes.

Rappelons que les fonctions de consultant externe sont parfois exercées par des « cabinets
d’audit » qui disposent pour ce faire de spécialistes dans les domaines les plus variés ; mais
elles peuvent être également exercées par des experts de toute nature qui apportent à l’entreprise
le concours de leurs connaissances spécialisées. Mais les confusions entre auditeur externe et
consultant externe n’ont plus lieu d’être dès l’instant que le législateur a nettement séparé les
deux fonctions.

Par rapport à la fonction et aux missions de l’audit interne ces missions de consultant présentent
quatre spécificités originales :

 le consultant est appelé pour un problème particulier, bien identifié, correspondant à sa

compétence technique et il n’a pas à intervenir dans l’entreprise en dehors de ce domaine
;
 il est missionné pour un objectif bien précis et sa mission est, en général, fixée dans la
durée;
 il travaille pour un responsable déterminé : celui qui a sollicité ses avis et va donc rester
« propriétaire » de son rapport. Ce responsable peut être la direction générale, mais ce
peut être également un manager spécifique dans un domaine particulier ;
 selon les termes de sa mission, son rôle peut aller du simple diagnostic de l’existant,
jusqu’à la préconisation de nouvelles organisations ou moyens et une participation à
leur mise en œuvre. C’est souvent le cas des organisateurs.

Mais on peut dire que les deux fonctions se rapprochent depuis que l’on assigne à l’auditeur un
rôle de conseil. D’autant plus que la norme 2050 sur la nécessaire coordination des activités et
le partage des informations concerne également les consultants externes de toute nature.

Il faut simplement en déduire qu’entre auditeur interne et consultant externe il ne peut y avoir
élimination de l’un par l’autre mais, là également, collaboration et complémentarité.
Comme l’auditeur externe le consultant externe a le statut d’un expert indépendant.
Il n’en est pas de même de l’Inspecteur.

36 | P a g e
3. Audit interne et inspection
Les confusions sont ici nombreuses et les distinctions plus subtiles car comme l’auditeur
interne, l’inspecteur est membre à part entière du personnel de l’entreprise. Ces confusions sont
aggravées par la pratique et le vocabulaire : on trouve bien évidemment des inspecteurs qui font
de l’inspection mais on trouve également des « inspecteurs » qui, en fait, font de l’audit interne,
et on trouve aussi des inspecteurs qui font de l’inspection et de l’audit interne.

4. Audit interne et contrôle de gestion

De même que l’audit interne est passé du simple contrôle comptable à l’assistance au
management dans la maîtrise des opérations, de même le contrôle de gestion est passé de la
simple analyse des coûts au contrôle budgétaire puis à un véritable pilotage de l’entreprise.

On peut le définir schématiquement comme étant l’activité permettant le pilotage économique

et financier de l’organisation.
Si la définition a varié dans le temps partant d’un processus budgétaire pour atteindre une
gestion par objectifs, le contrôle de gestion reste caractérisé par deux éléments :

 l’espace vital de la fonction est le système d’information de gestion ;

 elle est au service de la performance.

Ces deux caractéristiques permettent d’identifier ressemblances, différences et

complémentarités.

 Les ressemblances
 L’une et l’autre fonction s’intéressent à toutes les activités de l’entreprise et ont donc
un caractère universel.
 Comme l’auditeur interne, le contrôleur de gestion n’est pas un opérationnel : il attire
l’attention, recommande, propose mais n’a pas de pouvoir opérationnel.
 Les deux fonctions sont relativement récentes et encore en pleine période d’évolution
d’où la multiplication des interrogations et des incertitudes.
 L’une et l’autre bénéficient généralement d’un rattachement hiérarchique préservant
leur indépendance et leur autonomie, c’est-à-dire au plus haut niveau de l’entreprise.

Mais les différences sont suffisamment importantes pour permettre de les identifier et de les
distinguer.

 Les différences

 Différence quant aux objectifs

Elle est essentielle. On connaît les objectifs de l’audit interne, qui visent à mieux maîtriser les
activités par un diagnostic des dispositifs de contrôle interne. Le contrôleur de gestion va
s’intéresser plus à l’information qu’aux systèmes et procédures ; défini au sens le plus large, on

37 | P a g e
peut dire que son rôle est de définir ou d’aider à définir la performance, sa mesure et son suivi
et à recommander les dispositions à prendre, il est le concepteur du système d’information de
l’entreprise et contribue à la définition des structures, actions totalement antinomiques avec
l’audit interne.
Ces responsabilités sont :

 concevoir le système d’information ;

 contribuer à la conception de la structure de l’entreprise sur la base d’une
décentralisation efficace de l’autorité ;
 faire fonctionner correctement le système d’information ;
 effectuer les études économiques et les coordonner.

 Différence quant au champ d’application

Si les deux fonctions ont un champ d’application couvrant l’ensemble des activités, celles-ci ne
sont pas considérées de la même façon. S’intéressant essentiellement aux résultats, réels ou
prévisionnels, le contrôleur de gestion prendra en compte tout ce qui est chiffré ou chiffrable.
L’auditeur interne va aller au-delà de cette dimension et cela est particulièrement perceptible
dans des domaines comme la sécurité, la qualité, les relations sociales, l’environnement, etc.

 Différence quant à la périodicité

Alors que l’auditeur effectue des missions diverses tout au long de l’année selon une périodicité
définie en fonction du risque, le contrôleur de gestion a une activité largement dépendante des
résultats de l’entreprise et de la périodicité du reporting. On peut ajouter que « son activité est
souvent bousculée par les priorités de la direction générale », alors que l’activité de l’auditeur
interne est planifiée et systématisée.

 Différence quant aux méthodes de travail

La méthodologie de l’audit interne, analysée dans la troisième partie, est spécifique à la
fonction. Les méthodes de travail du contrôleur de gestion sont, elles aussi, originales et ne se
confondent pas avec les précédentes : elles s’appuient sur les informations des opérationnels
(prévisions et réalisations) et sont largement analytiques et déductives.

5. Audit interne et services méthodes/organisation

Le positionnement de la fonction d’audit interne par rapport aux services « Méthodes et
Organisation » des entreprises emprunte beaucoup de points de comparaison avec le parallèle
sur le consultant externe, à cette différence près qu’il s’agit là d’un service interne à l’entreprise.
C’est-à-dire qu’il n’a pas – comme le consultant externe – la connaissance du milieu extérieur
à l’entreprise mais qu’il appréhende, mieux que ce dernier, les composantes internes de l’entité.

Comme le consultant externe, le responsable Méthodes/Organisation intervient au coup par

coup sur des objectifs spécifiques, sans planification particulière.

Comme lui, il travaille pour le demandeur de l’étude. Et comme lui, et ceci est une différence
importante par rapport à l’auditeur interne, il ne se contente pas de préconiser mais peut aller

38 | P a g e
jusqu’à la mise en œuvre de ses préconisations, lesquelles préconisations ne s’appuient pas
nécessairement sur un diagnostic préalable de l’entreprise : elles peuvent être des conceptions
nouvelles et originales dont la nécessité apparaît à la faveur de nouveaux développements ou
d’une nouvelle stratégie et ne visant pas nécessairement à l’amélioration de la maîtrise actuelle,
laquelle peut par ailleurs être jugée fort satisfaisante. On désire simplement, et pour des raisons
diverses, « faire autre chose et différemment », la situation nouvelle pouvant fort bien être plus
mal maîtrisée que l’ancienne. À ce moment, l’auditeur interne a à intervenir dans le nouveau
cadre récemment implanté.

Cette fonction d’organisation au sein de l’entreprise peut donc revêtir des formes et objectifs
extrêmement variés : depuis la nouvelle conception d’un imprimé jusqu’à une réorganisation
totale des structures. Il n’y a donc pas, il ne peut pas y avoir, de méthodologie spécifique : selon
le but poursuivi, les méthodes peuvent varier. Elles peuvent même associer pour des missions
importantes un organisateur interne et consultant externe.

Mais, là encore, l’auditeur interne est susceptible d’intervenir avant et après en ce sens qu’il
peut être à l’origine du changement et avoir à auditer la nouvelle situation ainsi créée.

6. Audit interne et qualité

Lorsqu’on parle de qualité, on évoque à la fois la Qualité Totale et l’Assurance

La Qualité Totale prend comme objectif la conformité aux besoins du client ; elle mesure donc
les non-conformités pour y apporter un remède. Mais elle a ceci de particulier qu’elle prend en
compte essentiellement le client interne et utilise, pour remplir ses objectifs, des moyens
participatifs (cercle de qualité et groupes d’action qualité). À ce titre, elle concerne tous les
acteurs de l’organisation puisque chacun est à la fois en amont et en aval : le client et le
fournisseur d’un autre.

Cette démarche interne dans une organisation va donc permettre d’en améliorer le contrôle
interne puisqu’elle incite chaque responsable à prendre des dispositions qui lui permettront de
mieux maîtriser ses activités. C’est à partir de là que s’est développé le concept d’Assurance
Qualité, défini comme « la partie du management de la qualité visant à donner confiance en ce
que les exigences pour la qualité seront satisfaites. » (Normes ISO 9000:2000)
L’audit interne est concerné à un double titre par ce mouvement :

• la Qualité Totale peut être appliquée au fonctionnement du service d’audit interne : il a, lui
aussi, des clients et des fournisseurs ;

• la Qualité Totale peut être auditée. Les auditeurs internes auront alors à apprécier si ceux qui
sont chargés de la mettre en œuvre en ont une maîtrise suffisante. De ce fait, même un échange
utile d’informations est à instaurer entre audit interne et direction de la Qualité pour une
meilleure performance des deux fonctions.

7. Audit interne et risk management

Le risk management (ou gestion de risque) n’est pas présent dans toutes les organisations en
tant que fonction individualisée et spécifique. Mais, bien ou mal, le risque est toujours géré et

39 | P a g e
pris en charge, soit d’une façon diffuse partous les acteurs de l’organisation, soit spécifiquement
comme complément à une autre fonction (assurance, audit interne, qualité…).

On assigne traditionnellement au risk manager quatre missions, lesquelles exigent une bonne
définition des objectifs de l’organisation, déclinés par activités :

 1ère mission
Identifier tous les risques internes et externes de l’entreprise. Compte tenu de la globalité de sa
fonction et de son caractère transversal, le risk manager est particulièrement attentif aux risques
stratégiques, politiques, environnementaux…

 2e mission
À partir de cette identification élaborer une cartographie des risques permettant de les apprécier.
L’audit interne se saisit de cette cartographie pour éventuellement la décliner au niveau
opérationnel. En l’absence de risk manager c’est l’audit interne qui élabore la cartographie des
risques de l’organisation mais le plus souvent sans utiliser les outils statistiques, souvent très
élaborés, qui sont la spécificité du risk management.

 3e mission
Définir une stratégie de risques et la proposer à la direction générale. Cette stratégie offre quatre
options pour chaque risque identifié :

 accepter le risque, donc ne rien faire : c’est ce que les Anglo-Saxons nomment le « Risk
appetite ». Prennent place dans cette catégorie les risques jugés comme risques
acceptables. Du même coup le risk manager trace les frontières de la propre assurance ;
 éviter le risque en suggérant d’autres procédés ou procédures ou organisations… mais
ce n’est pas toujours possible ;
 éliminer ou réduire le risque en diminuant la fréquence par une meilleure politique de
prévention ou en minimisant l’impact par une meilleure politique de protection ;
 transférer le risque, très généralement par l’utilisation de l’assurance ou par d’autres
procédés (joint-venture, etc.).

Par son action dans les 1er et 4e cas, le risk manager va, de fait, jeter les bases d’une politique
d’assurance. Ce qui explique que dans nombre de situations la fonction est confondu avec celle
de responsable des assurances.

Mais ce n’est pas la meilleure des solutions : outre le fait que ce n’est pas le même métier, elle
confond responsabilité opérationnelle et fonction d’assistance et de conseil.

 4e mission
Sensibiliser et former les managers en leur suggérant les moyens à mettre en œuvre pour aligner
la gestion des risques opérationnels sur la stratégie globale et, si besoin est, leur prêter assistance
dans la réalisation. Dans cette rubrique se situent toutes les informations à fournir à l’audit
interne pour qu’il les prenne en compte dans l’organisation de ses missions.

40 | P a g e
On perçoit bien à quel point les deux fonctions risk management et audit interne sont voisines:
la définition d’une stratégie et les propositions de solutions sont autant de préconisations pour
améliorer le contrôle interne : en cela, le risk manager prépare le terrain pour l’auditeur interne.
Elles vont même jusqu’à se confondre lorsqu’il n’y a pas de risk manager, même si l’auditeur
n’a pas tout à fait la compétence requise. La norme 2100 précise bien que dans ce cas l’audit
interne doit jouer un rôle proactif en participant à la mise en place d’un processus de
management des risques dans le cadre d’une mission de conseil.
Mais :

 le rôle de l’audit interne ne saurait se confondre avec celui du risk manager ;

 c’est au management qu’incombe la responsabilité majeure de la gestion des risques,
laquelle ne peut être déléguée

Section 6 – Conduite d’une mission d’Audit Interne

Confert présentation.

41 | P a g e
Chapitre 4 : Audit Interne - Gouvernance d’entreprise - Fraude

AUDIT INTERNE – GOUVERNANCE

D’ENTREPRISE- FRAUDES

L’objet de ce chapitre est d’expliciter le ou les rôles de la fonction d’audit interne dans le
processus de gouvernance d’entreprise et les différents types de fraudes lors de la réalisation de
la mission de l’audit interne.

Section 1- Audit interne – gouvernance d’entreprise

L’appréhension de la fonction d’audit interne comme mécanisme de gouvernance nécessite de
définir ce concept.

1. Qu'est-ce que la gouvernance ?

Le gouvernement d’entreprise représente « Le dispositif comprenant les processus et les
structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de piloter les
activités de l'organisation en vue de réaliser ses objectifs. » Il existe de nombreuses autres
définitions et descriptions qui permettent de mieux comprendre ce qu'est la gouvernance.
L'ensemble de ces définitions et descriptions renforce le fait qu'une gouvernance efficace :

 démarre au sommet avec le conseil d'administration et se propage à travers

l'organisation jusqu'à chacun des employés.
 implique des relations critiques entre le conseil, la direction et les actionnaires.
 englobe l'organigramme ainsi que l'environnement juridique et réglementaire associé.
 équilibre les objectifs sociaux et économiques.
 s'étend jusqu'aux clients, fournisseurs, partenaires, créanciers et la communauté en
général.

2. Audit interne et gouvernance

Les auditeurs internes doivent comprendre les rôles, les responsabilités, les structures, les
processus, les risques et les objectifs de la gouvernance pour appliquer efficacement les Normes
de l'IIA.

L'audit interne doit fournir une assurance raisonnable que le processus de gouvernance de la
direction « est efficace dans l'établissement et la préservation des valeurs de l'entreprise, dans
la définition des objectifs, dans la surveillance des activités et des performances, et dans la
définition des mesures de la responsabilité ».

Rôle requis de l'audit interne

Une fois que l'activité d'audit interne a obtenu l'approbation de sa charte, les auditeurs internes
disposent de l'autorité requise pour planifier et exécuter diverses missions. Ces missions d'audit

42 | P a g e
et les activités relatives fournissent à la direction l'assurance que les structures et les processus
de gouvernance sont conçus et fonctionnent correctement. L'activité d'audit interne identifie
également les éventuelles défaillances et conseille la direction sur les améliorations qui peuvent
être apportées.

Facteurs influençant la gouvernance et le rôle de l'audit interne

Le niveau de maturité de la structure et des processus de gouvernance de l'organisation, ainsi
que le rôle organisationnel et les qualifications des auditeurs internes influent sur les fonctions
de l'activité d'audit. Dans le cas d'un système insuffisamment mature, la fonction d'audit interne
a tendance à se concentrer davantage sur les points suivants :

 Exécution d'audits ponctuels.

 Formulation de conseils portant sur les pratiques et la structure optimales.
 Comparer les pratiques et la structure de gouvernance actuelles aux réglementations et
autres exigences de conformité.

Une organisation dont les pratiques de gouvernance sont plus structurées et matures permet aux
auditeurs internes de se concentrer sur les points suivants :

 Évaluation de l'efficience et de l'efficacité des composants de la gouvernance à l'échelle

de l'entreprise, ainsi que de leur fonctionnement.
 Analyse de la transparence et des pratiques de divulgation (reporting) dans les
différentes sections de la structure de gouvernance.
 Comparaison des meilleures pratiques de gouvernance.
 Identification de la conformité aux règlements légaux et aux codes de gouvernance
applicables.

Il est important de comprendre que l'activité d'audit interne ne peut pas évaluer les décisions de
la direction. Les auditeurs internes sont des agents de la direction générale et du conseil dont le
rôle est de présenter une évaluation objective et indépendante de l'adéquation de la structure de
gouvernance de l'organisation et de l'efficacité opérationnelle des activités de gouvernance
spécifiques. Bien qu'ils n'évaluent pas les décisions de la direction, les auditeurs internes
peuvent servir de catalyseurs du changement et conseiller, ou promouvoir des améliorations de
la structure et des pratiques de gouvernance de l'organisation.

Nous présentons ici les bonnes pratiques du rôle de l’audit interne dans les mécanismes
d’entreprises.

2.1. Les relations de l’audit interne avec la direction générale

L’audit interne est un outil de management de la direction générale au service de l’entreprise.
A ce titre, de façon indépendante et objective, il :
 vérifie la mise en œuvre, dans la société et les entités qu’elle contrôle, de la politique
définie par ses instances dirigeantes ;
 s’assure de la conformité des opérations vis-à-vis des obligations externes (lois,
règlements, recommandations de place) et des instructions internes ;

43 | P a g e
  évalue, dans le cadre de son plan d’audit, le dispositif de gestion des risques et de
contrôle interne.

Il est recommandé :
 que l’audit interne ne soit pas limité au seul contrôle nominal de conformité mais qu’il
s’assure également :
 de l’application effective des instructions et des procédures afférentes à
l’organisation ;
 du bon fonctionnement des processus internes de la société, relatifs notamment à
la fiabilité des filières de remontées d’information et aux systèmes d’information ;
 Que, le cas échéant, il propose les instructions et procédures complémentaires devant
être mises en place ;
 Que la direction générale lui donne les moyens d’exercer pleinement ses missions ;
 Qu’en tant que de besoin et au moins une fois par an, le directeur de l’audit interne
présente de manière formelle à la direction générale, ses observations sur le
fonctionnement du contrôle interne et fasse toute préconisation pour permettre à cette
dernière de prendre les décisions aptes à optimiser son efficacité et à assurer une bonne
maîtrise des opérations.

2.2. Les relations de l’audit interne avec le conseil et le comité d’audit

L’audit interne apporte sa compétence au conseil, via le comité d’audit, dans sa mission
régalienne de surveillance de la gestion de l’entreprise. Il entretient avec le comité d’audit des
relations transparentes et suivies, dans le strict respect de l’autorité et des responsabilités de la
direction générale.

Il est recommandé que le comité d’audit :

 Examine la nécessité de créer un service d’audit interne, lorsqu’il n’en existe pas ;
 Soit informé sur les questions de nomination, d’évaluation, de rémunération ou de
remplacement du responsable d’audit interne, selon des modalités propres à chaque
organisation et, que dans des situations exceptionnelles (révocation, démission), il soit
préalablement consulté ;
 s’assure que l’audit interne dispose des moyens adéquats pour la réalisation du plan
d’audit. Il s’informe notamment de la composition et du professionnalisme de l’équipe
d’audit interne et s’assure de l’adéquation des ressources aux missions imparties au
service d’audit interne ;
 Puisse demander à la direction générale que l’audit interne réalise des missions
spécifiques, notamment celles relatives à des processus de gouvernement d’entreprise.

Les relations entre l’audit interne et le comité d’audit se matérialisent par la participation,
permanente ou périodique, du responsable de l’audit interne aux réunions du comité d’audit,
selon des modalités retenues par l’entreprise.
Il est recommandé que le comité d’audit :

44 | P a g e
  Prenne connaissance des documents formalisant l’organisation générale du service
d’audit interne et en particulier la charte de l’audit interne ;
 Prenne connaissance de la méthode d’élaboration du plan d’audit interne adossé à
l’analyse des risques ;
 Soit tenu informé, le cas échéant, des zones de risques non couvertes, que l’audit interne
a lui-même identifiées ;
 Reçoive régulièrement, et au moins une fois par an, des informations sur l’activité de
l’audit interne :
 suivi de la réalisation du plan d’audit,
 principales conclusions des missions,
 mises en œuvre des actions correctives,
 adéquation des ressources,
 indications de non-conformité ou de conformité vis-à-vis des normes
professionnelles…
 Soit tenu informé rapidement de la réalisation des missions non planifiées y compris les
demandes de la direction générale et les missions qui visent à améliorer la performance
de l’organisation.

Les administrateurs ont besoin d’une information synthétique, organisée, hiérarchisée leur
permettant d’utiliser efficacement les constats et recommandations de l’audit interne, et initier,
le cas échéant, les mesures qu’ils estimeraient appropriées. Il ne peut y avoir d’informations
significatives « réservées » au management, c’est-à-dire volontairement soustraites aux
administrateurs.

Il est recommandé que le l’audit interne :

 Donne le même niveau qualitatif d’information au comité d’audit et à la direction
générale sous une forme, une périodicité et un format appropriés ;
 Communique au comité d’audit les rapports de synthèse des missions d’audit ou une
synthèse périodique de ces rapports et, à sa demande, le rapport lui-même.

Le Comité d’audit est notamment chargé « d’assurer le suivi de l’efficacité des systèmes de
contrôle interne et de gestion des risques ».

Il appartient à la direction générale et au management de mettre en place un dispositif de

contrôle interne et de gestion des risques adapté aux caractéristiques propres de chaque société,
en utilisant un référentiel établi par les organismes reconnus tel que le cadre de référence de
l’AMF ou le référentiel COSO.

Il est recommandé que le l’audit interne :

 s’assure, dans le cadre de ses missions d’audit développées selon une approche par
cycles et par risques, de la robustesse de ce dispositif et en fasse rapport à la direction
générale et au comité d’audit.

45 | P a g e
 2.3. Les relations de l’audit interne avec les autres acteurs du contrôle interne
De nombreuses fonctions participent au dispositif de contrôle interne : la comptabilité, le
contrôle de gestion, le risk management, l’informatique, la conformité, le juridique, les
ressources humaines, la performance, la qualité, la sécurité…
La multiplicité des acteurs du contrôle interne crée donc de la complexité. Elle peut entraîner
des redondances qui nuisent à son efficacité. Ainsi, les entités opérationnelles peuvent souffrir
d’un excès de contrôle de la part de structures différentes intervenant en partie sur le même
sujet. De même, chaque acteur peut croire à un instant donné qu’un autre acteur s’occupe de tel
ou tel risque ou de tel ou tel contrôle, sans que finalement personne n’investisse le niveau
d’intelligence et d’expertise requis pour réellement maîtriser les risques.

La question de la bonne coordination de cet ensemble est donc de la plus haute importance et il
appartient à chaque organisation de mettre en place le dispositif le plus approprié à ses objectifs,
son contexte, sa culture, ses hommes, pour s’assurer de la cohérence et de l’efficience du
contrôle interne.

Il est recommandé :
 Que les relations de l’audit interne avec les autres acteurs du contrôle interne fassent
l’objet d’une claire définition, par exemple, dans une charte dédiée à cet effet, dont les
principales dispositions pourraient être les suivantes :
 l’audit interne participe aux comités de contrôle interne ;
 l’audit interne évalue les autres fonctions de maîtrise des risques ;
 l’audit interne conseille la direction générale pour l’aider à mettre en place un
urbanisme de contrôle interne efficace.

2.4. Les relations de l’audit interne avec l’audit externe

L’audit externe a pour principale mission de certifier la régularité, la sincérité et l’image fidèle
des comptes et s’appuie, pour ce faire, sur les procédures qui concourent à la production de
l’information comptable et financière. L’audit interne est un outil du gouvernement d’entreprise
et d’aide au management de l’entreprise. Il fournit à cette dernière une assurance sur le degré
de maîtrise de ses activités et, pour ce faire, s’appuie sur une analyse des risques opérationnels,
de conformité et financiers, et sur une évaluation du dispositif de contrôle interne y afférent.
Malgré cette importante différence, les travaux des commissaires aux comptes relatifs au
contrôle interne sont, dans certains domaines, proches de ceux des auditeurs internes, ce qui
peut conduire à des redondances inutiles.

Il est recommandé donc :

 la coordination des travaux des commissaires aux comptes et des auditeurs internes ;
 l’établissement en commun du planning d’interventions afin de minimiser les
dérangements causés par les audits ;
 des réunions de travail périodiques, une ou deux fois par an, où chacun rend compte de
ses investigations et de ses conclusions ;

46 | P a g e
  l’utilisation par les commissaires aux comptes des travaux de l’audit interne pour réduire
d’autant leurs propres investigations tout en conservant l’entière responsabilité de
l’opinion exprimée sur les comptes.

2.5. La crédibilité et la légitimité de l’audit interne sont conditionnées par son

indépendance et son professionnalisme
L’indépendance repose principalement sur trois facteurs : le positionnement de l’audit interne,
le périmètre étendu de son champ d’intervention, la disposition de moyens adéquats pour
remplir la mission qui lui est dévolue.

a) Le mode de rattachement
Le mode de rattachement a une incidence directe sur le périmètre d’intervention et l’objectivité
des auditeurs internes notamment lorsqu’il s’agit d’évaluer les opérations de la direction
générale à laquelle le responsable de l’audit interne répond.

Les modèles mis en œuvre sont par définition très divers. Ils révèlent des modes de rattachement
de l’audit interne compris entre deux schémas contrastés : un schéma instaurant un lien fort de
l’audit interne avec l’organe délibérant, instance de surveillance de l’exécutif, et donc un lien
plus ténu avec l’exécutif ; un schéma instaurant un lien fort avec l’exécutif et plus ténu avec
l’organe délibérant.
Le premier schéma privilégie l’indépendance de l’audit interne et le rôle de surveillance du
conseil, le second l’efficacité opérationnelle et l’implication du management.
Il appartient aux entreprises de s’efforcer de concilier ces deux approches en vue d’en optimiser
les avantages.
Il est recommandé :
 Que l’audit interne soit clairement rattaché hiérarchiquement à la direction générale ;
 Que des relations étroites et régulières soient établies avec le comité d’audit ;
 Que les relations entre, d’une part l’audit interne, d’autre part la direction générale et le
comité d’audit, soient précisément identifiées : périodicité, procédures mises en œuvre,
mode de présentation et de synthèse des constats de l’audit interne, modalités de suivi
des recommandations…

b) Le Périmètre d’intervention
Le périmètre étendu du champ d’intervention de l’audit interne est justifié par la nécessité de
répondre aux attentes des organes dirigeants afin de leur permettre d’assumer la totalité de leur
responsabilité vis-à-vis des actionnaires et au regard des lois et règlements. Il couvre, sauf
exception notable, toutes les fonctions, tous les systèmes, tous les processus de l’entreprise mais
les interventions de l’audit interne se font selon des priorités définies chaque année dans le plan
d’audit.

Il est recommandé :
 Que l’audit interne évalue, à partir d’une approche par les risques, l’ensemble des
processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ;

47 | P a g e
  Que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des
compétences du conseil des filiales et de leurs différents comités ;
 Que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement
et la performance du conseil de la maison mère et de ses comités, du fait de l’existence
d’une situation de conflit d’intérêt.

c) Les Moyens
L’audit interne doit disposer de moyens appropriés lui permettant de mener à bien ses
missions.

Il est recommandé :
 Que les effectifs de l’audit interne soient proportionnés à l’importance de leur champ
d’intervention ;
 Que les auditeurs internes aient un libre accès à toutes les informations et données
requises pour le plein exercice de leurs missions ;
 Que le statut des auditeurs internes et leur rémunération visent à leur assurer à la fois
l’attractivité des carrières et la considération des personnes ;

Le professionnalisme de l’audit interne

La bonne application des normes professionnelles internationales de l’audit interne garantit la
référence aux meilleures pratiques. Ces normes démontrent leur efficacité lorsqu’elles sont
mises en œuvre par des auditeurs internes ayant des compétences suffisantes et une
connaissance des métiers de l’organisation.
La qualité de l’audit interne est fonction de la capacité de son responsable à maintenir, au
meilleur niveau, l’ensemble de son dispositif : ressources humaines, budget, formation,
référentiels, outils, méthodologies, planification, reporting, risk assessment…
Symétriquement, le comité d’audit s’appuyant sur l’audit interne pour assumer ses
responsabilités doit s’assurer périodiquement du bon fonctionnement de ce service, en liaison
avec la direction générale.

Il est recommandé que le comité d’audit :

 soit associé à l’examen de la pertinence de la méthode d’évaluation du fonctionnement
de l’audit interne, étant entendu que plusieurs types d’évaluation peuvent être mis en
œuvre, selon un degré d’exigence croissant : revue réciproque par des pairs, auto-
évaluation, auto-évaluation suivie d’une validation indépendante, évaluation externe
indépendante et certification externe par un organe indépendant ;
 reçoive une communication des résultats de ces évaluations ainsi que les commentaires
appropriés ;
 apprécie le degré d’assurance sur la qualité du fonctionnement du service d’audit interne
afin de déterminer avec la direction générale et le responsable de l’audit interne des
suites à donner à l’évaluation.

48 | P a g e
Section 2- audit interne – fraudes
Le rôle d'assistance de l'auditeur interne dans la détection de la fraude est abordé dans la norme
de qualification 1210.A2, dont voici les termes exacts : « les auditeurs internes doivent disposer
de connaissances suffisantes pour évaluer le risque de fraude et la manière dont il est géré par
l'organisation, mais ils ne sont pas censés détenir l'expertise d'une personne dont la principale
responsabilité est de détecter les fraudes et d'enquêter sur elles » La capacité d'un auditeur
interne à détecter la fraude et à évaluer les contrôles est un élément indispensable d'autres
normes comme par exemple :
La norme de qualification 1220, « Conscience professionnelle », exige des auditeurs internes
d'être prudents et compétents. La norme de qualification 1220.A1 s'applique à la préparation
des missions en prenant en compte la probabilité de fraude et la norme de qualification 1220.A2
s'applique à l'utilisation des technologies et d'outils d'analyse de données visant à détecter la
fraude.
La norme de fonctionnement 2120 « Gestion des risques » exige des auditeurs internes d'«
évaluer l'efficacité et contribuer à l'amélioration des processus de gestion des risques ». La
norme 2120.A2 stipule : « L'activité d'audit interne doit évaluer le risque de fraude et la manière
dont l'organisation le gère ».
La Norme de fonctionnement 2210, « Objectifs de la mission », exige des auditeurs internes de
fixer des objectifs pour chaque mission et la Norme 2210.A2 exige que les auditeurs internes «
tiennent compte de la probabilité des principaux risques (erreurs, fraude, non-conformité, etc.)
lors de la définition des objectifs de la mission »
1. Types de fraude les plus courants et risques de fraude par domaine de mission
Etre suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :

 de connaître la définition de la fraude,

 d'être en mesure d'identifier les types de fraude les plus susceptibles de se produire chez
un client d'audit précis et d'être capable d'évaluer le niveau de vulnérabilité du client
(risque de fraude),
 de connaître les symptômes de fraude (signaux d'alerte)

1.1. Définition de la fraude

Le Glossaire des Normes définit la mission comme « tout acte illégal caractérisé par la
tromperie, la dissimulation ou la violation de la confiance. Ces agissements ne sont pas
subordonnés à l'usage de menaces de violence ni au recours à la force physique. Les fraudes
sont perpétrées par des personnes et des organisations afin d'obtenir de l'argent, des biens ou
des services, ou de s'assurer un avantage personnel ou commercial ».

Le guide « Managing the Business Risk of Fraud, A Practical Guide » définit la fraude comme
« tout(e) acte ou omission délibéré(e) visant à tromper un tiers et ayant pour résultat une
perte subie par la victime et/ou un gain obtenu par l'auteur ».

49 | P a g e
 1.2. Pourquoi la fraude est-elle commise ?
Trois conditions doivent exister pour que la fraude ait lieu : le motif, l'opportunité et la
rationalisation. Lorsque ces conditions sont réunies on parle du « triangle de fraude ».

 Motif.
La pression ou l'incitation représente un besoin qu'une personne tente de satisfaire en
commettant une fraude. Souvent, la pression vient d'un problème ou d'un besoin financier
urgent. Cela peut être le besoin de conserver son travail ou de gagner une prime. Dans les
entreprises cotées en bourse, il peut y avoir la pression de réaliser ou de renverser les prévisions
des analystes. Ainsi, il est possible de gagner une grosse prime ou autre récompense financière
en fonction de la réalisation de certains objectifs de performance. Le fraudeur a un désir de
conserver sa position dans l'organisation et de garder un certain niveau de vie pour rivaliser
avec ses pairs tels qu'il les perçoit.

 Opportunité.
L'opportunité est la capacité de commettre une fraude sans être repéré. Étant donné que les
fraudeurs ne veulent pas être surpris dans leurs agissements, ils doivent penser que leurs
activités ne seront pas découvertes. L'opportunité est créée par la faiblesse des contrôles
internes, la médiocrité de la gestion ou l'absence de supervision de la part du conseil et/ou par
l'utilisation de l'autorité et de la position d'une personne pour contourner les contrôles.
L'incapacité à établir des procédures adéquates pour la détection d'activités frauduleuses
augmente également les possibilités qu'une fraude soit commise. Un processus peut être conçu
comme il le faut pour des conditions classiques ; toutefois, une occasion peut se présenter,
créant des circonstances qui entraînent l'échec du contrôle. Il est possible que des personnes
occupant des positions d'autorité puissent créer des occasions de contourner les contrôles
existants car des subordonnés ou des contrôles faibles leur permettent de contourner les
contrôles.

 Rationalisation.
La rationalisation est la capacité d'une personne à justifier une fraude, une composante cruciale
dans la plupart des fraudes. Elle implique une personne conciliant son comportement (p. ex. le
vol) avec les notions communément admises de décence et de confiance. Par exemple, le
fraudeur fait passer son bien-être en priorité (égocentrisme) par rapport au bien-être de
l'organisation ou de la société dans son ensemble. La personne peut penser que commettre la
fraude est justifié quand il s'agit de sauver un membre de sa famille ou un être cher pour payer
des soins médicaux onéreux. Parfois, la personne qualifie simplement le vol « d'emprunt » et a
l'intention de rembourser ultérieurement l'argent volé. Certaines personnes feront des choses
définies comme inacceptables par l'organisation et qui sont pourtant monnaie courante dans
leur culture ou qui étaient acceptées par leurs précédents employeurs. Par conséquent, elles
peuvent rationaliser leur comportement en pensant que les règles ne s'appliquent pas à elles.

50 | P a g e
 1.3. Éléments particuliers à prendre en compte concernant la détection et les enquêtes
de fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont souvent utilisés.
Dans le cadre de ses missions, l'auditeur interne porte diverses responsabilités en matière de
détection des fraudes. Il doit :

 Considérer les risques de fraude dans l'évaluation de la conception des contrôles et la

détermination des étapes d'audit à effectuer.
 Avoir une connaissance suffisante de la fraude pour identifier les signaux d'alerte
suggérant qu'une fraude a pu être commise.
 Rester vigilant quant aux opportunités de fraude, telles que les faiblesses du contrôle.
 Évaluer les indices de fraude et décider si une action complémentaire est nécessaire ou
si une enquête doit être recommandée.
 Informer les autorités compétentes au sein de l'organisation s'il est déterminé qu'une
fraude a été commise, afin de recommander une enquête.

Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant
posséder une compréhension suffisante des contrôles internes pour identifier les opportunités
de fraude. Ils doivent également comprendre les mécanismes de fraude, être sensibles aux
signes annonciateurs de fraude et savoir comment empêcher la fraude

2. Identification des types de fraude les plus courants

Travaux de recherche à préparer par les étudiants (discussions et débats).

3. Modalités d'enquête en matière de fraude

Travaux de recherche à préparer par les étudiants (discussions et débats).

51 | P a g e