Académique Documents
Professionnel Documents
Culture Documents
AUDIT INTRNE
L3CCA/ESGIS
1|Page
A
t Interne
AUDIT INTERNE
La fonction d’audit interne est une fonction relativement récente puisque son apparition (ou sa
réapparition, diraient certains) remonte à la crise économique de 1929 aux États-Unis.
Les entreprises subissaient alors de plein fouet la récession économique et l’ordre du jour était
aux économies de toute nature. Les comptes furent passés au peigne fin en vue d’une réduction
des charges. Or les grandes entreprises américaines utilisaient déjà les services de Cabinets
d’audit externe, organismes indépendants ayant pour mission la certification des comptes,
bilans et états financiers. Là comme ailleurs, on chercha le moyen de réduire le montant des
dépenses et on s’avisa que pour mener à bien leurs travaux de certification les auditeurs externes
devaient se livrer à de nombreuses préparatoires : inventaires de toute nature, analyses de
comptes, sondages divers et variés, etc. On en vint donc tout naturellement à suggérer de faire
assumer certains de ces travaux préparatoires par du personnel de l’entreprise. Les cabinets
d’audit externe donnèrent leur accord sous la condition d’une certaine supervision.
Ainsi apparurent ces « auditeurs » puisqu’ils effectuaient des travaux d’audit, au sens où on
l’entendait alors, mais « internes » puisque membres à part entière des entreprises. Ils
participaient aux travaux courants des auditeurs externes sans toutefois en établir les synthèses
et les conclusions. « Petites mains », « sous-traitants » des auditeurs externes, ils permirent
d’atteindre l’objectif initialement fixé : l’allégement des charges des entreprises. Ainsi est né,
non pas la fonction mais le mot.
La crise passée, on continua à les utiliser puisqu’ils avaient acquis la connaissance et la pratique
de méthodes et outils appliqués au domaine comptable ; peu à peu ils en élargirent le champ
d’application et en modifièrent insensiblement les objectifs. Mais longtemps encore la fonction
d’audit interne va conserver dans la mémoire collective ce patrimoine héréditaire. Et ce d’autant
plus aisément qu’il s’agit là d’une histoire récente. Au regard des grandes fonctions
traditionnelles de l’entreprise : fonction de production, fonction commerciale, fonction
comptable… qui ont toujours existé, on mesure à quel point la fonction d’audit interne en est
encore à ses premiers pas.
2|Page
Situations hétérogènes
Bien que rassemblées au sein d’un même institut professionnel : l’Institut de l’Audit Interne
(IIA), les entreprises et organisations qui pratiquent l’audit interne en donnent un panorama
assez hétérogène.
Sans doute l’IIA traduit et contribue à promouvoir la pratique dominante qui peu à peu s’impose
à tous, mais cette pratique est, par la nature des choses, fortement colorée par la culture des
entreprises. Cette dimension culturelle se perçoit dans les formations, les organisations, les
méthodes de travail, le vocabulaire.
Les outils de travail eux-mêmes sont influencés par la culture. Telle entreprise à dominante
technique voit ses auditeurs privilégier les interrogations informatiques, sondages statistiques,
outils mathématiques, telle autre à dominante financière a un service d’audit utilisant de façon
préférentielle les ratios, les contrôles et les rapprochements comptables.
Certaines ne pratiquent la fonction que dans le domaine financier (le poids des origines) alors
que dans le même temps d’autres abordent des rivages encore peu explorés : techniques de
pointe, management général, environnement, etc.
Vocabulaire instable
Le vocabulaire traduit l’importance de cette dimension culturelle. Les organisations qui n’en
sont qu’au début vont utiliser un vocabulaire très largement inspiré des pratiques des auditeurs
externes, l’usage imprudent d’un « mauvais mot » pouvant parfois même conduire à des
divergences doctrinales.
Mais plus simplement, et plus généralement, le vocabulaire est emprunté à une fonction voisine,
il n’est pas spécifique : papiers de travail, référencement, ajustement, certification, conformité,
reporting, etc. sont des mots antérieurs à la fonction d’audit interne et que celle-ci s’est
appropriée avec une propension plus ou moins grande selon l’ancienneté du service.
Divergences doctrinales
Elles sont perceptibles dans les ouvrages, dans les discours, elles se traduisent dans la pratique
des entreprises. Toutes ont pour fondement la conception même de l’audit interne selon que
l’on considère le caractère répressif ou préventif du rôle de l’auditeur.
3|Page
de nature différente. Elles impliquent également des profils d’auditeurs tout à fait
dissemblables, avec des psychologies spécifiques. La conception « policière » conduit à faire
fonctionner les services d’audit interne avec des cadres très confirmés, dotés de solides
compétences professionnelles.
Peu à peu tous s’accordent pour ne pas confondre « audit interne » et « inspection », et de fait
nous verrons que la grande majorité des entreprises retient aujourd’hui la conception du conseil
et du consultant conformément à la nouvelle définition de l’audit interne ; ce qui n’exclut pas
les tendances et les nuances.
Ce qualificatif doit être compris dans un double sens : c’est une fonction universelle car elle
s’applique à toutes les organisations, mais c’est aussi une fonction universelle car elle
s’applique à toutes les fonctions là où elle s’exerce.
Le terme « entreprise » est insuffisant pour qualifier le champ d’application de l’audit interne.
La fonction ne se confond pas nécessairement avec une structure propre. On peut imaginer une
fonction d’audit interne sans service spécifique, mise en œuvre par d’autres agents de
l’entreprise. Quels sont ces « autres agents » qui pourraient éventuellement mettre en œuvre la
fonction dans un organisme qui ne posséderait pas de service spécifique ?
ce pourrait être le chef d’entreprise lui-même, dans ce cas juge et partie, mais qui pourrait
améliorer son diagnostic, et donc sa gestion, par l’utilisation de la méthodologie d’audit.
On verra que cette tendance se développe avec le self-audit ;
ce pourrait être aussi un de ses collaborateurs directs, mais on s’éloignerait encore plus
de la norme et donc des conditions de fonctionnement de l’audit interne.
Cette situation ne serait donc pas sans poser de graves problèmes d’incompatibilités
éventuelles, mais l’évoquer revient à souligner à quel point la fonction peut être indépendante
de la taille de l’entreprise. Et même si la dimension est souvent invoquée comme un obstacle à
l’implantation d’un service d’audit interne, elle ne peut véritablement être retenue que pour les
petites structures. Dans les moyennes entreprises, il s’agit bien davantage d’une résistance
culturelle, largement due à un manque d’information.
4|Page
Si l’audit interne s’applique à toutes les tailles d’entreprises, il s’applique également à toutes
les natures d’entreprises. L’entreprise à vocation commerciale est autant concernée que
l’entreprise industrielle ou l’entreprise de services.
C’est probablement dans cette dernière catégorie, excepté le secteur bancaire, que la fonction
d’audit interne a encore le moins pénétré, et sans doute parce que la dimension multinationale
qui a favorisé le développement de la fonction, s’est d’abord rencontrée dans les secteurs
industriel et bancaire.
Au-delà des entreprises, les associations de toute nature, les sociétés civiles et même les
organismes confessionnels ou religieux peuvent et doivent être intéressés par cette fonction dès
l’instant qu’ils ont acquis une certaine dimension.
Dans chacune de ces organisations l’audit interne et cela n’est pas encore clairement perçu par
tous – s’applique à toutes les fonctions sans exclusive.
Nombreux sont encore ceux qui, lorsqu’on parle d’audit interne, pensent fonction financière et
comptable. La fonction a, de fait, largement débordé ses limites historiques et concerne, sinon
dans la pratique, à tout le moins dans sa conception théorique, toutes les fonctions sans
restriction aucune. On peut donc décliner toutes les fonctions de l’entreprise : l’auditeur interne
va y exercer ses activités pour le plus grand profit de tous.
Comptabilité, trésorerie, sont bien évidemment inscrites au plan d’audit interne, mais avec des
objectifs complémentaires par rapport à ceux assignés aux auditeurs externes. Nous verrons, à
l’occasion du positionnement de la fonction, en quoi ces objectifs diffèrent. Mais nous verrons
aussi à quel point audit interne et audit externe sont appelés à collaborer, tant est grande la
complémentarité de leur action.
Marketing, ventes, publicité, stockage, transports, tous ces domaines doivent être explorés par
l’auditeur interne. On perçoit bien que dans cette approche, l’aspect financier et comptable n’est
pas seul concerné. L’universalité des objectifs de l’audit interne conduit à analyser tous les
autres aspects de la fonction : relations commerciales et publicité, solvabilité du client, qualité
des livraisons, recherche des prospects, etc.
Fonction fabrication/production
Au sens le plus large du terme, c’est-à-dire incluant aussi bien l’examen des installations de
fabrication, que celui de la production, de la maintenance, des investissements, de la sécurité
industrielle, etc. Ce qui veut dire en clair que l’auditeur interne est présent aussi bien dans les
5|Page
usines et sur les chantiers que dans les bureaux. Sans doute, la réunion d’un certain nombre de
conditions est-elle nécessaire pour parvenir à cette situation, en particulier l’exigence d’une
culture technique, à tout le moins pour les entreprises à haute technologie.
Mais, si on veut donner à la fonction la plénitude de sa dimension on comprend bien qu’il est
nécessaire que l’équipe d’audit interne soit composée d’auditeurs de toutes origines et de toutes
formations, ce qui est d’ailleurs préconisé par les normes professionnelles.
L’auditeur informatique qui n’est pas un auditeur ayant appris l’informatique, mais
nécessairement un informaticien formé à la méthodologie et aux outils d’audit interne, cet
auditeur informatique exerce son talent dans cinq directions fondamentales :
l’audit des centres informatiques, et pas seulement les centres informatiques de gestion
mais également l’informatique industrielle, l’informatique de « process » comme disent
les Anglo-Saxons, c’est-dire celle qui concourt à la fabrication automatisée. Bref partout
où il y a du hardware, il y a matière à audit ;
l’audit de la bureautique dans toute son étendue, sa diversité et sa complexité ;
l’audit des réseaux informatiques, nécessaire complément des deux points antérieurs,
lequel exige de la part des auditeurs un niveau de compétence technique assez élevé.
C’est-à-dire que toutes les équipes d’audit ne sont pas en mesure d’aborder ces
questions ; il leur faut alors trouver des solutions de substitution ;
l’audit des systèmes en exploitation et des logiciels applicatifs. Ce domaine recouvre ici
l’ensemble des autres fonctions de l’entreprise dans la mesure où celles-ci font largement
appel à l’informatique. L’audit informatique est alors dans ce cas particulier une
spécificité de chacune des fonctions ;
l’audit des systèmes en développement qui présente les mêmes caractéristiques que le
précédent puisqu’il se situe en amont de l’exploitation. Il faut ici souligner que le rôle de
l’auditeur ne peut pas et ne doit pas se confondre avec celui des responsables en charge
du développement. Là comme ailleurs, l’auditeur n’est pas celui qui « fait les choses »,
mais celui qui « regarde comment les choses sont faites ».
Fonctions de gestion
Nous englobons sous ce vocable tout ce qui a pu être omis dans l’énumération antérieure.
Gestion du personnel, au sens le plus large et dans toutes ses composantes, logistique générale
de l’entreprise, depuis le nettoyage des bureaux jusqu’à l’archivage en passant par le
gardiennage et l’imprimerie, toutes ces activités doivent être inscrites au programme de travail
de l’auditeur interne. Et comme il y a de plus en plus de fonctions codifiées et normalisées, le
champ ne cesse de s’étendre : hier la qualité, aujourd’hui l’environnement.
6|Page
Fonction managériale
Certains affirment qu’il faut l’exclure, qu’elle constitue l’exception qui confirme la règle. Il
s’agit là sans nul doute d’un repli devant la difficulté car il n’est pas douteux qu’étendre ainsi
l’audit interne n’est pas chose aisée, en effet, il convient de vaincre un double obstacle :
l’obstacle créé par la Direction Générale elle-même qui, si elle ne connaît pas bien la
fonction, ou pire encore, si elle s’en fait une idée fausse, ne donnera pas son aval à une
telle entreprise ;
l’obstacle créé par l’auditeur interne lui-même qui aura à veiller à ne pas porter de
jugement sur la nature de l’action de la Direction, ce qui bien évidemment, va rendre sa
tâche difficile.
Pour l’essentiel, l’audit interne est une fonction universelle, et c’est aussi une fonction
périodique.
C’est une fonction permanente dans l’entreprise, mais c’est une fonction qui est périodique pour
ceux qui la rencontrent. Les « audités » (chefs de service, chefs de départements, Directeurs)
reçoivent les auditeurs en mission pour une semaine ou deux semaines ou trois mois ; puis,
mission terminée, ceux-ci s’en vont. Ils reviendront dans deux ans, dans trois ans ou dans cinq
ans selon une fréquence qui sera fonction de l’importance du risque dans l’activité auditée.
Donc fonction à éclipses dans la mesure où le travail n’est pas exercé en permanence au même
endroit.
Mais les activités permanentes de l’audit interne qui du 1er janvier au 31 décembre va tourner
dans l’entreprise pour exercer ses missions dans tous les secteurs.
Cette périodicité des missions est calculée selon le risque de chaque activité : activité à haut
risque ? Cela implique des missions fréquentes.
Activités à risque faible ? Cela implique des missions plus espacées dans le temps.
Un service d’audit interne bien organisé doit donc impérativement disposer d’un outil de
mesure du risque pour calculer la fréquence de ses missions. Il est intéressant de souligner, dès
à présent, que le caractère permanent implique pour l’auditeur interne l’exclusion de toute
responsabilité dans des fonctions opérationnelles en dehors de ses missions d’audit. Cette règle
est à la fois une nécessité pratique et une exigence déontologique. C’est une nécessité pratique
car on ne peut être à la fois juge et partie, auditeur et responsable opérationnel. C’est également
une exigence déontologique car elle est imposée par la nécessité de tout auditer et de le faire
sans aucun subjectivisme.
7|Page
Section 2 - Champ d’application
Tout comme la technique comptable distingue les dépenses par nature et les dépenses par
destination, critère de la distinction entre comptabilité générale et comptabilité analytique, de
même l’audit interne distingue un classement par objectifs (ou par nature) et un classement par
destination, l’un et l’autre pouvant être disposés dans un tableau à double entrée.
1. Audit de conformité
Autrement dit, il va travailler par rapport à un référentiel et c’est en cela que son travail est
relativement simple. L’auditeur, s’étant informé sur tout ce qui devrait être, signale au
responsable les distorsions, les non-applications (évitables ou inévitables), les mauvaises
interprétations des dispositions établies ; il en analyse les causes et les conséquences et
recommande ce qu’il convient de faire pour qu’à l’avenir les règles soient appliquées. Cette
mission est rapportée à l’audité qui en fait son profit.
2. Audit d’efficacité
Progressivement les objectifs assignés à l’auditeur interne ont été élargis. Étant devenu un
spécialiste du diagnostic, de l’appréciation des méthodes, procédures, analyses de postes,
organisation du travail, l’auditeur a pris l’habitude d’émettre une opinion, non plus seulement
sur la bonne application des règles, mais également sur leur qualité.
Dans cette démarche, l’auditeur interne est d’autant plus efficace que son professionnalisme, sa
connaissance de l’entreprise, son savoir-faire dans la fonction auditée sont plus importants. On
voit tout naturellement s’esquisser le partage des tâches : à l’auditeur junior les audits de
conformité et de régularité, mais à l’auditeur senior, plus expérimenté, les audits d’efficacité.
Lorsqu’on parle d’audit d’efficacité, on va au plus simple englobant à la fois les notions
d’efficacité et d’efficience. C’est pourquoi, il serait plus cohérent de parler d’audit de
performance, mais le vocable « audit d’efficacité » est maintenant entré dans la pratique.
3. Audit de management
Il ne s’agit pas, d’auditer la Direction Générale en portant un quelconque jugement sur ses
options stratégiques et politiques.
8|Page
L’audit du management, c’est observer les choix et les décisions, les comparer, les mesurer
dans leurs conséquences et attirer l’attention sur les risques ou les incohérences. L’audit de
management va consister à réaliser l’audit de ce processus d’élaboration de la stratégie ; donc
là également, audit de conformité mais portant sur une matière noble, dans laquelle la Direction
Générale est impliquée au premier chef, savoir le respect des règles définies pour l’élaboration
de la stratégie.
4. Audit de stratégie
On commence à parler d’audit de stratégie, conçu comme une confrontation de l’ensemble des
politiques et stratégies de l’entreprise avec le milieu dans lequel elles se situent pour en vérifier
la cohérence globale. Cette conception confirme la pétition de principe en vertu de laquelle
l’auditeur interne ne saurait en aucun cas prétendre apprécier les politiques et stratégies, son
rôle se limite à souligner éventuellement les incohérences. Observons cependant que ces
simples révélations peuvent conduire la direction générale à modifier au fond tel ou tel point
pour retrouver une cohérence globale.
Il s’agit là d’audits de haut niveau, exigeant des compétences sérieuses et qui – en dépit des
déclarations – ne sont encore pratiqués que par quelques-uns. Il est certain que cette ultime
étape en cours de développement laisse présager des conceptions plus élaborées de l’audit
interne. Les avancées pressenties sur l’audit du gouvernement d’entreprise prennent place dans
ce contexte.
Section 3- Définitions
Fonction évolutive, l’audit interne a vu se succéder plusieurs définitions avant que la notion ne
soit stabilisée.
Nous retenons dans ce cours la position de l’IIA.
9|Page
L’audit interne est mené par des professionnels ayant une connaissance approfondie de la
culture, des systèmes, et des processus d'affaires. Les activités d’audit interne peuvent être
effectuées par des personnes internes ou extérieures à l’organisation.
Les auditeurs internes sont la conscience et les conseillers d’une organisation et permettent de
favoriser l’efficacité des opérations, le contrôle interne et la gestion des risques. Ils informent
la direction et le conseil d'administration (et/ou d'autres structures de surveillance de
gouvernance) et leur soumettent des recommandations dans le but d'aider l'organisation à
atteindre ses objectifs. Pour remplir ces responsabilités, les auditeurs internes doivent faire
preuve de professionnalisme, objectivité, connaissance, intégrité et leadership.
Le texte suivant définit et explique les termes clés de la définition d’audit Interne.
1.1. Indépendance organisationnelle et objectif individuel
La première partie définit l'audit interne comme étant une « . . . assurance indépendante et
objective et une activité de conseil . . . . » L'indépendance et l'objectivité individuelle de
l'organisation constituent la base même de l'audit interne; toute confiance des parties prenantes
dans le travail des auditeurs repose sur ce fondement.
La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation ». Le Glossaire des Normes définit
le RAI comme « occupant un poste de direction chargé de gérer efficacement l'activité d'audit
interne conformément à la charte de l'audit interne et à la Définition de l'audit interne, au Code
de déontologie et aux Normes ». Que représente l'indépendance organisationnelle pour un
auditeur interne qui lui est après tout généralement un employé ?
L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts qu'ils soient
évidents ou apparents, ce qui signifie que si une situation pourrait être perçu comme un conflit
d'intérêt cela pourrait nuire à la crédibilité de l'auditeur interne.
1.2. Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999 seulement, mais il
reflète le rôle croissant de l’audit interne au niveau des conseils à valeur ajoutée et des
10 | P a g e
suggestions liées aux décisions axées sur l'avenir. Les auditeurs peuvent participer au niveau
décisionnel car les processus sont en cours d’évolution pour que les contrôles adéquats soient
mis en place dans le cadre de nouveaux projets ou processus et ce depuis leur création. À partir
du moment où les auditeurs internes indiquent clairement qu’ils ne prennent aucune décision
d'eux-mêmes, cela ne compromet pas l’indépendance lorsque ces derniers donnent un conseil
ou proposent des suggestions.
Les auditeurs internes étaient et sont souvent les premiers à établir une évaluation complète de
la gestion des risques d’une entreprise et la plupart d’entre eux ont participé à la mise en place
de cette fonction au sein d'une organisation. Pour éviter toute perte d’indépendance ou
d’objectivité, certaines organisations ont nommé un auditeur interne au poste de responsable de
la gestion des risques tandis que d’autres organisations déterminent ces activités de gestion des
risques dans le cadre de missions de conseil.
Les auditeurs internes doivent être compétents dans chacune des trois activités. D'après les
exigences de la norme 2100, « Nature du travail » : La mise en œuvre du Cadre des pratiques
professionnelles résume succinctement la façon dont les auditeurs internes doivent évaluer et
contribuer à l'amélioration de la gestion des risques, du contrôle et des systèmes de
gouvernance. Ces points sont présentés comme suit :
Risque
Aider une organisation à gérer le risque :
11 | P a g e
Contrôle
Aider une organisation à conduire des contrôles efficaces :
Gouvernance
Aider une organisation à évaluer le processus de gouvernement d’entreprise et formuler des
recommandations en vue de son amélioration. A cet effet, il détermine si le processus répond
aux objectifs suivants :
L'activité d'audit interne doit déterminer la meilleure façon de réaliser les activités dans les trois
domaines. Des facteurs tels que la culture organisationnelle, le rôle du groupe d'audit interne
dans l'organisation et les attentes des intervenants aideront à forger les pratiques spécifiques
d'audit interne.
2. Code de d’éthique
Les codes de déontologie contribuent à encourager un comportement conforme à l'éthique, à
prévenir les agissements contraires à l'éthique et à faire face aux dilemmes éthiques.
Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des normes de
conduite généralement acceptées et profitables à une organisation comme à ses clients. Il établit
une approche uniforme pour orienter les comportements. La conduite éthique dépend bien sûr
d'un engagement à « bien agir », mais elle requiert également une vision claire de ce qu'est la
bonne action. Avoir une vision nette des questions éthiques peut parfois être difficile. Les
conflits d'intérêt soulevés presque inévitablement par toute profession ayant plusieurs
responsabilités (envers la profession elle-même, envers les collègues, envers les clients, envers
les employeurs et envers la communauté) jettent parfois une ombre sur la ligne séparant la
bonne action de l'action habituelle, de l'action facile ou de l'action rentable.
12 | P a g e
Le glossaire des Normes définit le Code de déontologie de l’IIA comme « une mise en œuvre
pratique des principes fondamentaux de l'audit interne et a pour but de guider la conduite
éthique des auditeurs internes. Le Code de déontologie s’applique aux parties et entités
qui fournissent des services d’audit interne ».
Tous les RAI (quel que soit leur état de service actuel) doivent se soumettre au Code de
déontologie de l’IIA, tel que montré dans l’illustration I-3 plus bas.
Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services
d’audit interne. Toute violation du Code de Déontologie par des membres de l’Institut, des
titulaires de certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet
d’une évaluation et sera traitée en accord avec les statuts de l’Institut et ses directives
administratives. Le fait qu’un comportement donné ne figure pas dans les règles de conduite ne
l’empêche pas d’être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire
à l’encontre de la personne qui s’en est rendu coupable.
2.2. Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la
crédibilité accordées à leur jugement.
Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité
professionnelle en collectant, évaluant et communiquant les informations relatives à
l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable
13 | P a g e
tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs
propres intérêts ou par autrui.
Confidentialité : Les auditeurs internes respectent la valeur et la propriété des
informations qu’ils reçoivent; ils ne divulguent ces informations qu’avec les
autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige
à le faire.
Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les
savoir-faire et expériences requis pour la réalisation de leurs travaux.
2.3.1. Intégrité
2.3.2. Objectivité
Les auditeurs internes :
e) Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce
principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en
conflit avec les intérêts de leur organisation.
f) Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
g) Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.
2.3.3. Confidentialité
Les auditeurs internes :
h) Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de
leurs activités.
i) Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs
éthiques et légitimes de leur organisation.
14 | P a g e
2.3.4. Compétence
Les auditeurs internes :
j) Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le
savoir-faire et l’expérience nécessaires.
k) Doivent exercer des services d'audit interne en accord avec les Normes internationales
pour la pratique professionnelle de l'audit interne.
l) Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.
L'objectivité peut être compromise si l'auditeur interne doit auditer un département dans lequel
il a travaillé au cours des 12 derniers mois, ou prévoit d'y travailler dans un futur proche. La
norme 1130.A1, « Atteinte à l'indépendance et à l'objectivité », donne des conseils
spécifiques sur ce type de conflit et indique, « Les auditeurs internes doivent s'abstenir d'auditer
des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur
interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a
eu la responsabilité au cours de l’année précédente ».
Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut être difficile,
en début de mission, de déterminer si une personne est ou n'est pas compétente pour ladite
mission, surtout lorsque la fierté professionnelle ou l'éventualité d'une promotion semble être
en jeu. L'aveu « Je ne peux pas le faire » ne suscite généralement que très peu de soutien.
Cependant, les principes du Code et Règles de conduite sont à appliquer obligatoirement
seulement lorsque ceux-ci sont compatibles avec les principes législatifs.
Ces situations de conflits d'intérêts font de la conduite éthique un défi - c'est pour cela que les
codes de conduites sont nécessaires. Dans une situation qui n'est pas couverte par les Règles
de conduite, l'auditeur doit appliquer les principes pour déterminer l'attitude éthique. Il peut être
aussi utile de demander conseil à ceux qui peuvent avoir une plus grande objectivité ou plus
d'expérience.
15 | P a g e
de définir les principes fondamentaux de la pratique de l'audit interne ;
de fournir un cadre de référence pour la réalisation et la promotion d'un large champ
d’intervention d'audit interne à valeur ajoutée ;
d'établir les critères d'appréciation du fonctionnement de l'audit interne ;
de favoriser l'amélioration des processus organisationnels et des opérations.
Les Normes se composent des Normes de qualification, des Normes de fonctionnement. Les
Normes de qualification énoncent les caractéristiques que doivent présenter les organisations et
les personnes accomplissant des missions d'audit interne. Les Normes de fonctionnement
décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant
de mesurer la performance des services fournis. Les Normes de qualification et les Normes de
fonctionnement s’appliquent à tous les services d’audit.
Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de
fonctionnement en indiquant les exigences applicables dans les activités d’assurance (A) ou de
conseil (C).
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en
vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une
opération, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne
détermine la nature et l'étendue des missions d’assurance.
Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et
leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux
intervenants :
la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne, et
la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la
réalisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et
n'assumer aucune fonction de management.
Les Normes s’appliquent aux auditeurs internes et à l'activité d’audit interne. Tous les auditeurs
internes ont la responsabilité de se conformer aux Normes relatives à l’objectivité, aux
16 | P a g e
compétences et à la conscience professionnelle individuelles. De plus, ils doivent se conformer
aux Normes relatives aux responsabilités associées à leur poste. Les responsables de l’audit
interne ont la responsabilité d’assurer la conformité globale de l'activité d’audit interne avec les
Normes et d’en rendre compte.
1. Normes de qualification
Interprétation :
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les
responsabilités de cette activité. La charte définit la position de l'audit interne dans
l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l’audit
interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires
à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation
finale de la charte d’audit interne relève de la responsabilité du Conseil.
1000.A1 - La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions
d'assurance à l'extérieur de l'organisation, leur nature doit être également définie
dans la charte d'audit interne.
1000.C1 - La nature des missions de conseil doit être définie dans la charte d'audit
interne.
17 | P a g e
restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double
rattachement. Les atteintes à l’indépendance doivent être appréhendées à différents niveaux :
au niveau de l’auditeur interne ;
au niveau de la conduite de la mission ;
au niveau de l’audit interne et de son positionnement dans l’organisation.
L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans
compromis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre
jugement à celui d’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité
doivent être appréhendées au niveau de :
l’auditeur interne ;
la conduite de la mission ;
l’audit interne et de son positionnement dans l’organisation.
18 | P a g e
Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter
tout conflit d'intérêt.
Interprétation :
Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui
jouit d’une position de confiance, a un intérêt personnel ou professionnel venant en
concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur
d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si
aucun acte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer
une situation susceptible d’entamer la confiance en l’auditeur interne, vis-à-vis du service
d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacité d’un
individu à conduire ses activités et exercer ses responsabilités de manière objective.
1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de
conseil liées à des opérations dont ils ont été auparavant responsables.
19 | P a g e
Les missions doivent être conduites avec compétence et conscience professionnelle.
1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit
interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de ses responsabilités.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique
utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer
pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs
internes sont encouragés à démontrer leurs compétences en obtenant des certifications et
qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout
autre diplôme promu par l’IIA ou par d’autres organisations professionnelles appropriées.
1210.A3 - Les auditeurs internes doivent posséder une connaissance suffisante des
principaux risques et contrôles relatifs aux technologies de l'information, et des
techniques d'audit informatisées susceptibles d'être mises en oeuvre dans le cadre
des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas
censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit
informatique.
1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments suivants :
20 | P a g e
l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;
la complexité relative, la matérialité ou le caractère significatif des domaines
auxquels sont appliquées les procédures propres aux missions d'assurance ;
l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de
management des risques et de contrôle ;
la probabilité d'erreurs significatives, de fraudes ou de non-conformité;
le coût de la mise en place des contrôles par rapport aux avantages escomptés.
1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute
leur conscience professionnelle, en prenant en considération les éléments suivants
:
les besoins et attentes des clients, y compris sur la nature, le calendrier et la
communication des résultats de la mission ;
la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les
objectifs fixés ;
son coût par rapport aux avantages escomptés.
21 | P a g e
Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes
qu’externes.
1311 – Évaluations internes
Les évaluations internes doivent comporter :
une surveillance continue de la performance de l'audit interne ;
des évaluations périodiques, effectuées par auto-évaluation ou par d'autres
personnes de l'organisation possédant une connaissance suffisante des
pratiques d'audit interne.
Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du
suivi de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et
les pratiques courantes de gestion du service d’audit interne. Ce contrôle utilise les processus,
les outils et les informations nécessaires à l’évaluation du service d’audit interne en termes de
conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Les évaluations périodiques sont conduites pour apprécier également la conformité du service
d’audit interne à la définition de l’audit interne au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension
de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
Interprétation
Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée
ou d’une auto-évaluation avec validation indépendante externe.
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences
professionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de
l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est
qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
22 | P a g e
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de
l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de
conflit d’intérêt réel ou apparent.
Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences
de la définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de
résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans
d’ancienneté disposeront également des résultats de leurs évaluations externes.
2. Normes de fonctionnement
23 | P a g e
Interprétation :
L’activité d’audit interne est gérée efficacement quand :
les résultats des travaux de l’audit interne répondent aux objectifs et
responsabilités définis dans la charte d’audit interne ;
l’audit interne est exercé conformément à la définition de l’audit interne et
aux Normes;
les membres de l’équipe d’audit agissent en respectant le Code de
Déontologie et les Normes.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à
l’efficience ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management
des risques et de contrôle interne.
2010 – Planification
Le responsable de l'audit interne doit établir un plan d’audit fondé sur les risques afin de définir
des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les
risques. Pour se faire, le responsable de l’audit interne prend en compte le système de
management des risques défini au sein de l’organisation, il tient notamment compte de
l’appétence pour le risque définie par le management pour les différentes activités ou branches
de l’organisation. Si ce système de management des risques n’existe pas, le responsable de
l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération
le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit,
le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités,
les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation.
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la direction
générale et du Conseil doivent être pris en compte dans ce processus.
2010.A2 - Le responsable de l’audit interne doit identifier et prendre en
considération les attentes de la direction générale, du Conseil et des autres parties
prenantes concernant les opinions et d’autres conclusions de l’audit interne.
2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit
interne, avant de l'accepter, devrait considérer dans quelle mesure elle est
susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et
le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées
doivent être intégrées dans le plan d'audit.
Interprétation
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres
compétences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes,
la quantité de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises
en œuvre efficacement quand elles sont utilisées de manière à optimiser la réalisation du plan
d’audit.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est
structuré l’audit interne et de la complexité de ses travaux.
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.
Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction
générale et le Conseil et dépendent de l’importance des informations à communiquer et de
l’urgence des actions correctives devant être entreprises par la direction générale et le Conseil.
25 | P a g e
2070 – Responsabilité de l’organisation en cas de recours à un prestataire externe
pour ses activités d’audit interne
Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce dernier
doit alerter l’organisation qu’elle reste responsable du maintien d’un audit interne efficace.
Interprétation :
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité,
lequel évalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les
Normes.
2100 – Nature du travail
L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.
Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs
internes doivent s’assurer que :
les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
les risques significatifs sont identifiés et évalués ;
les modalités de traitement des risques retenues sont appropriées et en adéquation avec
l’appétence pour le risque de l’organisation ;
26 | P a g e
les informations relatives aux risques sont recensées et communiquées en temps
opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie
et au Conseil d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
différentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension du processus
de management des risques de l’organisation et de son efficacité.
Les processus de management des risques sont surveillés par des activités de gestion
permanente, par des évaluations spécifiques ou par ces deux moyens.
27 | P a g e
le respect des lois, règlements, règles, procédures et contrats.
28 | P a g e
Conseil a défini des critères adéquats pour apprécier si les objectifs et les buts ont
été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser
dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler
avec le management et/ou le Conseil pour élaborer des critères d'évaluation
appropriés.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrôle dans la
limite convenue avec le client.
2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec
les valeurs, la stratégie et les objectifs de l'organisation.
29 | P a g e
2300 – Accomplissement de la mission
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations
nécessaires pour atteindre les objectifs de la mission.
Interprétation :
Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne
prudente et informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une
information fiable est une information concluante et facilement accessible par l’utilisation de
techniques d’audit appropriées. Une information pertinente conforte les constatations et
recommandations de l’audit, et répond aux objectifs de la mission. Une information utile aide
l’organisation à atteindre ses objectifs.
Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs
internes, ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière
30 | P a g e
responsabilité de la supervision des missions qui sont réalisées par ou pour le compte du
service d’audit interne, mais il peut désigner d’autres membres de l’équipe d’audit interne
possédant l’expérience et la compétence nécessaires pour réaliser cette supervision. La preuve
de la supervision doit être documentée et conservée dans les papiers de travail.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,
lors de la communication des résultats de la mission.
2410.A3 – Lorsque les résultats de la mission sont communiqués à des
destinataires ne faisant pas partie de l'organisation, les documents communiqués
doivent préciser les restrictions à observer en matière de diffusion et d'exploitation
des résultats.
2410.C1 – La communication sur l'avancement et les résultats d'une mission de
conseil variera dans sa forme et son contenu en fonction de la naturede la mission
et des besoins du client donneur d'ordre.
Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits
sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une
évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une
communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un
langage excessivement technique et fournit toute l’information significative et pertinente. Une
communication concise va droit à l’essentiel et évite tout détail superflu, tout développement
31 | P a g e
non nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité
et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une
communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre
toute l’information significative et pertinente, ainsi que les observations permettant d’étayer
les recommandations et conclusions. Une communication émise en temps utile est opportune et
à propos, elle permet au management de prendre les actions correctives appropriées en
fonction du caractère significatif de la problématique.
32 | P a g e
consulter la direction générale et/ou, selon les cas, un conseil juridique ;
maîtriser la diffusion en imposant des restrictions quant à l'utilisation des
résultats.
Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.
Interprétation :
L’identification du niveau de risque accepté par le management peut résulter d’une mission
d’assurance, d’une mission de conseil, du suivi des plans d’actions du management à la suite
33 | P a g e
de missions d’audit interne antérieures, ou d’autres moyens. La réponse au risque ne relève
pas du responsable d’audit interne.
Le statut de l’auditeur
C’est une évidence mais qui est fondamentale. L’auditeur interne appartient au personnel de
l’entreprise, l’auditeur externe (cabinet international ou commissaire aux comptes) est dans la
situation d’un prestataire de services juridiquement indépendant.
L’auditeur externe certifie les comptes à l’intention de tous ceux qui en ont besoin :
actionnaires, banquiers, autorités de tutelle, clients et fournisseurs, etc.
Observons que pour atteindre ces objectifs les auditeurs externes auront, eux aussi, à apprécier
des dispositifs de contrôle interne, ceux qui précisément doivent en principe garantir les trois
caractéristiques fondamentales ci-dessus énoncées : ce seront donc des dispositifs de nature
essentiellement financière, comptable et quantitative.
Ces différences quant aux objectifs commandent et gouvernent toutes les autres :
34 | P a g e
Le champ d’application de l’audit
Eu égard à ses objectifs, le champ d’application de l’audit externe englobe tout ce qui concourt
à la détermination des résultats, à l’élaboration des états financiers et rien que cela ; mais dans
toutes les fonctions de l’entreprise.
L’auditeur externe qui limiterait ses observations et investigations au secteur comptable ferait
œuvre incomplète. Les professionnels le savent bien qui explorent toutes les fonctions de
l’entreprise et tous les systèmes d’information qui participent à la détermination du résultat et
cette exigence est de plus en plus grande au fur et à mesure que se développent les saisies à la
source
Le champ d’application de l’audit interne est beaucoup plus vaste puisqu’il inclut non
seulement toutes les fonctions de l’entreprise, mais également dans toutes leurs dimensions.
Ainsi, porter une appréciation technique sur l’entretien de tel matériel de fabrication ou
apprécier qualitativement les modalités de recrutement de l’encadrement est tout à fait dans le
champ d’application de l’audit interne et en dehors de celui de l’audit externe. Toutefois, ce
dernier est concerné par l’entretien ou le recrutement dans leurs dimensions financières.
La prévention de la fraude
L’audit externe est intéressé par toute fraude, dès l’instant qu’elle a, ou est susceptible d’avoir,
une incidence sur les résultats. En revanche, une fraude touchant, par exemple, à la
confidentialité des dossiers du personnel, concerne l’audit interne, mais non l’audit externe.
L’indépendance de l’auditeur
Il va de soi que cette indépendance n’est pas de même nature. L’indépendance de l’auditeur
externe est celle du titulaire d’une profession libérale, elle est juridique et statutaire ; celle de
l’auditeur interne est assortie des restrictions analysées au chapitre précédent.
L’auditeur interne travaille en permanence dans son entreprise sur des missions planifiées en
fonction du risque et qui l’occupent avec la même intensité quelle que soit la période. Mais
observons également que l’auditeur externe est en relation avec les mêmes interlocuteurs dans
les mêmes services, alors que l’auditeur interne change sans cesse d’interlocuteur. Du point de
vue relationnel c’est donc l’audit externe qui est permanent et l’audit interne périodique.
35 | P a g e
La méthode de l’auditeur
Les auditeurs externes réalisent leurs travaux selon des méthodes qui ont fait leurs preuves, à
base de rapprochements, analyses, inventaires. La méthode des auditeurs internes est spécifique
et originale ; elle sera décrite en détail dans la troisième partie de cet ouvrage.
Les différences entre les deux fonctions sont donc précises et bien connues ; il ne saurait y avoir
de confusion. Mais elles ne doivent pas s’ignorer car l’appréciation et la bonne mise en œuvre
de leur complémentarité sont pour l’organisation tout entière un gage d’efficacité.
Rappelons que les fonctions de consultant externe sont parfois exercées par des « cabinets
d’audit » qui disposent pour ce faire de spécialistes dans les domaines les plus variés ; mais
elles peuvent être également exercées par des experts de toute nature qui apportent à l’entreprise
le concours de leurs connaissances spécialisées. Mais les confusions entre auditeur externe et
consultant externe n’ont plus lieu d’être dès l’instant que le législateur a nettement séparé les
deux fonctions.
Par rapport à la fonction et aux missions de l’audit interne ces missions de consultant présentent
quatre spécificités originales :
Mais on peut dire que les deux fonctions se rapprochent depuis que l’on assigne à l’auditeur un
rôle de conseil. D’autant plus que la norme 2050 sur la nécessaire coordination des activités et
le partage des informations concerne également les consultants externes de toute nature.
Il faut simplement en déduire qu’entre auditeur interne et consultant externe il ne peut y avoir
élimination de l’un par l’autre mais, là également, collaboration et complémentarité.
Comme l’auditeur externe le consultant externe a le statut d’un expert indépendant.
Il n’en est pas de même de l’Inspecteur.
36 | P a g e
3. Audit interne et inspection
Les confusions sont ici nombreuses et les distinctions plus subtiles car comme l’auditeur
interne, l’inspecteur est membre à part entière du personnel de l’entreprise. Ces confusions sont
aggravées par la pratique et le vocabulaire : on trouve bien évidemment des inspecteurs qui font
de l’inspection mais on trouve également des « inspecteurs » qui, en fait, font de l’audit interne,
et on trouve aussi des inspecteurs qui font de l’inspection et de l’audit interne.
Les ressemblances
L’une et l’autre fonction s’intéressent à toutes les activités de l’entreprise et ont donc
un caractère universel.
Comme l’auditeur interne, le contrôleur de gestion n’est pas un opérationnel : il attire
l’attention, recommande, propose mais n’a pas de pouvoir opérationnel.
Les deux fonctions sont relativement récentes et encore en pleine période d’évolution
d’où la multiplication des interrogations et des incertitudes.
L’une et l’autre bénéficient généralement d’un rattachement hiérarchique préservant
leur indépendance et leur autonomie, c’est-à-dire au plus haut niveau de l’entreprise.
Mais les différences sont suffisamment importantes pour permettre de les identifier et de les
distinguer.
Les différences
37 | P a g e
peut dire que son rôle est de définir ou d’aider à définir la performance, sa mesure et son suivi
et à recommander les dispositions à prendre, il est le concepteur du système d’information de
l’entreprise et contribue à la définition des structures, actions totalement antinomiques avec
l’audit interne.
Ces responsabilités sont :
Comme lui, il travaille pour le demandeur de l’étude. Et comme lui, et ceci est une différence
importante par rapport à l’auditeur interne, il ne se contente pas de préconiser mais peut aller
38 | P a g e
jusqu’à la mise en œuvre de ses préconisations, lesquelles préconisations ne s’appuient pas
nécessairement sur un diagnostic préalable de l’entreprise : elles peuvent être des conceptions
nouvelles et originales dont la nécessité apparaît à la faveur de nouveaux développements ou
d’une nouvelle stratégie et ne visant pas nécessairement à l’amélioration de la maîtrise actuelle,
laquelle peut par ailleurs être jugée fort satisfaisante. On désire simplement, et pour des raisons
diverses, « faire autre chose et différemment », la situation nouvelle pouvant fort bien être plus
mal maîtrisée que l’ancienne. À ce moment, l’auditeur interne a à intervenir dans le nouveau
cadre récemment implanté.
Cette fonction d’organisation au sein de l’entreprise peut donc revêtir des formes et objectifs
extrêmement variés : depuis la nouvelle conception d’un imprimé jusqu’à une réorganisation
totale des structures. Il n’y a donc pas, il ne peut pas y avoir, de méthodologie spécifique : selon
le but poursuivi, les méthodes peuvent varier. Elles peuvent même associer pour des missions
importantes un organisateur interne et consultant externe.
Mais, là encore, l’auditeur interne est susceptible d’intervenir avant et après en ce sens qu’il
peut être à l’origine du changement et avoir à auditer la nouvelle situation ainsi créée.
La Qualité Totale prend comme objectif la conformité aux besoins du client ; elle mesure donc
les non-conformités pour y apporter un remède. Mais elle a ceci de particulier qu’elle prend en
compte essentiellement le client interne et utilise, pour remplir ses objectifs, des moyens
participatifs (cercle de qualité et groupes d’action qualité). À ce titre, elle concerne tous les
acteurs de l’organisation puisque chacun est à la fois en amont et en aval : le client et le
fournisseur d’un autre.
Cette démarche interne dans une organisation va donc permettre d’en améliorer le contrôle
interne puisqu’elle incite chaque responsable à prendre des dispositions qui lui permettront de
mieux maîtriser ses activités. C’est à partir de là que s’est développé le concept d’Assurance
Qualité, défini comme « la partie du management de la qualité visant à donner confiance en ce
que les exigences pour la qualité seront satisfaites. » (Normes ISO 9000:2000)
L’audit interne est concerné à un double titre par ce mouvement :
• la Qualité Totale peut être appliquée au fonctionnement du service d’audit interne : il a, lui
aussi, des clients et des fournisseurs ;
• la Qualité Totale peut être auditée. Les auditeurs internes auront alors à apprécier si ceux qui
sont chargés de la mettre en œuvre en ont une maîtrise suffisante. De ce fait, même un échange
utile d’informations est à instaurer entre audit interne et direction de la Qualité pour une
meilleure performance des deux fonctions.
39 | P a g e
pris en charge, soit d’une façon diffuse partous les acteurs de l’organisation, soit spécifiquement
comme complément à une autre fonction (assurance, audit interne, qualité…).
On assigne traditionnellement au risk manager quatre missions, lesquelles exigent une bonne
définition des objectifs de l’organisation, déclinés par activités :
1ère mission
Identifier tous les risques internes et externes de l’entreprise. Compte tenu de la globalité de sa
fonction et de son caractère transversal, le risk manager est particulièrement attentif aux risques
stratégiques, politiques, environnementaux…
2e mission
À partir de cette identification élaborer une cartographie des risques permettant de les apprécier.
L’audit interne se saisit de cette cartographie pour éventuellement la décliner au niveau
opérationnel. En l’absence de risk manager c’est l’audit interne qui élabore la cartographie des
risques de l’organisation mais le plus souvent sans utiliser les outils statistiques, souvent très
élaborés, qui sont la spécificité du risk management.
3e mission
Définir une stratégie de risques et la proposer à la direction générale. Cette stratégie offre quatre
options pour chaque risque identifié :
accepter le risque, donc ne rien faire : c’est ce que les Anglo-Saxons nomment le « Risk
appetite ». Prennent place dans cette catégorie les risques jugés comme risques
acceptables. Du même coup le risk manager trace les frontières de la propre assurance ;
éviter le risque en suggérant d’autres procédés ou procédures ou organisations… mais
ce n’est pas toujours possible ;
éliminer ou réduire le risque en diminuant la fréquence par une meilleure politique de
prévention ou en minimisant l’impact par une meilleure politique de protection ;
transférer le risque, très généralement par l’utilisation de l’assurance ou par d’autres
procédés (joint-venture, etc.).
Par son action dans les 1er et 4e cas, le risk manager va, de fait, jeter les bases d’une politique
d’assurance. Ce qui explique que dans nombre de situations la fonction est confondu avec celle
de responsable des assurances.
Mais ce n’est pas la meilleure des solutions : outre le fait que ce n’est pas le même métier, elle
confond responsabilité opérationnelle et fonction d’assistance et de conseil.
4e mission
Sensibiliser et former les managers en leur suggérant les moyens à mettre en œuvre pour aligner
la gestion des risques opérationnels sur la stratégie globale et, si besoin est, leur prêter assistance
dans la réalisation. Dans cette rubrique se situent toutes les informations à fournir à l’audit
interne pour qu’il les prenne en compte dans l’organisation de ses missions.
40 | P a g e
On perçoit bien à quel point les deux fonctions risk management et audit interne sont voisines:
la définition d’une stratégie et les propositions de solutions sont autant de préconisations pour
améliorer le contrôle interne : en cela, le risk manager prépare le terrain pour l’auditeur interne.
Elles vont même jusqu’à se confondre lorsqu’il n’y a pas de risk manager, même si l’auditeur
n’a pas tout à fait la compétence requise. La norme 2100 précise bien que dans ce cas l’audit
interne doit jouer un rôle proactif en participant à la mise en place d’un processus de
management des risques dans le cadre d’une mission de conseil.
Mais :
Confert présentation.
41 | P a g e
Chapitre 4 : Audit Interne - Gouvernance d’entreprise - Fraude
L’objet de ce chapitre est d’expliciter le ou les rôles de la fonction d’audit interne dans le
processus de gouvernance d’entreprise et les différents types de fraudes lors de la réalisation de
la mission de l’audit interne.
L'audit interne doit fournir une assurance raisonnable que le processus de gouvernance de la
direction « est efficace dans l'établissement et la préservation des valeurs de l'entreprise, dans
la définition des objectifs, dans la surveillance des activités et des performances, et dans la
définition des mesures de la responsabilité ».
42 | P a g e
et les activités relatives fournissent à la direction l'assurance que les structures et les processus
de gouvernance sont conçus et fonctionnent correctement. L'activité d'audit interne identifie
également les éventuelles défaillances et conseille la direction sur les améliorations qui peuvent
être apportées.
Une organisation dont les pratiques de gouvernance sont plus structurées et matures permet aux
auditeurs internes de se concentrer sur les points suivants :
Il est important de comprendre que l'activité d'audit interne ne peut pas évaluer les décisions de
la direction. Les auditeurs internes sont des agents de la direction générale et du conseil dont le
rôle est de présenter une évaluation objective et indépendante de l'adéquation de la structure de
gouvernance de l'organisation et de l'efficacité opérationnelle des activités de gouvernance
spécifiques. Bien qu'ils n'évaluent pas les décisions de la direction, les auditeurs internes
peuvent servir de catalyseurs du changement et conseiller, ou promouvoir des améliorations de
la structure et des pratiques de gouvernance de l'organisation.
Nous présentons ici les bonnes pratiques du rôle de l’audit interne dans les mécanismes
d’entreprises.
43 | P a g e
évalue, dans le cadre de son plan d’audit, le dispositif de gestion des risques et de
contrôle interne.
Il est recommandé :
que l’audit interne ne soit pas limité au seul contrôle nominal de conformité mais qu’il
s’assure également :
de l’application effective des instructions et des procédures afférentes à
l’organisation ;
du bon fonctionnement des processus internes de la société, relatifs notamment à
la fiabilité des filières de remontées d’information et aux systèmes d’information ;
Que, le cas échéant, il propose les instructions et procédures complémentaires devant
être mises en place ;
Que la direction générale lui donne les moyens d’exercer pleinement ses missions ;
Qu’en tant que de besoin et au moins une fois par an, le directeur de l’audit interne
présente de manière formelle à la direction générale, ses observations sur le
fonctionnement du contrôle interne et fasse toute préconisation pour permettre à cette
dernière de prendre les décisions aptes à optimiser son efficacité et à assurer une bonne
maîtrise des opérations.
Les relations entre l’audit interne et le comité d’audit se matérialisent par la participation,
permanente ou périodique, du responsable de l’audit interne aux réunions du comité d’audit,
selon des modalités retenues par l’entreprise.
Il est recommandé que le comité d’audit :
44 | P a g e
Prenne connaissance des documents formalisant l’organisation générale du service
d’audit interne et en particulier la charte de l’audit interne ;
Prenne connaissance de la méthode d’élaboration du plan d’audit interne adossé à
l’analyse des risques ;
Soit tenu informé, le cas échéant, des zones de risques non couvertes, que l’audit interne
a lui-même identifiées ;
Reçoive régulièrement, et au moins une fois par an, des informations sur l’activité de
l’audit interne :
suivi de la réalisation du plan d’audit,
principales conclusions des missions,
mises en œuvre des actions correctives,
adéquation des ressources,
indications de non-conformité ou de conformité vis-à-vis des normes
professionnelles…
Soit tenu informé rapidement de la réalisation des missions non planifiées y compris les
demandes de la direction générale et les missions qui visent à améliorer la performance
de l’organisation.
Les administrateurs ont besoin d’une information synthétique, organisée, hiérarchisée leur
permettant d’utiliser efficacement les constats et recommandations de l’audit interne, et initier,
le cas échéant, les mesures qu’ils estimeraient appropriées. Il ne peut y avoir d’informations
significatives « réservées » au management, c’est-à-dire volontairement soustraites aux
administrateurs.
Le Comité d’audit est notamment chargé « d’assurer le suivi de l’efficacité des systèmes de
contrôle interne et de gestion des risques ».
45 | P a g e
2.3. Les relations de l’audit interne avec les autres acteurs du contrôle interne
De nombreuses fonctions participent au dispositif de contrôle interne : la comptabilité, le
contrôle de gestion, le risk management, l’informatique, la conformité, le juridique, les
ressources humaines, la performance, la qualité, la sécurité…
La multiplicité des acteurs du contrôle interne crée donc de la complexité. Elle peut entraîner
des redondances qui nuisent à son efficacité. Ainsi, les entités opérationnelles peuvent souffrir
d’un excès de contrôle de la part de structures différentes intervenant en partie sur le même
sujet. De même, chaque acteur peut croire à un instant donné qu’un autre acteur s’occupe de tel
ou tel risque ou de tel ou tel contrôle, sans que finalement personne n’investisse le niveau
d’intelligence et d’expertise requis pour réellement maîtriser les risques.
La question de la bonne coordination de cet ensemble est donc de la plus haute importance et il
appartient à chaque organisation de mettre en place le dispositif le plus approprié à ses objectifs,
son contexte, sa culture, ses hommes, pour s’assurer de la cohérence et de l’efficience du
contrôle interne.
Il est recommandé :
Que les relations de l’audit interne avec les autres acteurs du contrôle interne fassent
l’objet d’une claire définition, par exemple, dans une charte dédiée à cet effet, dont les
principales dispositions pourraient être les suivantes :
l’audit interne participe aux comités de contrôle interne ;
l’audit interne évalue les autres fonctions de maîtrise des risques ;
l’audit interne conseille la direction générale pour l’aider à mettre en place un
urbanisme de contrôle interne efficace.
46 | P a g e
l’utilisation par les commissaires aux comptes des travaux de l’audit interne pour réduire
d’autant leurs propres investigations tout en conservant l’entière responsabilité de
l’opinion exprimée sur les comptes.
a) Le mode de rattachement
Le mode de rattachement a une incidence directe sur le périmètre d’intervention et l’objectivité
des auditeurs internes notamment lorsqu’il s’agit d’évaluer les opérations de la direction
générale à laquelle le responsable de l’audit interne répond.
Les modèles mis en œuvre sont par définition très divers. Ils révèlent des modes de rattachement
de l’audit interne compris entre deux schémas contrastés : un schéma instaurant un lien fort de
l’audit interne avec l’organe délibérant, instance de surveillance de l’exécutif, et donc un lien
plus ténu avec l’exécutif ; un schéma instaurant un lien fort avec l’exécutif et plus ténu avec
l’organe délibérant.
Le premier schéma privilégie l’indépendance de l’audit interne et le rôle de surveillance du
conseil, le second l’efficacité opérationnelle et l’implication du management.
Il appartient aux entreprises de s’efforcer de concilier ces deux approches en vue d’en optimiser
les avantages.
Il est recommandé :
Que l’audit interne soit clairement rattaché hiérarchiquement à la direction générale ;
Que des relations étroites et régulières soient établies avec le comité d’audit ;
Que les relations entre, d’une part l’audit interne, d’autre part la direction générale et le
comité d’audit, soient précisément identifiées : périodicité, procédures mises en œuvre,
mode de présentation et de synthèse des constats de l’audit interne, modalités de suivi
des recommandations…
b) Le Périmètre d’intervention
Le périmètre étendu du champ d’intervention de l’audit interne est justifié par la nécessité de
répondre aux attentes des organes dirigeants afin de leur permettre d’assumer la totalité de leur
responsabilité vis-à-vis des actionnaires et au regard des lois et règlements. Il couvre, sauf
exception notable, toutes les fonctions, tous les systèmes, tous les processus de l’entreprise mais
les interventions de l’audit interne se font selon des priorités définies chaque année dans le plan
d’audit.
Il est recommandé :
Que l’audit interne évalue, à partir d’une approche par les risques, l’ensemble des
processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ;
47 | P a g e
Que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des
compétences du conseil des filiales et de leurs différents comités ;
Que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement
et la performance du conseil de la maison mère et de ses comités, du fait de l’existence
d’une situation de conflit d’intérêt.
c) Les Moyens
L’audit interne doit disposer de moyens appropriés lui permettant de mener à bien ses
missions.
Il est recommandé :
Que les effectifs de l’audit interne soient proportionnés à l’importance de leur champ
d’intervention ;
Que les auditeurs internes aient un libre accès à toutes les informations et données
requises pour le plein exercice de leurs missions ;
Que le statut des auditeurs internes et leur rémunération visent à leur assurer à la fois
l’attractivité des carrières et la considération des personnes ;
48 | P a g e
Section 2- audit interne – fraudes
Le rôle d'assistance de l'auditeur interne dans la détection de la fraude est abordé dans la norme
de qualification 1210.A2, dont voici les termes exacts : « les auditeurs internes doivent disposer
de connaissances suffisantes pour évaluer le risque de fraude et la manière dont il est géré par
l'organisation, mais ils ne sont pas censés détenir l'expertise d'une personne dont la principale
responsabilité est de détecter les fraudes et d'enquêter sur elles » La capacité d'un auditeur
interne à détecter la fraude et à évaluer les contrôles est un élément indispensable d'autres
normes comme par exemple :
La norme de qualification 1220, « Conscience professionnelle », exige des auditeurs internes
d'être prudents et compétents. La norme de qualification 1220.A1 s'applique à la préparation
des missions en prenant en compte la probabilité de fraude et la norme de qualification 1220.A2
s'applique à l'utilisation des technologies et d'outils d'analyse de données visant à détecter la
fraude.
La norme de fonctionnement 2120 « Gestion des risques » exige des auditeurs internes d'«
évaluer l'efficacité et contribuer à l'amélioration des processus de gestion des risques ». La
norme 2120.A2 stipule : « L'activité d'audit interne doit évaluer le risque de fraude et la manière
dont l'organisation le gère ».
La Norme de fonctionnement 2210, « Objectifs de la mission », exige des auditeurs internes de
fixer des objectifs pour chaque mission et la Norme 2210.A2 exige que les auditeurs internes «
tiennent compte de la probabilité des principaux risques (erreurs, fraude, non-conformité, etc.)
lors de la définition des objectifs de la mission »
1. Types de fraude les plus courants et risques de fraude par domaine de mission
Etre suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :
Le guide « Managing the Business Risk of Fraud, A Practical Guide » définit la fraude comme
« tout(e) acte ou omission délibéré(e) visant à tromper un tiers et ayant pour résultat une
perte subie par la victime et/ou un gain obtenu par l'auteur ».
49 | P a g e
1.2. Pourquoi la fraude est-elle commise ?
Trois conditions doivent exister pour que la fraude ait lieu : le motif, l'opportunité et la
rationalisation. Lorsque ces conditions sont réunies on parle du « triangle de fraude ».
Motif.
La pression ou l'incitation représente un besoin qu'une personne tente de satisfaire en
commettant une fraude. Souvent, la pression vient d'un problème ou d'un besoin financier
urgent. Cela peut être le besoin de conserver son travail ou de gagner une prime. Dans les
entreprises cotées en bourse, il peut y avoir la pression de réaliser ou de renverser les prévisions
des analystes. Ainsi, il est possible de gagner une grosse prime ou autre récompense financière
en fonction de la réalisation de certains objectifs de performance. Le fraudeur a un désir de
conserver sa position dans l'organisation et de garder un certain niveau de vie pour rivaliser
avec ses pairs tels qu'il les perçoit.
Opportunité.
L'opportunité est la capacité de commettre une fraude sans être repéré. Étant donné que les
fraudeurs ne veulent pas être surpris dans leurs agissements, ils doivent penser que leurs
activités ne seront pas découvertes. L'opportunité est créée par la faiblesse des contrôles
internes, la médiocrité de la gestion ou l'absence de supervision de la part du conseil et/ou par
l'utilisation de l'autorité et de la position d'une personne pour contourner les contrôles.
L'incapacité à établir des procédures adéquates pour la détection d'activités frauduleuses
augmente également les possibilités qu'une fraude soit commise. Un processus peut être conçu
comme il le faut pour des conditions classiques ; toutefois, une occasion peut se présenter,
créant des circonstances qui entraînent l'échec du contrôle. Il est possible que des personnes
occupant des positions d'autorité puissent créer des occasions de contourner les contrôles
existants car des subordonnés ou des contrôles faibles leur permettent de contourner les
contrôles.
Rationalisation.
La rationalisation est la capacité d'une personne à justifier une fraude, une composante cruciale
dans la plupart des fraudes. Elle implique une personne conciliant son comportement (p. ex. le
vol) avec les notions communément admises de décence et de confiance. Par exemple, le
fraudeur fait passer son bien-être en priorité (égocentrisme) par rapport au bien-être de
l'organisation ou de la société dans son ensemble. La personne peut penser que commettre la
fraude est justifié quand il s'agit de sauver un membre de sa famille ou un être cher pour payer
des soins médicaux onéreux. Parfois, la personne qualifie simplement le vol « d'emprunt » et a
l'intention de rembourser ultérieurement l'argent volé. Certaines personnes feront des choses
définies comme inacceptables par l'organisation et qui sont pourtant monnaie courante dans
leur culture ou qui étaient acceptées par leurs précédents employeurs. Par conséquent, elles
peuvent rationaliser leur comportement en pensant que les règles ne s'appliquent pas à elles.
50 | P a g e
1.3. Éléments particuliers à prendre en compte concernant la détection et les enquêtes
de fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont souvent utilisés.
Dans le cadre de ses missions, l'auditeur interne porte diverses responsabilités en matière de
détection des fraudes. Il doit :
Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant
posséder une compréhension suffisante des contrôles internes pour identifier les opportunités
de fraude. Ils doivent également comprendre les mécanismes de fraude, être sensibles aux
signes annonciateurs de fraude et savoir comment empêcher la fraude
51 | P a g e