Académique Documents
Professionnel Documents
Culture Documents
2011
Cadre de Référence
International
des Pratiques Professionnelles
de l’Audit Interne
Inclus (versions française et anglaise) :
Définition de l’audit interne
Code de déontologie
Normes internationales
Modalités Pratiques d’Application (MPA)
Guides pratiques (GTAG...)
Copyright © 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,
Florida 32701-4201. Tous droits de reproduction réservés.
Copyright © IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés.
Janvier 2011
ISBN : 978-2-915042-22-1
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits,
Réalisation :
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
Sommaire
Préface ..................................................................................................................................................................... 7
Avant-propos de l’IFACI
Préface
Eléments Définition
Normes internationales Les Normes sont des principes qui fournissent un cadre pour
pour la pratique profes- la réalisation des missions et la promotion de l’audit interne.
Dispositions obligatoires
Eléments Définition
Prises de position Les Prises de position aident l’ensemble des parties prenantes,
y compris celles qui ne sont pas des professionnels de l’audit
interne, à comprendre les principaux enjeux en matière de
gouvernance, de risque ou de contrôle. Elles précisent égale-
ment le rôle et les responsabilités de l’audit interne.
Guides pratiques Les guides pratiques sont des lignes directrices détaillées pour
la conduite des activités d’audit interne.
sable pour que les auditeurs internes et obligatoires. Elles ont été développées
l’audit interne assument leurs responsabi- pour donner un large panel de solutions
lités. Comme précisé dans le Code de applicables pour répondre aux exigences
Déontologie, les auditeurs internes obligatoires de l’IIA. Les dispositions forte-
doivent accomplir leurs missions confor- ment recommandées ne donnent pas
mément aux Normes. L’expression « audi- une réponse définitive à chaque contexte
teurs internes » est utilisée pour désigner particulier. De ce fait, elles doivent être
les membres de l’Institut, les lauréats des utilisées comme des guides. L’IIA recom-
certifications professionnelles proposées mande le recourt à l’avis d’autres profes-
par l’IIA ou les candidats à ces certifica- sionnels pour les questions relatives à
tions, ainsi que les personnes qui réalisent certains situations particulières. Ces lignes
des missions d’audit interne conformé- directrices sont sensées être utilisées par
ment à la Définition de l’IIA. des auditeurs internes compétents qui
font preuve de jugement professionnel.
Les lignes directrices obligatoires sont
applicables aux individus et aux entités Dans les prochaines années, avec leur impli-
qui réalisent des missions d’audit interne. cation dans le développement des lignes
directrices, les auditeurs internes feront en
2. les lignes directrices recommandées sorte que le CRIPP continue à être plus
comprennent : robuste. Toutes les parties prenantes concer-
nées sont invitées à faire des commentaires et
• les prises de position ;
des propositions à propos de l’IPPF. Pour les
• les modalités pratiques d’application ;
avis professionnels, les commentaires et les
• les guides pratiques.
suggestions, envoyer un message à
guidance@theiia.org. Pour trouver les futures
Bien qu’approuvées par l’IIA et élaborées
mises à jour du CRIPP, les auditeurs internes
par un comité technique international de
sont invités à consulter les pages « Professional
l’IIA et/ou un institut, les lignes directrices
Guidance » sur le site http://www.theiia.org.
fortement recommandées ne sont pas
DISPoSItIoNS oblIgAtoIrES
L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée.
Il aide cette organsiation à atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de contrôle, et de gouvernement
d’entreprise, et en faisant des propositions pour renforcer leur efficacité.
Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d’Administration de l’IFACI.
Code de Déontologie
Préambule
Pourquoi donc les Normes n’aplaniraient-elles pas toutes les difficultés auxquelles l’auditeur interne peut se trouver
confronté, en indiquant de manière systématique, la bonne conduite à adopter ? Cette question est légitime et appelle
des réponses qui permettent de préciser la raison d’être du Code de Déontologie :
Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte parti-
culier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques,
les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l’audit
interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systé-
matiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profes-
sion identifie des valeurs essentielles qui ne nient par l’originalité de chaque situation. Il guide la réflexion de chaque
auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d’audit interne.
Expliciter et illustrer les notions d’indépendance et d’objectivité, ces préalables sont indispensables à la
qualité de l’évaluation effectuée par l’auditeur interne. Il est essentiel que ces deux notions, que l’auditeur doit
respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations
délicates. En effet, l’auditeur interne et notamment le responsable de l’audit interne, se trouvent fréquemment
confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l’épreuve de situations
personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux suscep-
tibles d’éviter ou de clarifier les situations impropres à l’exercice d’un jugement professionnel serein. Ils permettent
d’obtenir les conseils d’un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu’il
convient de suivre en cas de situation délicate.
Témoigner du niveau élevé d’intégrité de l’audit interne : Il est important et utile que chacun sache que
l’auditeur interne s’efforce de toujours agir avec honnêteté et rigueur. L’existence d’un Code de Déontologie de l’audit
interne, signé par les auditeurs internes et annexé à la charte d’audit interne constitue, à notre sens, le témoignage
d’un engagement favorisant un climat d’honnêteté et d’intégrité.
Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au sein
de la profession d’audit interne.
Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective sur
les processus de gouvernement d’entreprise, de management des risques, et de contrôle, il était
nécessaire que la profession se dote d’un tel code.
On désigne par « auditeurs internes » les membres de l’Institut, les titulaires de certification profes-
sionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes proposant des services
entrant dans le cadre de la définition de l’audit interne.
Principes fondamentaux
Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux
suivants :
1. Intégrité :
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à
leur jugement.
2. Objectivité :
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent
pas influencer dans leur jugement par leurs propres intérêts ou par autrui.
3. Confidentialité :
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.
4. Compétence :
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.
Règles de conduite
1. Intégrité
Commentaire IFACI
Par exemple, dans le secteur public en France, selon l’article 40 du Code de procédure pénale : « toute autorité constituée,
tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un
délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les
renseignements, procès-verbaux et actes qui y sont relatifs ».
Commentaire IFACI
Il convient de préciser que la notion de déshonneur est culturelle, qu’elle dépend des époques, des individus, de l’éthique de
l’organisation et de nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
Commentaire IFACI
Cette règle de conduite appelle la question suivante : qu’entend-on par objectif éthique et objectif légitime ? On peut définir
légitime comme conforme aux lois, aux règlements et à l’objet social tandis qu’éthique fait référence aux valeurs morales et
à divers principes. Il appartient à chaque auditeur interne de donner à ces deux mots un sens adapté à la situation
particulière dans laquelle il se trouve.
Dans le cas où l’organisation aurait des objectifs non éthiques ou non légitimes ou jugés tels par l’auditeur, ce Code de
Déontologie ne contraint pas l’auditeur interne à les respecter et encore moins à y contribuer, pas plus qu’il ne l’interdit.
Cette situation, si elle se produisait, ne dispenserait pas l’auditeur interne de garder à leur égard un parfait esprit critique.
2. Objectivité
2.1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce
principe vaut également pour les activités ou relations d’affaires qui pourraient entrer
en conflit avec les intérêts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3 Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.
Commentaire IFACI
C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il
convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ou au
comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne
peuvent être communiqués à la justice. Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les
rapports d’audit interne sont tenus à la disposition des commissaires aux comptes et du secrétariat général de la
Commission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec
discernement, prudence et circonspection.
3. Confidentialité
3.1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de
leurs activités.
Commentaire IFACI
Il est important de préciser que la confidentialité et les règles de conduite y afférentes s’appliquent à toute personne
proposant des services entrant dans la définition de l’audit interne. Le responsable de l’audit interne, dans le cas où il
soustraite une mission, à l’extérieur du service d’audit interne ou de l’organisation, doit veiller à ce qu’une clause de cet
ordre soit intégrée dans le contrat de prestation.
Commentaire IFACI
L’IFACI préconise que le responsable de l’audit interne ait un devoir d’alerte vis-à-vis du comité d’audit pour des faits
éminemment graves commis par la direction générale et pouvant mettre en danger la continuité d’exploitation, à condition
que ces faits soient avérés et que le rôle de l’audit interne en la matière soit dûment explicité dans une charte d’éthique.
Commentaire IFACI
En fonction des termes de l’arrêté portant application de l’article 156 de la Loi de Modernisation de l’Economie qui prévoit
« au sein des établissements de crédit, les conditions d’information des organes de direction, d’administration et de
surveillance concernant l’efficacité des systèmes de contrôle interne, d’audit interne et de gestion des risques, et le suivi
des incidents révélés notamment par ces systèmes, sont fixés par arrêté. » Cet arrêté prévoit les conditions dans lesquelles
ces informations sont transmises à la Commission bancaire, en outre, l’article 154 de la LME prévoit des sanctions
(emprisonnement et amende financière) en cas d’absence de réponse aux demandes d’informations de la Commission
bancaire ou de communication de renseignements inexacts.
3.2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs
éthiques et légitimes de leur organisation.
Commentaire IFACI
Est assimilable à « bénéfice personnel » non seulement le bénéfice procuré à un tiers apparenté ou ami, mais aussi
l'utilisation des informations recueillies dans le cadre de l'activité d'audit à des fins étrangères à cette activité, telles que la
communication à des associations caritatives, humanitaires, et plus généralement à but louable, soutenues par l'auditeur
interne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils reçoivent.
4.1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le
savoir faire et l’expérience nécessaires.
4.2. Doivent réaliser leurs travaux d’audit interne dans le respect des Normes Internationales
pour la Pratique Professionnelle de l’Audit Interne.
4.3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.
NormES INtErNAtIoNAlES
Introduction
L’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans
des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outre
exercé par des professionnels de l'audit, internes ou externes à l'organisation.
Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque environne-
ment, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de
l'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs internes et l’audit interne s'ac-
quittent de leurs responsabilités.
Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence, les
communications de l’audit interne peuvent le cas échéant, citer l’utilisation d’autres Normes. S’il y
a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et l’audit
interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci
sont plus exigeantes.
Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En parti-
culier les Normes utilisent le mot « must » pour spécifier une exigence impérative et le mot
« should » lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de juge-
ment professionnel, des adaptations sont justifiées par les circonstances.
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en
vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opéra-
tion, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne détermine la
nature et l'étendue des missions d’assurance. Elles comportent généralement trois types d'inter-
venants : (1) la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction,
le processus, le système ou le sujet examiné – autrement dit le propriétaire du processus, (2) la
personne ou le groupe réalisant l'évaluation – l'auditeur interne, et (3) la personne ou le groupe
qui utilise les résultats de l'évaluation – l'utilisateur.
Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et
leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux inter-
venants : (1) la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne,
et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la réali-
sation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et n'assumer aucune
fonction de management.
La revue et la mise à jour des Normes est un processus continu. « The Internal Audit Standards Board »
mène une large consultation et des discussions avant de publier les Normes.
Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont
consultables sur le site internet de l'IIA et sont distribués à tous les instituts affiliés.
NormES DE
quAlIFICAtIoN
Normes de qualification
Interprétation :
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris
la nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorise
l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit
le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la
responsabilité du Conseil.
Commentaire IFACI
Le terme « Conseil » est explicité dans le Glossaire des Normes : « Le Conseil est un organe de gouvernance
d’une organisation. Il peut s’agir d’un Conseil d’administration, d’un Conseil de surveillance, de l’organe
délibérant d’un organisme public ou d’une association ou de tout autre organe y compris le Comité d’audit
auquel le responsable de l’audit interne peut être rattaché sur le plan fonctionnel. »
Dans la pratique, le responsable de l’audit interne a, lorsqu’il existe, une relation fonctionnelle avec le comité
spécialisé du Conseil mandaté pour les questions liées à la gestion des risques, au contrôle interne et à l’audit
interne. Il s’agit le plus souvent du comité d’audit ou du comité de contrôle interne et des risques.
La nature de cette relation fonctionnelle est précisée dans l’interprétation de la Norme 1110.
L’IFACI considère que la charte d’audit interne devra également définir le rattachement hiérarchique du
responsable de l'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le
rôle de l’audit interne dans le gouvernement d’entreprise recommande que « l’audit interne soit clairement
rattaché hiérarchiquement à la direction générale ».
Quel que soit son niveau de rattachement, le responsable de l’audit interne devra présenter le contenu de la
charte à la direction générale afin d’assurer la cohérence entre les responsabilités et les pouvoirs attribués à
l’audit interne. La prise de position IFA/IFACI préconise que le comité d’audit prenne connaissance des
1000.A1 – La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assu-
rance à l'extérieur de l'organisation, leur nature doit être également définie dans la
charte d'audit interne.
1000.C1 – La nature des missions de conseil doit être définie dans la charte d'audit
interne.
Commentaire IFACI
Lorsque le responsable de l’audit interne soumet la charte pour approbation à la direction générale et au Conseil (cf. Norme
1000), il présente en particulier la définition de l’audit interne, le Code de Déontologie et les Normes. Ces dispositions
obligatoires ont fait leur preuve dans les différents contextes où l’audit interne est pratiqué. Elles constituent le niveau
minimal de professionnalisme requis.
Commentaire IFACI
Une bonne connaissance du CRIPP est nécessaire pour donner du sens à la présentation qui est faite aux instances
dirigeantes. Elle permet d’illustrer, de façon pertinente, en quoi la réalisation des objectifs de l’organisation et sa
structuration permettent l’application des principes du CRIPP.
L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec
objectivité.
Interprétation :
L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses responsa-
bilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsa-
bilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction
générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement. Les atteintes à
l’indépendance doivent être appréhendées à différents niveaux :
au niveau de l’auditeur interne ;
au niveau de la conduite de la mission ;
au niveau de l’audit interne et de son positionnement dans l’organisation.
L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missions
de telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans le moindre compromis.
L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui
d’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité doivent être appré-
hendées au niveau de :
• l’auditeur interne ;
• la conduite de la mission ;
• l’audit interne et de son positionnement dans l’organisation.
Commentaire IFACI
Interprétation :
L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
approuve la charte d’audit interne ;
approuve le plan d’audit interne fondé sur l’approche par les risques ;
soit destinataire des informations adressées par le responsable d’audit relatives à la réali-
sation du plan d’audit ou de tout autre sujet afférent à l’audit interne ;
approuve les décisions liées à la nomination et à la révocation du responsable de l’audit
interne ;
demande des informations pertinentes au management et au responsable de l’audit
interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
Commentaire IFACI
Comme souligné à propos de la Norme 1000, c’est le double rattachement de l’audit interne qui permet
d’asseoir son indépendance au sein de l’organisation.
Dans sa prise de position sur l’urbanisme du contrôle interne, l’IFACI recommande
• que l’audit interne soit rattaché au plus haut niveau de l’organisation afin de conforter l’objectivité de ses
démarches et affirmer l’indépendance dont il a besoin pour exercer ses activités ; que ce rattachement soit
situé idéalement au niveau de la direction générale, ultime responsable du contrôle interne comme de la
bonne marche des organisations ;
• qu’un lien étroit et continu soit établi avec le comité d’audit pour :
- permettre à ce dernier de bénéficier d’une vision de synthèse sur le dispositif de contrôle interne et
obtenir des réponses directes et précises sur certains de ses éléments clés ;
- garantir l’indépendance de l’audit interne.
Pour démontrer l’indépendance de l’audit interne, il convient notamment de prendre en considération les
éléments figurant dans la MPA 1130-1.
Si le comité d’audit n’existe pas ou s’il n’est pas chargé de suivre les questions relatives à la gestion des risques,
au contrôle interne ou à l’audit interne, un rattachement fonctionnel au président non exécutif du Conseil est
recommandé.
Il est souhaitable que les responsabilités du Conseil à l’égard de l’audit soient formalisées. Les éléments de
l’interprétation pourront être utilisés à cet effet et être complétés par d’autres bonnes pratiques
professionnelles. Par exemple, le comité d’audit est tenu informé, le cas échéant :
• des zones de risques non couvertes que l’audit interne a lui-même identifiées ;
• de la réalisation des missions non planifiées, y compris les demandes de la direction générale ;
• des changements de périmètre de certaines missions ou des reports ;
• de la participation des auditeurs ou du responsable de l’audit interne à des projets ou à des travaux
connexes ;
• du suivi de la mise en œuvre des recommandations, etc.
Commentaire IFACI
Le responsable de l’audit interne doit instaurer des relations régulières avec le Conseil ou ses comités spécialisés. Il organise
une communication adaptée aux besoins de ces instances et aux exigences de sa mission. Il démontre, notamment lors de
réunions d’échanges directes, la contribution de l’audit interne à l’exercice de leur responsabilité.
Interprétation :
Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit
d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses
devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités
de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique ou
malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer la
confiance en l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt peut
compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités de
manière objective.
Interprétation :
Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent
figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limita-
tions financières.
L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-
dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans
la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit
interne, et d’autre part de la nature de cette atteinte.
Commentaire IFACI
La mise en œuvre de cette Norme doit s’appuyer sur la charte d’audit interne et le Code de Déontologie.
1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de
conseil liées à des opérations dont ils ont été auparavant responsables.
Commentaire IFACI
La connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique. Pour une pratique
professionnelle de l’audit interne il faut également mobiliser d’autres compétences en termes de savoir-être et de savoir-
faire (connaissance des métiers de l’organisation, de sa culture…), ce qui permet de renforcer l’objectivité et
l’indépendance des auditeurs internes.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée
pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés
à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles
appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou par
d’autres organisations professionnelles appropriées.
Commentaire IFACI
L’IFACI a développé le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur les compétences fondamentales (les
bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils et techniques d’audit, la
communication orale, communication écrite, système d’information, finance et comptabilité,…) de l’auditeur interne et
atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome et professionnelle, en
s’appuyant sur la démarche préconisée par les Normes.
Commentaire IFACI
La nouvelle formulation est plus cohérente avec le rôle de l’audit interne en ce qui concerne le management des risques. La
Norme n’exige plus des connaissances pour identifier les indices de fraude et distingue ainsi l’auditeur interne d’un
spécialiste de l’investigation de fraude.
L’évolution figurant dans cette Norme doit être corrélée avec la nouvelle version des Normes 1220.A1 et 2060 et
l’introduction de la nouvelle Norme 2120. A2.
1210.A3 – Les auditeurs internes doivent posséder une connaissance suffisante des
principaux risques et contrôles relatifs aux technologies de l'information, et des tech-
niques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des
travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas
censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit
informatique.
Commentaire IFACI
Chaque auditeur pris individuellement n’a pas besoin d’avoir toutes les connaissances nécessaires à la conduite de la
mission. Ces compétences doivent être disponibles collectivement. Qu’il s’agisse de mission d’assurance ou de conseil, c’est
au responsable d’audit interne de veiller à ce que la constitution de l’équipe soit cohérente avec les objectifs de la mission.
1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments suivants :
l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;
1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard
des risques significatifs susceptibles d'affecter les objectifs, les opérations ou les
ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées
avec la conscience professionnelle requise, ne garantissent pas que tous les risques
significatifs seront détectés.
1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute
leur conscience professionnelle, en prenant en considération les éléments suivants :
les besoins et attentes des clients, y compris sur la nature, le calendrier et la
communication des résultats de la mission ;
la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les
objectifs fixés ;
son coût par rapport aux avantages escomptés.
Commentaire IFACI
La valeur créée par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes.
Le développement et le maintien des compétences doivent être une priorité et faire l'objet de toute l'attention nécessaire.
Interprétation :
Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :
la conformité de l’audit interne avec la définition de l’audit interne et les Normes ;
le respect du Code de Déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes opportunités d’amélioration.
Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi
de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques
courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-
mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition
de l’audit interne, au Code de Déontologie et aux Normes.
Les revues périodiques sont conduites pour évaluer également la conformité du service d’audit
interne à la définition de l’audit interne au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de
l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si
un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir
mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
Commentaire IFACI
Le principe d’une évaluation externe témoigne de la capacité de l’audit interne à ne pas s’exonérer de ses
propres exigences professionnelles.
La direction générale devrait être préalablement informée des éléments de l’entretien avec le Conseil.
Une évaluation externe plus fréquente, par exemple triennale comme c’est le cas avec la certification IFACI,
peut être envisagée en fonction de l’organisation de l’audit interne, de sa maturité et de l’évolution de son
environnement (taux de rotation des auditeurs internes, résultats des précédentes évaluations externes,
profil des risques, etc.).
Des éléments complémentaires concernant la qualification des évaluateurs externes sont disponibles au §7
de la MPA 1312-1 « Evaluations externes » et au §5 de la MPA 1312-3 « Certification des directions d’audit
interne ».
Commentaire IFACI
La conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes nécessite une déclinaison concrète de
ces principes dans les procédures du service d’audit interne qui faciliteront leur appropriation par les auditeurs. L’utilisation
du Référentiel Professionnel de l’Audit Interne (RPAI) développé par IFACI Certification peut aider à mettre en œuvre le
Programme d’assurance et d’amélioration qualité.
Interprétation :
La forme, le contenu ainsi que la fréquence des communications relatives aux résultats du
programme d'assurance et d'amélioration qualité sont définies lors de discussions avec la direction
générale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de celles du respon-
sable de l’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformité
à la définition de l’audit interne, au Code de Déontologie et aux Normes, les résultats des évaluations
internes périodiques et des évaluations externes doivent être communiqués dès l’achèvement de ces
évaluations. Les résultats de la surveillance continue sont quant à eux communiqués au moins une
fois par an. Ces résultats incluent l’appréciation des évaluateurs sur le degré de conformité de l’activité
d’audit interne.
Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de
la Définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de résul-
tats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté
disposeront également des résultats de leurs évaluations externes.
Commentaire IFACI
Quelle que soit l’ancienneté du service, les résultats d’une évaluation externe sont indispensables pour
pouvoir utiliser cette mention. En effet, la Norme 1310 précise que « le programme d’assurance et
d’amélioration qualité doit comporter des évaluations tant internes qu’externes ». Comme indiqué dans le §3
de la MPA 1321-1 « l’emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a pas
démontré que l’audit interne fonctionne en conformité avec la définition de l’audit interne, le Code de
déontologie et les Normes ». La mise en œuvre de cette Norme doit être cohérente avec la Norme 1322.
Ces indications de conformité ou de non-conformité au niveau du service sont déclinées pour les missions avec
les Normes 2430 et 2431.
Commentaire IFACI
L’indication de non-conformité ne se limite pas au positionnement de l’audit interne ou à son pilotage, cette déclaration
concerne l’ensemble du processus d’audit :
• les activités transversales telles que l’élaboration de procédures, la gestion des ressources, la coordination avec les
autres acteurs du contrôle ou la communication ;
• le cœur du métier avec la planification, la réalisation des missions et le suivi des recommandations.
La mise en œuvre de cette Norme doit être cohérente avec la Norme 2431. Plusieurs non-conformités lors des missions
devraient poser la question de la conformité de l’activité d’audit interne.
NormES DE FoNCtIoNNEmENt
Normes de Fonctionnement
2000 – gestion de l'audit interne
Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle
apporte une valeur ajoutée à l’organisation.
Interprétation :
L’activité d’audit interne est gérée efficacement quand :
les résultats des travaux de l’audit interne répondent aux objectifs et responsabilités définis
dans la charte d’audit interne ;
l’audit interne est exercé conformément à la définition de l’audit interne et aux Normes ;
les membres de l’équipe d’audit agissent en respectant le Code de Déontologie et les Normes.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience
ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management des risques
et de contrôle interne.
MPA 2010-1 :
La prise en compte des
2010 – Planification risques et des menaces
pour l’élaboration du
Le responsable de l'audit interne doit établir une planification plan d’audit
fondée sur les risques afin de définir des priorités cohérentes avec
MPA 2010-2 :
les objectifs de l'organisation. Prise en compte du
management des
Interprétation : risques dans la
planification de l’audit
Il incombe au responsable de l’audit interne de développer un plan d’audit interne
fondé sur les risques. Pour ce faire, le responsable de l’audit interne prend en
compte le système de management des risques défini au sein de l’organisation, il tient notamment
compte de l’appétence pour le risque définie par le management pour les différentes activités ou
branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de
l’audit interne doit se baser sur sa propre analyse des risques après consultation de la direction géné-
rale et du Conseil.
Commentaire IFACI
Le système de management des risques est l’un des éléments à prendre en considération pour l’établissement de l’ordre de
priorités des missions. Au préalable, le responsable de l’audit interne doit évaluer l’efficacité du processus de management
des risques de l’organisation pour s’assurer que le périmètre de ce processus recouvre l’univers d’audit et que les
informations fournies sont fiables et utiles pour l’analyse des risques qu’il réalise.
Par ailleurs, le responsable de l’audit interne prend en compte d’autres données :
• la date et les résultats des précédentes missions ;
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la direction
générale et du Conseil doivent être pris en compte dans ce processus.
Commentaire IFACI
Le plan d’audit ne doit pas résulter d’un simple recensement des activités et des entités de l’organisation.
Le responsable de l’audit interne doit avoir une approche méthodique fondée sur des informations factuelles pour définir le
contour des missions et hiérarchiser les différents sujets. Il veille à conserver la trace des éléments qui ont permis d’aboutir
aux priorités qu’il définit.
Interprétation :
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-
tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité
de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-
cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré
l’audit interne et de la complexité de ses travaux.
Commentaire IFACI
La complexité des travaux dépend du contexte de la mission (environnement plus ou moins stable, activités récurrentes ou
non, caractère transverse, novateur…). Elle peut également varier en fonction de la qualité du dispositif de contrôle
interne sous-jacent, du niveau de détail des tests envisagés, de la technicité des opérations auditées...
MPA 2050-1 :
2050 – Coordination Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles
MPA 2050-2 :
emplois, le responsable de l'audit interne devrait partager des infor- Cartographie des
mations et coordonner les activités avec les autres prestataires services donnant une
assurance sur les
internes et externes d'assurance et de conseil. dispositifs de contrôle
et de management des
Commentaire IFACI risques
La coordination des acteurs permet une couverture efficiente des risques de l’organisation. MPA 2050-3 : Relying
En ayant un rôle actif dans cette concertation, le responsable d’audit interne se donne les on the Work of Other
Assurance Providers
moyens de mieux atteindre les objectifs qui lui sont assignés.
Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction géné-
rale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence des
actions correctives devant être entreprises par la direction générale et le Conseil.
Interprétation :
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité,
lequel évalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les
Normes.
Commentaire IFACI
Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit
interne est la personne, qui au sein de l’organisation à comme mission principale la surveillance de
l'exécution du contrat de services et de la qualité de ces activités. Il rend compte à la direction générale et au
Conseil des activités d'audit interne.
Si les activités d’audit interne sont totalement externalisées, il convient d’être particulièrement vigilant sur
les risques d’atteinte à l’indépendance ou à l’objectivité (cf. Normes 1110, 1120 et 1130).
L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.
Commentaire IFACI
Le service d’audit élabore sa propre méthode d’évaluation des processus de gouvernement d’entreprise, de management
des risques et de contrôle en utilisant des bonnes pratiques identifiées dans le Cadre de Référence International des
Pratiques Professionnelles de l’audit interne (en particulier les Modalités Pratiques d’Application, les guides d’application et
les prises de position), les publications de l’IFACI (cahiers de la recherche, actes de colloques…), les échanges avec les pairs,
la veille…
Le processus de contrôle vise l’ensemble du dispositif de contrôle interne. Il ne faut pas le restreindre aux procédures ou aux
activités de contrôle, mais également prendre en compte l’organisation, le pilotage et la surveillance du processus qui se
fondent sur une approche par les risques et une diffusion fiable de l’information.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Norme.
Commentaire IFACI
Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En
effet, les systèmes d’information doivent supporter les objectifs actuels et futurs de l’organisation et
contribuer à la qualité du contrôle interne (gestion du portefeuille des investissements IT, maîtrise de la
fiabilité et de la disponibilité des informations, etc.).
Commentaire IFACI
Afin d’évaluer l’efficacité des processus de management des risques de son organisation, l’audit interne
s’appuie utilement sur des référentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework
ou l’ISO 31000, et tient compte de la Recommandation de l'Autorité des Marchés Financiers (AMF) sur « Les
dispositifs de gestion des risques et de contrôle interne : Cadre de Référence » (juillet 2010).
2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'en-
treprise, aux opérations et aux systèmes d'information de l'organisation au regard
de :
la fiabilité et l'intégrité des informations financières et opérationnelles ;
l'efficacité et l'efficience des opérations et des programmes ;
la protection des actifs ;
le respect des lois, règlements, règles, procédures et contrats.
Commentaire IFACI
Commentaire IFACI
Sans forcément attendre la planification d’une mission spécifique sur le risque de fraude, les auditeurs internes doivent, lors
de leurs missions habituelles, avoir une forte sensibilité sur les problèmes de fraude.
2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir
les risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de l’existence
de tout autre risque susceptible d’être significatif.
2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour évaluer les processus de management
des risques de l'organisation.
MPA 2130-1 :
2130 – Contrôle Evaluer les pertinence
des processus contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de
contrôle approprié en évaluant son efficacité et son efficience et en encourageant son
amélioration continue.
Commentaire IFACI
Le dispositif de contrôle s’entend au sens large de contrôle interne. Il ne se limite pas aux activités de contrôle (cf.
commentaire de la Norme 2100).
2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs
de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de
contrôle de l’organisation.
MPA 2200-1 :
Planification de la
mission
2200 – Planification de la mission
MPA 2200-2 :
Utilisation d’une
Les auditeurs internes doivent concevoir et documenter un plan pour approche « Top-
chaque mission. Ce plan de mission précise les objectifs, le champ d'inter- Down », fondée sur les
vention, la date et la durée de la mission, ainsi que les ressources allouées. risques, pour identifier
les contrôles à évaluer
dans le cadre d’une
mission d’audit interne
2201 – Considérations relatives à la planification
Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ;
les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et
ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu à un niveau acceptable ;
la pertinence et l'efficacité des processus de management des risques et de contrôle
de l'activité, en référence à un cadre ou modèle de contrôle approprié ;
les opportunités d'améliorer de manière significative les processus de management
des risques et de contrôle de l'activité.
2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation,
les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et
le champ de la mission, les responsabilités et les attentes respectives, et préciser les
restrictions à observer en matière de diffusion des résultats de la mission et d'accès
aux dossiers.
2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilités de
chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit être formalisé.
MPA 2210-1 :
2210 – objectifs de la mission Objectifs de la mission
Les objectifs doivent être précisés pour chaque mission.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrôle dans la
limite convenue avec le client.
2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec les
valeurs, la stratégie et les objectifs de l'organisation.
2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes
doivent s'assurer que le champ d'intervention permet de répondre aux objectifs
convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur
ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider
s'il y a lieu de poursuivre la mission.
2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examiner
les dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'exis-
tence de tout problème de contrôle significatif.
MPA 2230-1 :
2230 – ressources affectées à la mission Ressources affectées à
la mission
Les auditeurs internes doivent déterminer les ressources appro-
priées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évalua-
tion de la nature et de la complexité de chaque mission, des contraintes de temps et des
ressources disponibles.
MPA 2240-1 :
2240 – Programme de travail de la mission Programme de travail
de la mission
Les auditeurs internes doivent élaborer et documenter un
programme de travail permettant d'atteindre les objectifs de la mission.
MPA 2300-1 :
2300 – Accomplissement de la mission Utilisation
d’informations à
caractère personnel
Les auditeurs internes doivent identifier, analyser, évaluer et documenter dans la conduite d’une
les informations nécessaires pour atteindre les objectifs de la mission. mission
Interprétation :
Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudente
et informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est une
information concluante et facilement accessible par l’utilisation de techniques d’audit appropriées.
Une information pertinente conforte les constatations et recommandations de l’audit, et répond
aux objectifs de la mission. Une information utile aide l’organisation à atteindre ses objectifs.
Commentaire IFACI
Pour définir la fiabilité d’une information, l'interprétation met l’accent sur son accessibilité. En effet, une information
difficilement accessible est une information qu'il va falloir reconstituer à partir de calculs, d'algorithmes ou d’autres
raisonnements reposant souvent sur des hypothèses, d'où une grande difficulté à évaluer une information de ce type sur
des critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches.
Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilité
en s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité de la source d’information.
MPA 2330-1 :
2330 – Documentation des informations Documentation des
informations
Les auditeurs internes doivent documenter les informations perti-
nentes pour étayer les conclusions et les résultats de la mission.
MPA 2330.A1-1 :
Contrôle des dossiers
2330.A1 – Le responsable de l'audit interne doit contrôler d’audit
l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir
l'accord de la direction générale et/ou l'avis d'un juriste avant MPA 2330.A1-2 :
Autorisation d’accès
de communiquer ces dossiers à des parties extérieures. aux dossiers de la
mission
MPA 2340-1 :
2340 – Supervision de la mission Supervision de la
mission
Les missions doivent faire l'objet d'une supervision appropriée afin
de garantir que les objectifs sont atteints, la qualité assurée et le développement profes-
sionnel du personnel effectué.
Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,
ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité
de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,
mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compé-
tence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentée
et conservée dans les papiers de travail.
MPA 2400-1 :
2400 – Communication des résultats Aspects légaux de la
communication des
résultats
Les auditeurs internes doivent communiquer les résultats de la mission.
MPA 2410-1 :
2410 – Contenu de la communication Contenu de la
communication
La communication doit inclure les objectifs et le champ de la
mission, ainsi que les conclusions, recommandations et plans d'actions.
Interprétation :
Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation,
de conclusions ou de toute autre description des résultats.
Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opéra-
tionnelle spécifique. La formulation de ces opinions exige de prendre en compte les résultats
de la mission et leur caractère significatif.
Commentaire IFACI
L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».
Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion
d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir
son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent
de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la
conception et le fonctionnement de ces activités de contrôle.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,
lors de la communication des résultats de la mission.
MPA 2420-1 :
2420 – qualité de la communication Qualité de la
communication
La communication doit être exacte, objective, claire, concise,
constructive, complète et émise en temps utile.
Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits sous-
jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation
Commentaire IFACI
Même si la mention de la conformité concerne une mission, les auditeurs internes devront au préalable s’assurer de la
conformité de l’ensemble de l’activité d’audit interne.
Commentaire IFACI
Cette version, proposée en 2009, met l’accent sur le respect du Code de Déontologie. Le responsable d’audit interne doit
encourager l’instauration d’échanges réguliers avec les auditeurs internes pour qu’ils puissent exprimer les risques de non-
conformité pendant le déroulement de la mission.
MPA 2440.A2-1 :
2440-A2 – Sauf indication contraire de la loi, de la réglemen- Diffusion des résultats
tation ou des statuts, le responsable de l'audit doit accomplir d’audit en dehors de
l’organisation
les tâches suivantes avant de diffuser les résultats à des desti-
nataires ne faisant pas partie de l'organisation :
évaluer les risques potentiels pour l'organisation ;
consulter la direction générale et/ou, selon les cas, un conseil juridique ;
maîtriser la diffusion en imposant des restrictions quant à l'utilisation des
résultats.
2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes rela-
tifs aux processus de gouvernement d'entreprise, de management des risques et
de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour
l'organisation, ils doivent être communiqués à la direction générale et au Conseil.
Interprétation :
La communication précisera :
le périmètre, y compris la période concernée par l’opinion ;
les limitations de périmètre ;
le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services
donnant une assurance sur la maîtrise des activités ;
le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler
l’opinion globale ;
l’opinion globale, l’avis ou la conclusion donnée.
Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.
Commentaire IFACI
L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».
Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion
d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir
son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent
de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la
conception et le fonctionnement de ces activités de contrôle.
MPA 2500-1 :
2500 – Surveillance des actions de progrès Surveillance des
actions de progrès
Le responsable de l'audit interne doit mettre en place et tenir à jour un
système permettant de surveiller la suite donnée aux résultats communiqués au management.
2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions
de conseil conformément à l'accord passé avec le client donneur d'ordre.
Lorsque le responsable de l'audit interne estime que la direction générale a accepté un niveau de
risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question
avec elle. Si aucune décision concernant le risque résiduel n’est prise, le responsable de l’audit
interne doit soumettre la question au Conseil aux fins de résolution.
Commentaire IFACI
Cette Norme devra être appliquée avec sagesse et prudence. Sa mise en œuvre devrait être facilitée si le responsable de
l’audit interne entretient une relation forte et suivie avec le comité d’audit interne et son Président. Mais les règles du jeu
devront être très claires pour tous les acteurs et être explicitées tant dans la charte d’audit interne que dans celle du comité
d’audit.
gloSSAIrE
glossaire
Activités d'assurance
II s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à l'organisation une
évaluation indépendante des processus de gouvernement d'entreprise, de management des
risques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécu-
rité des systèmes et de due diligence.
Activités de conseil
Conseils et services y afférents rendus au client donneur d'ordre, dont la nature et le champ sont
convenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeur ajoutée et
d'améliorer les processus de gouvernement d'entreprise, de management des risques et de
contrôle d'une organisation sans que l'auditeur interne n'assume aucune responsabilité de mana-
gement. Quelques exemples : avis, conseil, assistance et formation.
Atteinte
Parmi les atteintes à l’indépendance du service d’audit interne et à l'objectivité individuelle peuvent
figurer le conflit d'intérêts personnel, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limi-
tations financières.
Caractère significatif
Niveau d’importance relative d’un évènement, dans un contexte donné et selon des facteurs d’ap-
préciation qualitatifs et quantitatifs tels que l’ampleur, la nature, l’effet, la pertinence et l’impact de
cet évènement. Les auditeurs internes font preuve de jugement professionnel lorsqu’ils apprécient
le caractère significatif des événements selon des objectifs pertinents.
Charte
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation; autorise
l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit
le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de
la responsabilité du Conseil.
Code de Déontologie
Le Code de Déontologie de l'Institut comprend les principes applicables à la profession et à la
pratique de l'audit interne, ainsi que les règles de conduite décrivant le comportement attendu
des auditeurs internes. Le Code de Déontologie s'applique à la fois aux personnes et aux orga-
nismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de
l'éthique au sein de la profession d'audit interne.
Conflit d'intérêts
Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'in-
térêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et respon-
sabilités.
Conformité
L'adhésion aux règles, plans, procédures, lois, règlements, contrats ou autres exigences.
Conseil
Le Conseil est un organe de gouvernance d’une organisation. Il peut s’agir d’un Conseil d’admi-
nistration, d’un Conseil de surveillance, de l’organe délibérant d’un organisme public ou d’une
association ou de tout autre organe y compris le Comité d’audit auquel le responsable de l’audit
interne peut être rattaché sur le plan fonctionnel.
Commentaire IFACI
Cette définition montre que le terme « contrôle » ne doit pas être restreint à la notion d’activités de contrôle. Il concerne
l’ensemble du dispositif de contrôle interne qui « comprend un ensemble de moyens, de comportements, de procédures
et d’actions adaptés aux caractéristiques propres de chaque société qui :
• contribue à la maîtrise des activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels,
financiers ou de conformité. ».
Cette définition du cadre de référence de l’AMF précise également que le « contrôle interne ne se limite donc pas à
l’ensemble des procédures ni aux seuls processus comptables et financiers ».
Contrôle satisfaisant
C'est le cas lorsque le management s'est organisé de manière à apporter une assurance raisonna-
ble que les risques que court l'organisation, ont été gérés efficacement et que les buts et objectifs
de l'organisation seront atteints d'une manière efficace et économique.
Doit
Traduction de “must”, utilisée dans les Normes pour indiquer une exigence impérative.
Environnement de contrôle
L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de)
contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et la structure néces-
saires à la réalisation des objectifs primordiaux du système de contrôle interne. L'environnement
de contrôle englobe les éléments suivants :
intégrité et valeurs éthiques ;
philosophie et style de direction ;
structure organisationnelle ;
attribution des pouvoirs et responsabilités ;
politiques et pratiques relatives aux ressources humaines ;
compétence du personnel.
Fraude
Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans
qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et
des organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage
personnel ou commercial.
gouvernement d'entreprise
Le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer,
de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs.
Commentaire IFACI
Cette définition est différente d’autres approches communément admises. Par exemple, selon les principes de l’OCDE, le
gouvernement d’entreprise :
• concerne l’ensemble des relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et
autres parties prenantes ;
• fournit le cadre au sein duquel les objectifs de l’entreprise sont fixés ;
• définit les moyens de les atteindre et de surveiller les performances.
Ces principes proposent une vision plus large des différents acteurs et parties prenantes concernées (direction générale,
conseil, actionnaires, régulateurs, associations…).
Par ailleurs, le rôle conféré au Conseil n’est pas universel. Par exemple, en France, le Conseil n’a pas la responsabilité directe
de mettre en place les processus et les structures ; il a un rôle de surveillance des dispositifs dont la mise en œuvre est du
ressort de la direction générale.
Indépendance
L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses
responsabilités.
mission
Une mission, tâche ou activité de révision particulières telles qu'un audit interne, une revue d’auto-
évaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de
multiples tâches ou activités menées pour atteindre un ensemble déterminé d'objectifs qui s'y
rapportent.
objectifs de la mission
Enoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliser
pendant la mission.
objectivité
L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compro-
mis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre juge-
ment à celui d’autres personnes.
Prestataire externe
Une personne ou une entreprise, extérieures à l’organisation, qui possèdent des connaissances,
un savoir-faire et une expérience spécifiques dans une discipline donnée.
Processus de contrôle
Les règles, procédures et activités faisant partie d'un cadre de contrôle interne, conçues pour assu-
rer que les risques sont contenus dans les limites de tolérance fixées par le processus de manage-
ment des risques.
Commentaire IFACI
risque
Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le
risque se mesure en termes de conséquences et de probabilité.
risques résiduels
Les risques qui subsistent après les mesures prises par le management pour réduire l'impact et la
probabilité d'occurrence d'un événement défavorable et, notamment, les dispositifs de contrôle
mis en place en réponse à un risque.
Valeur ajoutée
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (et à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience
et à l’efficacité des processus de gouvernement d’entreprise, de management des risques et
de contrôle.
moDAlItÉS PrAtIquES
D’APPlICAtIoN
MPA 1000
mPA SÉrIE 1000
mISSIoN, PouVoIrS Et rESPoNSAbIlItÉS
MPA 1000-1
MPA 1000
Charte d’audit interne
La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis
dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de
Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodique-
ment la charte d’audit interne et la soumettre à l’approbation de la direction générale et du
Conseil.
Interprétation :
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y
compris la nature de la relation fonctionnelle entre le responsable de l’audit interne et le
Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation
des missions; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit
interne relève de la responsabilité du Conseil.
1. L’existence d’une charte d’audit interne formalisée est essentielle pour la gestion du service
d’audit interne. La charte est un document officiel soumis pour avis et acceptation à la direc-
tion générale, et approuvée par le comité d’audit ou le Conseil. Il précise le rôle du respon-
sable d’audit interne et facilite ainsi l’évaluation périodique de la pertinence de sa mission,
de ses pouvoirs et de ses responsabilités. Son approbation est consignée dans les procès-
verbaux du Conseil. Il facilite en outre l’évaluation périodique de la pertinence de la mission,
des pouvoirs et des responsabilités de l’audit interne, précisant ainsi le rôle de l’audit interne.
En cas d’interrogation, la charte est la référence écrite officielle de l'accord passé avec la direc-
tion générale et le Conseil sur le rôle et les responsabilités du service d’audit interne de l’or-
ganisation.
MPA 1100
mPA SÉrIE 1100
INDÉPENDANCE Et objECtIVItÉ
MPA 1110-1
Indépendance dans l’organisation
MPA 1100
1110 – Indépendance dans l'organisation
Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’or-
ganisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable
de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit
interne au sein de l’organisation.
Interprétation :
L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
approuve la charte d’audit interne ;
approuve le plan d’audit interne fondé sur l’approche par les risques ;
soit destinataire des informations adressées par le responsable d’audit relatives à la
réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ;
approuve les décisions liées à la nomination et à la révocation du responsable de l’audit
interne ;
demande des informations pertinentes au management et au responsable de l’audit
interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
2. Pour que le service d’audit interne puisse être indépendant, le responsable de l'audit interne
est fonctionnellement rattaché au Conseil et dépend administrativement ou hiérarchique-
ment du Directeur Général. Il est nécessaire que le responsable de l’audit interne dépende
au moins d’une personne de l’organisation ayant une autorité suffisante pour promouvoir
son indépendance, et pour lui garantir un large champ d’intervention, une attention adéquate
aux communications faites dans le cadre des missions, ainsi que des actions appropriées par
rapport aux recommandations émises.
Commentaire IFACI
En ce qui concerne le rattachement du responsable de l’audit interne, l’IFACI et l’IFA recommande, dans leur prise de
position :
• que les relations étroites et régulière avec le comité d’audit soient définies et
• que l’audit interne soit claiement rattaché hiérarchiquement à la direction générale.
Dans le contexte français, ce lien hiérarchique est primordial. Le responsable de l’audit interne pourra notamment s’y référer
pour la mise en œuvre du plan d’audit et le règlement de conflits avec les audités. Outre les activités cités au §4 de la MPA,
la direction générale est directement concernée par les sujets abordés dans le cadre du rattachement fonctionnel,
mentionnés au §3.
De plus, l’IFA préconise que « le comité d’audit soit impliqué en amont dans l’examen du plan d’audit interne afin
d’apprécier le niveau de couverture des risques majeurs par les activités d’audit et de prendre connaissance des
domaines pas ou insuffisamment couverts, en vue de recommander d’éventuels compléments de travaux ou de
ressources de l’audit interne.
Il est également essentiel que le comité d’audit prenne connaissance de l’évaluation des processus de gouvernement
d’entreprise, de management des risques et de contrôle interne fondée sur la synthèse des rapports de l’audit interne
et s’assure du suivi adéquat par la direction générale des recommandations formulées par l’audit interne.
Enfin, le comité d’audit prend part à la désignation et à l’évaluation du directeur de l’audit interne » (cf. « Comités
d’audit : 100 Bonnes pratiques »).
MPA 1111-1
Relation avec le Conseil
MPA 1100
1111 – relation directe avec le Conseil
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Modalité
Pratique d’Application.
Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter
tout conflit d'intérêt.
Interprétation :
Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit
d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec
ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsa-
bilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique
ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer
la confiance en l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt
peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités
de manière objective.
1. L’objectivité individuelle nécessite que les auditeurs internes réalisent leurs missions de telle
manière qu’ils aient sincèrement confiance dans le résultat de leur travail et dans le fait qu’au-
cune concession significative n’ait été faite en matière de qualité. Les auditeurs internes ne
doivent pas se trouver placés dans des situations qui porteraient atteinte à leur capacité à
porter des jugements professionnels objectifs.
2. L’objectivité individuelle nécessite que le responsable de l'audit interne organise une affec-
tation des auditeurs de manière à prévenir les conflits d’intérêt potentiels ou réels ainsi que
les partis pris. Il s’informe périodiquement auprès des auditeurs à propos des conflits d’intérêt
ou des partis pris et le cas échéant, instaure une rotation régulière des auditeurs internes au
sein de l’équipe.
3. La revue des résultats de l’audit avant leur diffusion permet de fournir une assurance raison-
nable que le travail a été réalisé avec objectivité.
4. L’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommander
la mise en place de normes de contrôle pour les systèmes d’information ou à examiner des
procédures avant leur mise en application. Par contre, son objectivité est présumée altérée
s’il conçoit, met en place, rédige les procédures y relatives ou exploite de tels systèmes.
5. L’exécution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux d’au-
dit, ne compromet pas nécessairement leur indépendance dans la mesure où ils sont claire-
ment mentionnés dans le rapport d’audit. Toutefois, le management et les auditeurs internes
doivent veiller attentivement à ce que ces travaux n’altèrent pas leur objectivité.
Commentaire IFACI
MPA 1100
Dans le cadre de l’exécution ponctuelle de travaux qui ne sont pas des travaux d’audit, les auditeurs internes doivent veiller
à:
• délimiter formellement leur responsabilité ;
• mentionner dans le rapport d’audit en quoi cette exécution n’affecte pas leur indépendance et leur objectivité ;
• prendre en compte les travaux d’audit futur sur ces thèmes, processus ou fonctions.
Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou
même en apparence, les parties concernées doivent en être informées de manière précise. La
forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.
Interprétation :
Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent
figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limi-
tations financières.
L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-
dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans
la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit
interne, et d’autre part de la nature de cette atteinte.
1. Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle
ou potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulter
s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit interne
constate l’existence d’une atteinte réelle ou supposée, il réaffecte alors les auditeurs concer-
nés.
2. Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empê-
chant de réaliser ses objectifs et son planning. Des limitations de ce type peuvent, entre
autres, restreindre :
le domaine d’intervention défini dans la charte d’audit interne ;
l’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réali-
sation des missions ;
le plan d’audit lorsqu'il a été approuvé ;
la mise en œuvre des procédures nécessaires à la mission ;
les ressources humaines et le budget financier qui ont été approuvés.
Commentaire IFACI
La question de la limitation des ressources de l’audit interne est une véritable problématique surtout en période de crise
économique. La référence explicite à la limitation du budget du service d’audit interne donne, au responsable de l’audit
interne, la possibilité de mettre en évidence les enjeux d’une telle limitation même si elle est dictée par des facteurs
économiques de court terme. La direction générale et le Conseil peuvent alors prendre leur décision en connaissance de
cause (cf. Norme 2600 : Acceptation des risques par la direction générale).
MPA 1100
3. Il est nécessaire de communiquer au Conseil, de préférence par écrit, l’existence d’une limi-
tation du champ d’intervention et ses répercussions possible. Le responsable de l'audit interne
juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette
instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y
a des changements, notamment au sein de l’organisation, du Conseil ou de la direction géné-
rale.
4. Les auditeurs internes ne doivent pas accepter une rémunération, des cadeaux ou des invi-
tations de la part d’un salarié, d’un client, d’un fournisseur ou d’un partenaire qui pourrait
laisser supposer que l’objectivité de l’auditeur interne a été altérée. Cette supposition pourra
concerner des missions en cours ou des missions futures de l’auditeur. Le statut des missions
ne saurait en aucun cas justifier l’acceptation de rémunérations, de cadeaux ou d’invitations.
L’acceptation d’articles publicitaires (tels que stylos, calendriers ou échantillons) mis à la dispo-
sition des salariés et du public et d’une valeur minime ne devrait pas fausser les jugements
professionnels des auditeurs internes. Ces derniers doivent rendre compte sans délai à leur
supérieur hiérarchique de toute offre de rémunérations ou de cadeaux importants.
Commentaire IFACI
La liste limitative d’objets indiquée dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cités peuvent
être acceptés sans affecter l’objectivité individuelle.
Il convient d’étendre le risque d’atteinte à l’objectivité à tous les cas de conflit d’intérêt direct et indirect.
Ci-après, un extrait d’un Code de Déontologie qui précise que l’auditeur interne « … ne sollicitera ni n’acceptera et ne fera
ni accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau d’une valeur excédant les
usages courants dans le Groupe, aucune somme d’argent, […]. En cas de doute sur les usages courants dans le Groupe,
il consultera sa hiérarchie. Dans tous les cas, il informera sa hiérarchie de toutes sollicitations ou offres d’avantages
particuliers dont il a fait l’objet, directement ou indirectement. »
1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont
ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée
lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours
de l'année précédente.
MPA 1130.A2-1
Responsabilités exercées par l’audit interne
au titre d’autres fonctions
MPA 1100
Principale Norme de référence
1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a
la charge doivent être supervisées par une personne ne relevant pas de l'audit interne.
1. Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activités qui font
l’objet d’évaluations périodiques de la part de l’audit interne. S’ils ont de telles responsabilités,
ils ne peuvent pas être considérés comme des auditeurs internes.
3. Si la charte de l’audit interne contient des restrictions ou des clauses limitatives concernant
l’attribution aux auditeurs internes de fonctions autres que l’audit, il convient de mentionner
ces restrictions et d’en discuter avec la direction. Si cette dernière insiste pour confier ces
fonctions à un auditeur, une information et une discussion seront nécessaire avec le Conseil.
4. Dès lors que l'audit interne accepte des responsabilités opérationnelles et que ces domaines
sont intégrés dans le plan d’audit, le responsable de l’audit interne devra :
minimiser les risques liés au manque d’objectivité en ayant recours à un prestataire
extérieur ou à des auditeurs externes pour réaliser les audits de ces secteurs ;
confirmer que les individus ayant des responsabilités opérationnelles dans des secteurs
dépendant du responsable de l’audit interne, ne participent pas aux audits de ces
domaines ;
s’assurer que les auditeurs, qui conduisent une mission d’assurance dans des secteurs
rattachés au responsable de l’audit interne, sont supervisés par la direction générale et
le Conseil, à qui ils communiquent les résultats de leur évaluation ;
indiquer les responsabilités opérationnelles exercées par l’auditeur dans le cadre de la
fonction en cause, l’importance de ces opérations pour l’organisation (en termes de
chiffre d’affaires, de dépenses ou en fonction de tout autre critère pertinent), ainsi que
le lien existant entre les personnes qui ont procédé à l’audit de la fonction et l’auditeur
concerné.
MPA 1200
mPA SÉrIE 1200
ComPÉtENCE Et CoNSCIENCE ProFESSIoNNEllE
MPA 1200-1
Compétence et conscience professionnelle
MPA 1200
1. La compétence et la conscience professionnelle sont de la responsabilité du responsable de
l'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assure
que, pour chaque mission, l’équipe d’auditeurs désignés possède collectivement les connais-
sances, le savoir-faire et les compétences nécessaires pour mener la mission de façon appro-
priée.
1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compé-
tences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit
collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences
nécessaires à l'exercice de ses responsabilités.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée
pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés
à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles
appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou
par d’autres organisations professionnelles appropriées.
MPA 1200
2. Le responsable de l'audit interne définit des critères appropriés de formation générale et d’ex-
périence pour pourvoir les postes d’auditeurs internes, en considérant la nature des travaux
et le niveau de responsabilité. Il obtient une assurance raisonnable sur les qualifications et la
compétence des candidats.
Commentaire IFACI
Les responsables de l'audit interne doivent disposer à la fois d'une bonne connaissance de l'organisation à tous les niveaux
et/ou d'une solide expérience en audit interne.
3. Il faut que l'audit interne possède collectivement les connaissances, le savoir-faire et les autres
compétences indispensables à la pratique de la profession dans l'organisation. Une analyse
annuelle des connaissances, savoir-faire et autres compétences de l’audit interne permet
d’identifier plus facilement les points à améliorer grâce à des programmes de formation conti-
nue, à des recrutements ou par la mise en œuvre de ressources externes partagées.
Commentaire IFACI
Les compétences et le savoir-faire du management opérationnel (chef de mission et/ou superviseur) conditionnent dans les
faits en grande partie à la fois la qualité, la pertinence des missions et l'apprentissage des auditeurs internes.
L’évaluation du personnel d’encadrement vise notamment à s’assurer qu’il est en mesure d’apporter un support adéquat
aux auditeurs internes, d’effectuer les arbitrages nécessaires au bon moment et de communiquer de manière appropriée
avec les audités.
4. La formation continue est essentielle pour s’assurer que le personnel du service d’audit
interne demeure compétent.
5. Le responsable de l’audit interne peut faire appel à des experts extérieurs à son service afin
de soutenir ou de compléter les domaines dans lesquels l’audit interne ne dispose pas de
compétences suffisantes.
1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes quali-
fiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres
compétences nécessaires pour s'acquitter de tout ou partie de leur mission.
1. Chaque auditeur interne n’est pas nécessairement qualifié dans toutes les disciplines. L’audit
interne peut recourir à des prestataires externes ou à des ressources internes qualifiées dans
des disciplines telles que la comptabilité, l’audit, l’économie, la finance, les statistiques, les
technologies de l’information, l’ingénierie, la fiscalité, le droit, l’environnement et tout autre
domaine nécessaire pour pouvoir exercer ses responsabilités d’audit interne.
Commentaire IFACI
L’évaluation des compétences individuelles des auditeurs internes permet d’identifier les éventuelles insuffisances au
niveau de l’équipe d’audit interne. Ces lacunes collectives peuvent être comblées par des formations, des recrutements ou le
recours à des prestataires externes.
2. Un prestataire externe est une personne ou une entité indépendante de l’organisation qui
possède des connaissances, un savoir-faire et une expérience particuliers dans une discipline
donnée. Les prestataires externes incluent notamment les actuaires, les experts-comptables,
les conseils en évaluation, les personnes qui ont une expertise à propos de certaines cultures
ou langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, les
avocats, les ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistes
des technologies de l’information, les auditeurs externes de l’organisation et les autres cabi-
nets d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le responsable
de l'audit interne.
3. L’audit interne peut faire appel à des prestataires externes notamment dans les cas suivants :
réalisation des objectifs de la mission selon les échéances prévues ;
missions d’audit nécessitant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de l’information, les statistiques, la fiscalité ou les
langues étrangères ;
évaluation d’actifs tels que terrains et immeubles, œuvres d’art, pierres précieuses, inves-
tissements et instruments financiers complexes ;
MPA 1200
conseil en matière de management des risques ou d’autres sujets.
4. Lorsqu’il prévoit de recourir à un prestataire externe et de s’appuyer sur ses travaux, le respon-
sable de l'audit interne devra évaluer sa compétence, son indépendance et son objectivité
au vu des particularités de la mission à accomplir. Il convient de procéder également à cette
évaluation si le prestataire externe est choisi par la direction générale ou par le Conseil, et si
le responsable de l'audit interne prévoit de s’appuyer sur ses travaux. Lorsque le responsable
de l'audit interne ne choisit pas lui-même le prestataire externe et si son évaluation montre
qu’il ne devrait pas s’appuyer sur les travaux de ce dernier, les résultats de cette évaluation
devront être communiqués à la direction générale ou au Conseil, selon le cas.
5. Le responsable de l'audit interne doit s’assurer que le prestataire externe possède les connais-
sances, le savoir-faire et les compétences nécessaires pour accomplir sa mission. Pour évaluer
ces compétences, le responsable de l'audit interne tiendra compte des éléments suivants :
diplôme, agrément ou autre titre attestant de la compétence du prestataire externe
dans la discipline en question ;
adhésion du prestataire externe à un organisme professionnel compétent et adhésion
au Code de Déontologie de cet organisme ;
réputation du prestataire externe. La prise en compte de cet élément peut impliquer
la consultation de tiers faisant habituellement appel aux travaux du prestataire ;
expérience du prestataire externe dans le type de travaux qu’on envisage de lui confier ;
niveau d’études et formation du prestataire externe dans les disciplines liées à la mission
en question ;
connaissances et expérience du prestataire externe dans le secteur d’activité de l’orga-
nisation.
Commentaire IFACI
Le responsable de l’audit interne s’assure que les compétences requises existent au sein de l’équipe de prestations externes.
Cette évaluation ne se limite pas à l’analyse des qualifications du signataire du contrat de prestation, mais concerne aussi
les membres de l’équipe qui réalisent ou qui supervisent la prestation concernée.
10. Lorsqu’il évalue la revue des travaux d’un prestataire externe, le responsable de l'audit interne
veille à ce que ceux-ci soient réalisés conformément aux Normes internationales pour la
pratique professionnelle de l’audit interne (Normes). Cette évaluation consiste notamment à
s’assurer que les informations obtenues sont suffisantes pour justifier les conclusions formu-
lées et les solutions proposées et statuer sur les exceptions significatives ou les autres points
inhabituels.
MPA 1200
11. En cas de recours à un prestataire externe, le responsable de l'audit interne peut, si nécessaire,
mentionner les services ainsi fournis dans les documents ou rapports émis au titre de la
mission. Le prestataire externe est informé et, le cas échéant, son accord devrait être obtenu
avant toute mention de ses services dans ces documents.
Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut
attendre d'un auditeur interne raisonnablement averti et compétent. La conscience profession-
nelle n'implique pas l'infaillibilité.
1. La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement prudent et compétent. La conscience professionnelle
tient compte de la complexité de la mission réalisée. En agissant avec la conscience profes-
sionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes
intentionnelles, d’erreurs ou d’omissions, de manque d’efficacité, de gaspillage et de conflits
d’intérêts ainsi qu’aux situations et activités où des irrégularités ont le plus de chance de se
produire. Les auditeurs internes sont également concernés par la détection de contrôles inef-
ficaces et font des recommandations visant à promouvoir le respect des procédures et
pratiques acceptables.
MPA 1230-1
Formation Professionnelle Continue
Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences
par une formation professionnelle continue.
MPA 1200
1. Les auditeurs internes ont la responsabilité de se former de manière continue, afin de renfor-
cer et de maintenir leurs compétences. Ils devront se tenir informés des progrès accomplis
et des développements en cours dans le domaine des normes, procédures et techniques
d’audit, telles qu’elles sont explicitées dans le CRIPP (Cadre de référence international pour la
pratique professionnelle de l’audit interne). La formation continue peut s’acquérir par l’adhé-
sion, la participation et le volontariat à des associations professionnelles telles que l’IFACI ; en
assistant à des conférences, à des séminaires ; en participant aux actions internes de forma-
tion ; par l’achèvement de cycle d’études supérieures et d’auto-formation ainsi que par la
participation à des programmes de recherche.
2. Il est conseillé aux auditeurs internes d’obtenir une certification attestant de leur compétence,
telle que le titre d’auditeur interne Certifié (CIA, Certified Internal Auditor), d’autres titres déli-
vrés par l'IIA ou liés à l’audit interne.
Commentaire IFACI
L’IFACI recommande aux auditeurs internes d’obtenir le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur les
compétences fondamentales (les bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils et
techniques d’audit, la communication orale, communication écrite, système d’information, finance et comptabilité,…) de
l’auditeur interne et atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome et
professionnelle, en s’appuyant sur la démarche préconisée par les Normes.
3. Il est conseillé aux auditeurs internes de suivre une formation professionnelle continue (liée
aux activités de leur organisation et au secteur) pour entretenir leurs compétences sur les
processus de gouvernement d’entreprise, de risque et de contrôle existant dans leur organi-
sation.
5. Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnelle
continue appropriée de façon à remplir les conditions requises par la certification qui leur a
été délivrée.
6. Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programme
de formation et/ou à étudier individuellement en vue d’obtenir la certification profession-
nelle.
MPA 1300
mPA SÉrIE 1300
ProgrAmmE D’ASSurANCE
Et D’AmÉlIorAtIoN quAlItÉ
MPA 1300-1
Programme d'assurance et d'amélioration qualité
Interprétation :
Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :
la conformité de l’audit interne avec la définition de l’audit interne et les Normes ;
le respect du Code de Déontologie par les auditeurs internes.
MPA 1300
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes opportunités d’amélioration.
Commentaire IFACI
La qualité des activités de l’audit interne est une responsabilité collective. Cependant, le pilotage direct du programme
d’assurance et d’amélioration qualité requiert dans certains cas une structure transversale permettant un déploiement et
un suivi centralisé. Cette structure peut être nécessaire en raison de la taille ou de la complexité des activités du
département d’audit interne. Le manager en charge du programme d’assurance et d’amélioration qualité peut, selon notre
point de vue, continuer à exercer des responsabilités de conduite de missions.
MPA 1310-1
Exigences du programme d'assurance
et d'amélioration qualité
Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes
qu’externes.
Commentaire IFACI
MPA 1300
La Certification IFACI est fondée sur les exigences suivantes :
• un référentiel de certification, formellement validé par un comité indépendant ;
• un comité de certification composé de directeurs opérationnels, de cadres de départements d’audit interne et d’experts
en audit interne, assurant l’équité et l’homogénéité des décisions ;
• un processus de certification normé et décliné en procédures ;
• des auditeurs certificateurs expérimentés et formés ;
• une appréciation de la qualité de l’organisation et du fonctionnement de l’audit interne fondée sur chaque exigence
générale, et non sur une appréciation d’ensemble du respect des Normes ;
• un label reconnu, pouvant faire l’objet d’une communication vers les parties prenantes de l’audit interne.
4. Par souci de transparence, le responsable de l'audit interne communique les résultats des
évaluations externes et, si nécessaire, des évaluations internes du programme qualité, aux
diverses parties prenantes de l’audit interne, telles que la direction générale, le Conseil et les
auditeurs externes. Au moins une fois par an, le responsable de l’audit interne rend compte
à la direction générale et au Conseil de l’état d’avancement et des résultats du programme
qualité.
MPA 1311-1
Évaluations internes
Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi
MPA 1300
de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques
courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-
mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition
de l’audit interne, au Code de Déontologie et aux Normes.
Les revues périodiques sont conduites pour évaluer également la conformité du service d’audit
interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension
de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
1. Les processus et outils utilisés dans les évaluations internes permanentes sont notamment
les suivants :
supervision des missions;
utilisation de listes de contrôle et de procédures (par exemple dans un manuel d’audit
et de procédures);
informations fournies, en retour, par les clients et les parties prenantes de l’audit interne ;
revues de dossiers de mission effectuées par des auditeurs qui n’ont pas participé aux
missions concernées ;
budgets par projet, systèmes de suivi des temps passés, réalisation du plan d’audit,
recouvrement des coûts ;
analyse d’autres indicateurs de performance (par ex. durée des missions et taux de
recommandations acceptées).
Commentaire IFACI
IFACI Certification a élaboré un Référentiel Professionnel de l’Audit Interne s’appuyant sur les Normes qu’il répartit en :
• exigences de prestations ;
• exigences de moyens ;
• exigences de pilotage et de contrôle.
Ce Référentiel, conçu aux fins de certification d’une direction d’audit interne peut aussi être utilisé pour les évaluations
internes. Il est disponible auprès de l’IFACI.
5. Une évaluation interne périodique, réalisée peu de temps avant une évaluation externe, peut
faciliter cette dernière et en réduire le coût. Même si l’évaluation périodique interne est effec-
tuée par des évaluateurs externes qualifiés et indépendants, les résultats de l’évaluation ne
devraient pas présumer les résultats de la revue qualité externe à venir. Le rapport peut conte-
nir des suggestions et des recommandations d’amélioration des pratiques d’audit. Si l’éva-
luation externe prend la forme d’une auto-évaluation suivie d’une validation indépendante,
l’évaluation interne périodique peut tenir lieu d’auto-évaluation dans le cadre de ce processus.
6. Il convient de conclure sur la qualité des prestations et prendre toute mesure appropriée
pour, en tant que de besoin, mettre en œuvre les améliorations et assurer la conformité aux
Normes.
7. Le responsable de l'audit interne met en place un système de diffusion des résultats des
évaluations internes permettant de préserver la crédibilité du service et de garantir son objec-
tivité. En règle générale, les personnes chargées des évaluations continues et périodiques
rendent compte au responsable de l'audit interne au cours de leurs revues et lui adressent
directement leurs résultats.
Commentaire IFACI
Le responsable de l’audit interne appréciera l’opportunité et adaptera la nature de la communication des résultats pour
chaque partie prenante. La communication des résultats des revues internes aux auditeurs externes peut permettre de
favoriser un climat de confiance propice à la coopération entre audit interne et audit externe.
MPA 1300
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne
doit s'entretenir avec le Conseil au sujet :
du besoin d'augmenter la fréquence de ces évaluations externes ;
des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
1. Les évaluations externes couvrent l’ensemble des prestations d’assurance et de conseil four-
nies par l’audit interne et ne sont pas limitées à l’évaluation de son programme d’assurance
et d’amélioration qualité. Pour obtenir tout le bénéfice d’une revue externe, l’étendue des
travaux inclut le benchmarking, l’identification et le compte-rendu des meilleures pratiques
qui pourrait rendre l’audit interne plus efficient. Cela peut être obtenu soit par une revue
entièrement externalisée, soit par une autoévaluation détaillée suivie d’une validation indé-
pendante. Ces deux approches sont réalisées par un évaluateur ou une équipe d’évaluateur
qualifiés et indépendants. Néanmoins, dans les deux cas, le responsable de l’audit interne
s’assure que le plan d’intervention spécifie clairement les livrables de la revue externe.
2. L’évaluation externe comprend une opinion sur l’ensemble des prestations d’assurance et de
conseil délivrées par l’audit interne (ou qui aurait pu être fournies sur la base de la charte
d’audit interne), notamment sur le respect de la définition de l’audit interne, du Code de
Déontologie et des Normes et, si nécessaire, des recommandations en vue d’une améliora-
tion. Hormis le respect de la définition de l’audit interne, du Code de Déontologie et des
Normes, le périmètre de l’évaluation est ajusté à la demande du responsable de l’audit interne,
de la direction générale ou du Conseil. Ces évaluations peuvent présenter un grand intérêt
pour le responsable de l'audit interne et les autres membres de l’équipe, plus particulièrement
lorsqu’il y a échange sur le benchmark et les meilleures pratiques.
3. Dès l’achèvement de la revue, un compte-rendu formel doit être adressé à la direction géné-
rale et au Conseil.
4. Il existe deux démarches d’évaluations externes. La première est une évaluation entièrement
externalisée, conduite par un évaluateur ou une équipe qualifiés, indépendants, extérieurs à
MPA 1300
l’organisation. Cette approche implique une équipe extérieure de professionnels compétents
sous la direction d'un chef de projet expérimenté et professionnel. La seconde approche
implique le recours à un évaluateur ou à une équipe externe qualifiés et indépendants pour
conduire une validation indépendante de l'auto-évaluation interne et du rapport établi par
le service d’audit interne. Les évaluateurs externes indépendants maîtrisent les meilleures
pratiques de l’audit interne.
5. Les personnes qui entreprennent l’évaluation externe, ne doivent avoir aucun intérêt dans
l’organisation dont le service d’audit interne fait l’objet de l’évaluation externe, ni aucune obli-
gation envers cette dernière ou son personnel. Lors de la sélection de l’évaluateur ou de
l’équipe d’évaluateurs externe(s) qualifié(s) et lorsqu’il consulte le Conseil à ce propos, le
responsable de l’audit interne examine des points particuliers concernant leur indépendance.
Notamment :
Aucun cas de conflit d’intérêt réel ou supposé avec des cabinets réalisant :
- l’audit externe des états financiers ;
- des activités de conseil significatives dans les domaines du gouvernement d’entre-
prise, du management des risques, du reporting financier, du contrôle interne et dans
des domaines connexes ;
- une assistance au service d’audit interne. L’importance et le volume de travail effectué
devront être considérés lors de la sélection.
Aucun cas de conflit d’intérêt réel ou supposé avec d’anciens employés de l’organisation
qui feraient l’évaluation. La durée pendant laquelle les personnes ont été indépendantes
de l’organisation devra être prise en considération.
Les personnes qui procèdent à l’évaluation sont indépendantes de l’organisation dont
le service d’audit interne fait l’objet de l’évaluation et ne se trouvent pas dans un cas
de conflit d’intérêt réel ou apparent. L’expression « indépendantes de l’organisation »
6. L’intégrité implique que les personnes chargées de l’évaluation soient honnêtes et sincères,
dans les limites imposées par l’obligation de confidentialité. Les prestations et la confiance
ne doivent pas être subordonnées à des intérêts et gains personnels. L’objectivité est un état
d’esprit et une qualité qui renforcent la valeur d’une évaluation. Le concept d’objectivité
implique l’impartialité, l’honnêteté intellectuelle et l’absence de conflit d’intérêt.
plus poussées : par exemple, avoir été membre d’une équipe d’évaluateurs externes de la
qualité, avoir suivi avec succès la formation de l’IIA sur l’évaluation de la qualité ou une forma-
tion similaire, et avoir acquis une expérience en tant que responsable d’un service d’audit
interne ou une expérience comparable à un poste d’encadrement dans l’audit interne.
8. Le ou les évaluateurs ont l’expertise technique requise et une expérience du secteur d’activité
concerné. Des personnes compétentes dans d’autres disciplines peuvent les assister. C'est
ainsi que des experts en matière de management des risques d’entreprise, d’audit des
systèmes d’information, d’échantillonnages statistiques, de systèmes de suivi des opérations
ou d’auto-évaluation du contrôle interne peuvent participer à certains aspects de l’évalua-
tion.
MPA 1300
10. L’évaluation externe consiste en un examen étendu portant notamment sur les paramètres
suivants :
respect de la définition de l’audit interne, du Code de Déontologie, des Normes, de la
charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’audit
interne, ainsi que de la législation et réglementation en vigueur ;
attentes du Conseil, de la direction générale et des directeurs opérationnels vis-à-vis
des prestations de l’audit interne ;
intégration de l’audit interne dans le dispositif de gouvernement d’entreprise, y compris
au niveau des relations entre les principaux groupes impliqués dans ce dispositif ;
outils et techniques utilisés par l’audit interne ;
éventail des connaissances, de l’expérience et des compétences de l'équipe de l’audit
interne, y compris en ce qui concerne l’amélioration des processus ;
valeur ajoutée apportée par l’audit interne et contribution à l’amélioration des opéra-
tions de l’organisation.
11. Les résultats préliminaires de l’évaluation sont examinés avec le responsable de l'audit interne
au cours du processus d’évaluation et à l’issue de ce dernier. Les résultats définitifs sont
communiqués au responsable d’audit interne ou au responsable qui a autorisé l’évaluation,
de préférence en adressant directement un exemplaire aux membres de la direction générale
concernés et aux membres du Conseil.
13. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne commu-
nique aux différentes parties prenantes de l’audit interne, telles que la direction générale, le
Conseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctrices
prévues sur les points significatifs, puis des informations concernant leur mise en œuvre.
MPA 1312-2
Évaluations externes :
auto-évaluation avec validation indépendante
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne
doit s'entretenir avec le Conseil au sujet :
du besoin d'augmenter la fréquence de ces évaluations externes ;
des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
MPA 1300
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
1. Une évaluation externe périodique, réalisée par un évaluateur ou une équipe d’évaluateurs
compétents et indépendants peut être problématique pour les services d’audit interne de
taille modeste ou considérée comme n’étant pas vraiment appropriée ou nécessaire dans
d’autres organisations. Par exemple, le service d’audit interne peut (a) appartenir à un secteur
extrêmement régulé, (b) faire par ailleurs l’objet d’une supervision externe importante en
matière de gouvernance et de contrôle interne, (c) avoir récemment fait l’objet d’évaluations
externes et/ou de services de conseil aux cours desquels il y a eu un benchmark approfondi
avec les meilleures pratiques, ou (d) du point de vue du responsable d’audit interne, l’intérêt
2. Une auto-évaluation avec validation (externe) indépendante comporte les éléments suivants :
un processus détaillé et parfaitement documenté d’auto-évaluation, comparable au
processus d’évaluation externe, du moins en ce qui concerne l’évaluation du respect
de la définition de l’audit interne, du Code de Déontologie et des Normes ;
une validation sur site indépendante réalisée par un évaluateur qualifié ;
des modalités économiques en termes de temps et de ressources, l’accent étant mis,
par exemple, sur le respect des Normes.
les autres points, tels que l’analyse comparative, l’examen et les consultations relatifs à
l’emploi des meilleures pratiques, les entretiens avec la direction générale et les cadres
opérationnels peuvent faire l’objet d’une attention réduite. Cependant, les informations
obtenues par ces points sont parmi les plus bénéfiques lors d’une évaluation externe.
3. Les conditions et critères décrits dans la MPA 1312-1 s’appliquent en ce qui concerne :
les considérations d’ordre général ;
les qualifications de l’évaluateur ou de l’équipe d’évaluateurs externes ;
l’indépendance, l’intégrité et l’objectivité, la compétence, l’approbation du choix de l’in-
tervenant par la direction générale et le Conseil, l’étendue de la mission (sauf pour des
domaines comme les outils et techniques utilisés, les autres meilleures pratiques, l’évo-
lution de carrière et les activités à valeur ajoutée) ;
la communication des résultats (y compris des actions correctrices et de leur mise en
œuvre).
4. Le processus d’auto-évaluation est mis en œuvre et parfaitement documenté par une équipe
dirigée par le responsable de l’audit interne. Un projet de rapport similaire à celui concernant
l’évaluation externe est établi avec l’opinion du responsable du service d’audit concernant le
respect des Normes.
MPA 1300
de la validation indépendante, puis diffusé(s) à la direction générale et au Conseil par le
responsable de l’audit interne.
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
du besoin d'augmenter la fréquence de ces évaluations externes ;
des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
1. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’organisa-
tion évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit
d’intérêt réel ou supposé entre les membres de l’équipe d’évaluation et l’organisation et/ou
son personnel. Les éléments devant être pris en compte pour évaluer l’indépendance de
l’équipe d’évaluation comprennent ce qui suit :
Indépendant de l’organisation signifie ne pas être sous l’influence de l’organisation dont
le service d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés
doivent être pris en compte dans le cadre du processus de sélection d’un évaluateur
externe. Un conflit d’intérêts peut découler de relations passées, présentes ou poten-
tielles avec l’organisation ou son service d’audit interne. Les relations personnelles et/ou
d’ordre commercial doivent être prises en compte.
Dans le secteur privé (c’est-à-dire indépendant de l’État), le personnel d’une même
organisation mais rattaché à des départements différents, ou à une organisation liée,
bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme indépendant
pour la réalisation d’une évaluation externe. L’expression « organisation liée » désigne
l’entité ou la société mère, les sociétés affiliées d’un même groupe ou une entité exer-
çant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualité
vis-à-vis de l’organisation dont le service d’audit interne fait l’objet d’une évaluation
externe.
Des évaluations externes réciproques peuvent être effectuées par des équipes prove-
nant d’au moins trois organisations différentes de façon à satisfaire l’objectif d’indépen-
dance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas et
MPA 1300
à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonc-
tions sans contrainte de confidentialité, etc. La réalisation d’évaluations externes réci-
proques entre deux organisations ne peut pas être prise en considération en tant
qu’évaluation externe indépendante.
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
du besoin d'augmenter la fréquence de ces évaluations externes ;
des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
1. Le terme « secteur public », qui englobe tous les niveaux d’intervention de l’État, comprend
les établissements ou les entreprises (« l’entité ») détenus ou contrôlés par l’État. Dans le
secteur public, les services d’audit interne des différents niveaux d’intervention de l’État
peuvent être considérés comme indépendants pour la réalisation d’une évaluation externe.
2. Les entités parapubliques englobent des entreprises qui sont détenues ou contrôlées par
plusieurs États, des institutions ou des organisations, telles que les Nations Unies ou la
Commentaire IFACI
Les lignes directrices du secteur public sont généralement plus appropriées pour les organisations intergouvernementales
qui prolongent et se substituent à l’action publique étatique.
Néanmoins, la notion d’organisation liée, développée dans le §1 de la MPA 1312-3 relative au secteur privé, devra être prise
en considération pour apprécier l’indépendance du personnel d’une institution donnée en fonction du niveau de
contrôle/supervision de l’organisation dont le service d’audit interne fait l’objet d’une évaluation externe.
3. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’entité
évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit d’in-
térêt réel ou supposé entre les membres de l’équipe d’évaluation et l’entité et/ou son person-
nel. Les éléments devant être pris en compte pour évaluer l’indépendance de l’équipe
MPA 1300
d’évaluation comprennent ce qui suit :
Indépendant de l’entité signifie ne pas être sous l’influence de l’entité dont le service
d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés doivent
être pris en compte dans le cadre du processus de sélection d’un évaluateur externe.
Un conflit d’intérêts peut découler de relations passées, présentes ou potentielles avec
l’entité ou son service d’audit interne. Les relations personnelles et/ou d’ordre commer-
cial doivent être prises en compte.
Dans le secteur public, le personnel rattaché à des services d’audit interne distincts
dans des entités différentes mais correspondant à un niveau d’intervention donné de
l’État (administration nationale, régionale, départementale, ou locale) peut être consi-
déré comme indépendant pour la réalisation d’une évaluation externe.
Lorsqu’une ou plusieurs activités d’audit interne sont réalisées au même niveau d’in-
tervention de l’État et sous l’autorité du même responsable de l’audit interne, le person-
nel concerné par ces activités n’est pas considéré comme indépendant pour la
réalisation d’une évaluation externe, même s’il est rattaché à des entités différentes.
Seuls des évaluateurs indépendants de chacune de ces entités peuvent réaliser une
évaluation externe.
Des évaluations externes réciproques peuvent être effectuées par des équipes prove-
nant d’au moins trois entités différentes de façon à satisfaire l’objectif d’indépendance.
Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce que
tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sans
contrainte de confidentialité, etc. La réalisation d’évaluations externes réciproques entre
deux entités ne peut pas être prise en considération en tant qu’évaluation externe indé-
pendante.
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite confor-
mément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement
si les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.
Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de
la Définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de
résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancien-
neté disposeront également des résultats de leurs évaluations externes.
1. La surveillance permanente ainsi que les évaluations externe et interne de l’audit interne ont
pour objet d’évaluer et formuler une opinion sur la conformité de cette activité par rapport
à la définition de l’audit interne, au Code de Déontologie et aux Normes. Ils incluent si néces-
saire des recommandations en vue d’une amélioration.
2. Des évaluations externes doivent être réalisées tous les cinq ans.
Commentaire IFACI
L’IFACI considère qu’une période de cinq ans est inadaptée dans la plupart des cas pour la réalisation d’évaluations externes.
En effet, l’audit interne est une fonction clé du dispositif de contrôle interne qui fait l’objet tous les ans d’un rapport
approuvé par le conseil d’administration. Dans ce rapport, rendu public, le Président du Conseil rend notamment compte
des procédures de contrôle interne et de gestion des risques. En tant que partie prenante directement concernée par ces
processus, l’audit interne se doit de justifier d’un professionnalisme.
Par ailleurs, l’audit interne est généralement une fonction à rotation de personnel élevée.
Pour ces raisons, la Certification IFACI prend la forme d’un audit de certification et d’audits de suivi annuel, afin de répondre
3. On peut utiliser la formule « Conforme avec les Normes » ou « En conformité avec les Normes ».
L’emploi d’une de ces expressions exige qu’une évaluation externe soit réalisée au moins une
fois tous les cinq ans, et qu’elle soit accompagnée d’une surveillance permanente et d’éva-
luations internes périodiques. Il faut également que ces activités débouchent sur la conclu-
sion que l’audit interne respecte la définition de l’audit interne, le Code de Déontologie et
les Normes. L'emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a
MPA 1300
pas démontré que l’audit interne fonctionne en conformité avec la définition de l’audit
interne, le Code de Déontologie et les Normes.
4. Le responsable de l’audit interne indique à la direction générale et au Conseil, les cas de non-
conformité qui ont une incidence sur le champ d’intervention ou le fonctionnement de l’audit
interne, y compris l’incapacité à obtenir une évaluation externe dans le délai de cinq ans.
5. Avant toute utilisation des formules ci-dessus par l’audit interne, tout cas de non-conformité
mis en évidence par une évaluation (interne ou externe) de la qualité, et de nature à altérer
la capacité de ce service à s’acquitter de ses responsabilités :
doit être résolu de façon adéquate ;
les actions correctrices sont documentées et notifiées à l’évaluateur (aux évaluateurs)
concerné(s), de façon à obtenir son approbation quant au caractère adéquat de la solu-
tion apportée à la non-conformité ;
les actions correctrices ainsi que l’approbation du (des) évaluateur(s) concerné(s) sont
portées à la connaissance de la direction générale et du Conseil.
MPA 2000
gEStIoN DE l’AuDIt INtErNE
MPA 2010-1
La prise en compte des risques et des menaces
pour l’élaboration du plan d’audit
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de
définir des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.
Pour se faire, le responsable de l’audit interne prend en compte le système de management des
risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de l’organisation. Si ce système
de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre
analyse des risques après consultation de la direction générale et du Conseil.
MPA 2000
1. En élaborant le plan d'audit, la plupart des responsables de l’audit interne choisissent d'abord
de développer ou d’actualiser l’univers d'audit. L’univers d’audit recense tous les audits
pouvant être réalisés. Le responsable de l’audit interne peut recueillir la contribution de la
direction générale et du Conseil pour constituer l’univers d’audit.
Commentaire IFACI
Pour mener à bien cette mission, il est important que l’audit interne ait une bonne compréhension du processus de
management des risques. Pour cela, il doit bien appréhender les rôles respectifs de l’audit interne, des risk managers, du
comité d’audit et du comité des risques s’ils existent. S’il apparaît que ceux-ci sont insuffisamment précis ou non
coordonnés, l’audit interne doit en informer la direction générale et lui faire part de ses recommandations en vue
d’améliorer la gestion des risques de l’organisation. Nous renvoyons à la MPA 2120-1 qui traite précisément du rôle de
l’auditeur interne dans le processus de management de risque et en l’absence d’un tel processus.
3. Le responsable de l’audit interne prépare le plan d'audit à partir de l’univers d'audit, des contri-
butions de la direction générale et du Conseil, d’une évaluation des risques et des menaces
pouvant affecter l'organisation. Les principaux objectifs d’audit visent à fournir une assurance
et des informations, notamment en ce qui concerne l’évaluation de l’efficacité de la gestion
des risques par le management, à la direction générale et au Conseil afin de les aider à attein-
dre les objectifs de l'organisation.
4. L’univers et la planification d’audit sont actualisés afin d’intégrer les changements d’orienta-
tion, d’objectifs et de priorité décidés par la direction générale. Il est conseillé d’examiner l’ap-
proche d’audit, au minimum une fois par an, afin de l’adapter aux stratégies et aux
orientations les plus récentes de l’organisation. Il peut s’avérer nécessaire, dans certains cas,
de procéder à une mise à jour plus régulière (trimestrielle, par exemple) des plans d’audit en
fonction des évolutions intervenues dans les activités commerciales, le fonctionnement, les
programmes, les systèmes et les contrôles de l’organisation.
5. Le plan des missions d’audit est établi, entre autres, sur la base d’une évaluation des princi-
paux risques et menaces. Il convient de définir des priorités de façon à affecter les ressources
en fonction du caractère significatif des risques. Le responsable de l'audit interne a, à sa dispo-
sition, divers modèles de risques pour l’aider à définir les zones d’audit prioritaires. La plupart
de ces modèles utilisent des facteurs de risque tels que l’impact, la probabilité d’occurrence,
la matérialité, la liquidité des actifs, la compétence du management, la qualité et le respect
des contrôles internes, le niveau de changement ou de stabilité, la date et les résultats de la
dernière mission d’audit, la complexité, les relations avec le personnel et l’administration, etc.
Les méthodes et les techniques utilisées dans le cadre des missions d’audit, pour effectuer
des tests et valider l’exposition aux risques, doivent tenir compte de la matérialité des risques
et de leur probabilité d’occurrence.
Commentaire IFACI
MPA 2010-2
Prise en compte du management des risques
dans la planification de l’audit interne
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de
définir des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.
Pour se faire, le responsable de l’audit interne prend en compte le système de management des
risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de l’organisation. Si ce système
de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre
analyse des risques après consultation de la direction générale et du Conseil.
MPA 2000
1. Le management des risques est une composante primordiale de la bonne gouvernance. Il
concerne toutes les activités d’une organisation. Nombre d’organisations sont en train d’adop-
ter une approche de management des risques homogène et holistique, qui, dans l’idéal, doit
être pleinement intégrée à leur management global. Le management des risques s’applique
à tous les niveaux : entreprise, fonctions et unités opérationnelles. Les managers recourent
généralement à un cadre de référence du management des risques pour réaliser l’évaluation
nécessaire et en documenter les résultats.
2. S’il est efficace, le processus de management des risques peut faciliter l’identification des
contrôles clés liés aux risques inhérents les plus importants. Le management des risques de
l’entreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of
Sponsoring Organizations of the Treadway Commission (COSO) le définit comme « un proces-
sus mis en œuvre par le Conseil d’administration, la direction générale, le management et
l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans
les limites de la tolérance au risque. Il vise à fournir une assurance raisonnable quant à l’at-
teinte des objectifs de l’organisation ». L’exécution des contrôles est l’une des méthodes utili-
sée par le management pour gérer les risques dans les limites de son appétence pour le
3. Les Normes pour la pratique professionnelle de l’audit interne (les Normes) élaborées par l’IIA
définissent le contrôle comme « toute mesure prise par le management, le Conseil et d'autres
parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront
atteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffi-
santes pour donner une assurance raisonnable que les buts et objectifs seront atteints ».
5. Les contrôles clés sont les contrôles ou les ensembles de contrôles qui aident à réduire le
risque à un niveau acceptable. On peut les considérer comme des processus organisationnels
visant à traiter les risques. Si le management des risques est efficace (et accompagné d’une
documentation adéquate), il est facile d’identifier les contrôles clés en examinant l’écart entre
risque inhérent et risque résiduel dans tous les dispositifs sur lesquels l’organisation s’appuie
pour réduire le niveau des risques importants. Si le risque inhérent n’a pas été identifié, l’au-
diteur interne l’estime. Lorsqu’il identifie les contrôles clés (et dans l’hypothèse où il a conclu
à la maturité et à la fiabilité du management des risques), l’auditeur interne examine :
chaque facteur de risque correspondant à un écart significatif entre le risque inhérent
et le risque résiduel (surtout si le risque inhérent était particulièrement élevé). Cette
analyse met en lumière les contrôles importants pour l’organisation ;
les contrôles qui servent à réduire un grand nombre de risques.
6. La planification de l’audit interne doit s’appuyer sur le processus de management des risques
de l’organisation, lorsque celui-ci a été déployé. Quand il planifie une mission, l’auditeur
interne prend en compte les risques importants liés à l’activité et les moyens par lesquels le
management ramène le risque à un niveau acceptable. Il recourt à des techniques d’évalua-
tion des risques pour établir le plan de la mission et pour définir les priorités afin d’allouer en
conséquence les ressources dédiées à la mission. L’évaluation des risques sert à fixer les prio-
rités parmi les entités pouvant être auditées et à sélectionner les domaines devant faire l’objet
d’une revue. Les entités et les domaines qui présentent la plus forte exposition aux risques
devront être intégrés dans les plans de la mission.
7. Les auditeurs internes ne sont pas toujours qualifiés pour examiner toutes les catégories de
risques et le processus de management des risques au sein de l’organisation (audits internes
portant sur l’hygiène et la sécurité au travail, audits environnementaux ou instruments finan-
ciers complexes, par exemple). Le responsable de l’audit interne veille, par conséquent, à faire
appel aux auditeurs internes qui disposent de compétences spécialisées, ou à des prestataires
extérieurs.
8. La configuration des processus et des systèmes de management des risques varie d’un pays
à l’autre et leur maturité d’une organisation à l’autre. Dans les organisations où le service de
management des risques est centralisé, celui-ci coordonne ses activités avec celles des mana-
gers, de façon à surveiller en permanence le dispositif de contrôle interne et à l’adapter en
fonction de l’évolution de l’appétence pour le risque. Les processus de management des
risques qui sont mis en œuvre dans différentes parties du monde peuvent différer par leur
philosophie, leurs structures et leur terminologie. C’est pourquoi les auditeurs internes
évaluent le processus propre à l’organisation considérée et déterminent quels éléments
peuvent servir à élaborer le plan d’audit interne ou le plan d’une mission donnée.
MPA 2000
9. Lorsque l’auditeur interne établit son plan, il doit prendre en compte un certain nombre d’élé-
ments :
les risques inhérents – Sont-ils identifiés et évalués ?
les risques résiduels – Sont-ils identifiés et évalués ?
les contrôles d’atténuation, les plans de secours et le pilotage des activités– Sont-ils
associés à des événements et/ou à des risques spécifiques ?
l’inventaire ou le registre des risques – Est-il systématique, alimenté et précis ?
la documentation – Les risques et activités sont-ils documentés ?
De plus, l’auditeur interne coordonne ses activités avec celles des autres prestataires de
services d’assurance et planifie l’utilisation éventuelle de leurs travaux.
[Voir la Modalité pratique d’application 2050-2 : Cartographie des services donnant une assu-
rance sur les dispositifs de contrôle et de management des risques.]
10. La charte d’audit interne requiert que le service d’audit interne se concentre sur les domaines
à haut risque, qu’il s’agisse des risques inhérents ou des risques résiduels. L’audit interne doit
identifier les domaines dans lesquels il existe un risque inhérent élevé, des risques résiduels
élevés et les contrôles clés pour lesquels l’organisation a le plus d’assurance. Si l’audit interne
repère des domaines présentant un risque résiduel inacceptable, il doit en aviser le manage-
ment, afin que ce risque puisse être géré. En appliquant un processus de planification stra-
Les auditeurs internes cherchent également à identifier les contrôles superflus, redondants,
excessifs ou complexes qui ne contribuent pas à la réduction efficiente du risque. Il arrive
que le contrôle ait un coût supérieur à ses bénéfices. Ce contrôle pourra être redéfini avec
davantage d’efficience.
11. L’identification des risques pertinents doit être systématique et bien documentée. Il existe
différentes formes de documentation, qui vont d’un tableur, dans les petites organisations,
au logiciel acheté à l’extérieur, dans les organisations plus sophistiquées. L’essentiel, c’est que
le processus de management des risques soit intégralement documenté.
12. La documentation du management des risques, dans une organisation, peut être effectuée
à différents niveaux inférieurs et en deça du niveau stratégique. Pour les risques non straté-
giques, nombre d’organisations ont constitué un inventaire des risques qui informe sur les
risques importants dans un domaine, ainsi que le niveau des risques inhérents et résiduels
correspondants, sur les contrôles clés et sur les mesures d’atténuation. Il est ensuite possible
de recourir à un rapprochement permettant d’établir des liens plus directs entre les « caté-
gories » de risques et les « niveaux d’exposition » décrits dans les registres des risques et, le
cas échéant, les éléments déjà inclus dans l’univers d’audit.
13. Il arrive que certaines organisations identifient plusieurs domaines dans lesquels le risque
inhérent est élevé (ou plus élevé). Bien que ces risques puissent justifier l’attention de l’audit
interne, il n’est pas toujours possible de tous les examiner. Si, d’après le registre des risques,
le risque inhérent est jugé élevé ou en augmentation dans un domaine particulier et si le
risque résiduel reste, pour une large part, inchangé et qu’aucune action n’est prévue par le
management ou par l’audit interne, le responsable de l’audit interne en rend compte au
Conseil, en détaillant l’analyse des risques et les raisons pour lesquelles certains contrôles
n’ont pas été mis en place ou sont inefficaces.
14. Une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquels le
niveau de risque est faible doit être périodiquement incluse dans le plan d’audit interne afin
de viser la couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ont
pas évolué. L’audit interne définit également une méthode de hiérarchisation des risques qui
n’ont pas encore fait l’objet d’un audit interne.
16. Lorsque l’auditeur interne planifie une mission donnée, il identifie et évalue les risques liés
au domaine examiné.
MPA 2000
2. Le planning des travaux, les prévisions d’effectifs et le budget financier approuvés, ainsi que
tous les changements importants survenus en cours d’exercice, doivent contenir suffisam-
ment d’informations pour permettre à la direction générale et au Conseil de déterminer si
les objectifs et les plans de l’audit interne correspondent à ceux de l’organisation et du Conseil
et sont cohérents avec la charte d’audit interne.
MPA 2030-1
Gestion des ressources
Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité
soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit
approuvé.
Interprétation :
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-
tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité
de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-
cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
MPA 2000
nécessaires à l’exercice des responsabilités de l’audit interne, telles que définies dans la charte.
Cela suppose l’existence d’une réelle communication avec la direction générale et le Conseil
sur les besoins et le profil des ressources de l’audit interne. Les ressources de l’audit interne
peuvent comprendre des salariés, des prestataires externes, des contributions financières et
des techniques d’audit informatisées. Le responsable de l’audit interne devrait assister la direc-
tion générale et le Conseil qui ont la responsabilité ultime de garantir l’adéquation des
ressources avec les besoins de l’audit interne.
2. Les compétences, le potentiel, ainsi que les connaissances techniques de l’équipe d’audit
interne doivent être appropriées par rapport aux activités programmées. Le responsable de
l’audit interne réalisera une évaluation ou un recensement périodique des compétences
spécifiques requises pour accomplir les activités de l’audit interne. L’évaluation des compé-
tences est fondée sur les besoins identifiés lors de l’évaluation des risques et dans le plan
d’audit. Cette évaluation porte sur les compétences techniques, linguistiques, de gestion, de
prévention et de détection des fraudes, ainsi que les expertises en comptabilité et en audit.
3. Il faut que les ressources de l’audit interne soient suffisantes pour permettre l’accomplisse-
ment de ses activités avec toute la justesse, la précision et la ponctualité attendues par la
direction générale et le Conseil, comme prévu dans la charte d’audit interne. Les éléments à
prendre en considération lors de la planification des ressources incluent l'univers d'audit, les
niveaux de risques appropriés, le plan annuel d'audit, les attentes en matière de couverture,
et une estimation des activités imprévues.
Il convient de rappeler que le budget d’un service d’audit interne, réalisé en collaboration avec la direction des ressources
humaines et la direction du contrôle de gestion, se compose de trois éléments :
• un budget d’effectifs, avec un plan de recrutement (pluriannuel) et une prévision de mobilités externes ;
• un budget financier, avec des crédits de formation, d’études, d’honoraires, de sous-traitance, de moyens coordonnés
avec les auditeurs externes, des frais de déplacement…;
• un budget logistique (outils informatiques, locaux, véhicules…).
Ce budget doit permettre d’optimiser la structure et l’organisation du service d’audit interne en fonction de la couverture
d’audit et des contraintes financières.
4. Le responsable de l’audit interne devra s’assurer que les ressources sont efficacement
déployées. Les auditeurs compétents et qualifiés sont ainsi affectés à des missions spécifiques.
Cela implique également le développement d’une démarche d’analyse des ressources, d’une
structure adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographique
de l’organisation.
Commentaire IFACI
Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines de
l’organisation. Un bon degré de liberté du responsable de l’audit interne lui permet de sélectionner les collaborateurs les
mieux adaptés tout en prenant en considération les exigences de l’organisation telles que les redéploiements de
compétences, la grille de rémunérations…
ressources. Il peut s’agir de la comparaison des ressources avec le plan annuel d’audit, de l’im-
pact d’une absence temporaire de ressources ou d’une vacance de poste, des formations et
apprentissages, de nouveaux besoins ou exigences spécifiques résultant des changements
intervenus dans les activités commerciales, le fonctionnement, les programmes, les systèmes
et les contrôles de l’organisation.
MPA 2000
Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'ac-
tivité d'audit interne.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est struc-
turé l’audit interne et de la complexité de ses travaux.
1. Le responsable de l’audit interne établit des règles et des procédures. Des manuels adminis-
tratifs et techniques peuvent ne pas être nécessaires pour toutes les entités d’audit interne.
Un petit service d’audit interne peut être dirigé d’une manière informelle. Son personnel peut
être dirigé et contrôlé au jour le jour par une supervision étroite et des notes de service qui
définissent les règles et les procédures à suivre. Par contre, dans un service d’audit interne
important, il est essentiel de disposer de règles et procédures plus formalisées et complètes
pour guider les auditeurs dans la réalisation du plan annuel d’audit.
Commentaire IFACI
Il est important d’avoir des protocoles ou procédures propres à l’audit interne qui s’inscrivent dans le cadre de conventions
régissant les rapports entre les sociétés d’un même groupe : par exemple, existence d’un audit groupe et de services d’audit
décentralisés dans les filiales.
MPA 2050-1
Coordination
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
MPA 2000
Sur le plan opérationnel, la coordination audit interne/audit externe dans un certain nombre de sociétés cotées reste encore
du ressort du directeur financier. Il est souhaitable que le responsable de l’audit interne, dans le cadre de ses responsabilités
et si son rattachement lui en donne la possibilité, prenne en charge ce processus.
Commentaire IFACI
Voici les recommandations du Comité de Bâle dans son document publié en août 2001 sur « L’audit interne dans les
banques et les relations des autorités de tutelle avec les auditeurs » :
« Relations entre les auditeurs internes et les auditeurs externes
Principe n° 16
Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de façon à rendre leur
collaboration aussi réelle et efficace que possible.
64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison de leurs activités
d'audit et notamment, de leurs entretiens avec la direction générale et le Conseil d'Administration ou le Comité d'Audit,
s’il existe, ainsi que par leurs recommandations pour l'amélioration du contrôle interne.
65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et l'étendue des
procédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes en France) est seul responsable
de son opinion sur les états financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux
rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention de l'auditeur interne et
qui pourrait avoir une incidence sur son travail. De même, l’auditeur externe doit informer l'auditeur interne de tout
problème important qui pourrait le concerner.
Commentaire IFACI
En France, le comité d’audit peut assumer la surveillance de cette coordination, selon l’IFA « Les Comités d’Audit : 100
bonnes pratiques » : « il appartient également au comité d’audit de veiller à ce que l’audit interne et l’audit externe
coordonnent leurs efforts et que leur communication soit efficace. ».
2. Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance
sur des activités comprises dans le périmètre de l’audit interne. Dans ce cas, le responsable
de l’audit interne prend les mesures nécessaires pour comprendre le travail réalisé par les
auditeurs externes, notamment :
l’étendue, la nature du travail et l’échéancier prévus par les auditeurs externes et s’assurer
que le travail des auditeurs internes et externes répond aux exigences de la Norme
2100 ;
l’évaluation des risques et le seuil de matérialité utilisés par les auditeurs externes ;
les techniques, les méthodes et la terminologie employées par les auditeurs externes,
afin de permettre au responsable de l’audit interne de (1) coordonner le travail des audi-
teurs internes et externes, (2) évaluer le travail des auditeurs externes pour s’y appuyer,
(3) communiquer efficacement avec les auditeurs externes.
l’accès aux programmes et aux documents de travail des auditeurs externes pour s’as-
surer que leur travail peut être utilisé pour atteindre les objectifs de l’audit interne. Les
auditeurs internes respectent la confidentialité de ces programmes et documents de
travail.
Commentaire IFACI
Il est donc souhaitable que le responsable de l’audit interne assiste aux réunions d’arbitrage du planning des commissaires
aux comptes et aux réunions de restitution des résultats.
3. L’auditeur externe peut se référer aux travaux de l’audit interne. Dans ce cas, il convient que
le responsable de l’audit interne fournisse suffisamment d’informations pour permettre à l’au-
diteur externe de comprendre les techniques, méthodes et terminologie employées par l’au-
dit interne et faciliter la référence à ses travaux. Les auditeurs externes ont accès aux
programmes et aux documents de travail des auditeurs internes pour s’assurer que leur travail
peut être utilisé pour atteindre les objectifs de l’audit externe.
Commentaire IFACI
La Compagnie Nationale des Commissaires aux Comptes préconise également cette coordination avec l’audit interne. Selon
la norme d’exercice professionnel 610 le commissaire peut utiliser des travaux réalisés par l’audit interne après avoir
apprécié des éléments comme :
• la place qu’occupe l’audit interne dans l’organisation de l’entité. Le commissaire aux comptes examine les règles et les
procédures mises en place dans l’entité pour assurer l’objectivité des auditeurs internes dans la réalisation de leurs
travaux et l’émission de leurs conclusions ;
• la nature et l’étendue des travaux confiés à l’audit interne ;
• les qualifications professionnelles des auditeurs internes et leur expérience acquise dans ces fonctions ;
• l’organisation de l’audit interne en termes de planification, mise en œuvre et supervision des travaux ;
• la documentation existante, y compris les programmes de travail et autres procédures écrites ;
• la prise en compte par la direction des recommandations formulées par l’audit interne et si elle met en œuvre des
MPA 2000
actions pour répondre à ces recommandations.
Commentaire IFACI
Le fait qu’un service d’audit interne dispose d’auditeur interne CIA et/ou DPAI et soit certifié, est un commencement de
preuve très fort de professionnalisme. Ce sont des préalables qui permettent ensuite aux commissaires aux comptes de se
référer aux travaux réalisés par l’audit interne.
5. Les missions planifiées des auditeurs internes et externes devront être examinées pour s’as-
surer que la couverture de l’audit est coordonnée et que la duplication des travaux est mini-
misée lorsque cela est possible. Un nombre suffisant de rencontres sont programmées
pendant le processus d’audit pour assurer la coordination des travaux, l’efficacité et l'achè-
vement dans un délai raisonnable des missions, et déterminer si les observations et recom-
mandations issues des travaux déjà réalisés nécessitent de modifier le programme
d’intervention.
Commentaire IFACI
Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu :
• de l’article 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : « (…) les commissaires
aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et
renseignements dont ils ont pu avoir connaissance à raison de leurs fonctions » ;
• des normes d’exercice professionnel ;
• du Code de déontologie de la profession de commissaire aux comptes.
Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialité de certaines informations
auxquelles ont accès les auditeurs internes sont susceptibles de constituer des limites à cette coordination.
MPA 2050-2
Cartographie des services donnant une assurance
sur les dispositifs de contrôle et de management
des risques
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
L’IFACI a publié en octobre 2008 une Prise de Position sur l’urbanisme du contrôle interne (www.ifaci.com). L’urbanisme du
MPA 2000
contrôle interne tel qu’il se pratique en France se caractérise notamment par :
• des activités de contrôle clairement identifiées dans une charte de contrôle interne ;
• un rôle de support au contrôle interne exercé de plus en plus par les services fonctionnels ;
• le rôle accru des animateurs du contrôle interne des entités ;
• une fonction d’audit interne chargée d’évaluer l’ensemble des systèmes de contrôle interne et qui sait se doter d’experts
pour aborder les activités de contrôle les plus techniques.
Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrôle
interne efficient, est disponible sur le site internet de l’IFACI (www.ifaci.com).
1. L’une des principales responsabilités du Conseil consiste à s’assurer que les processus fonc-
tionnent dans le respect des instructions qu’il a émises pour la réalisation des objectifs préa-
lablement définis. Il est nécessaire de déterminer si les processus de management des risques
sont efficaces et si les principaux risques ou les risques critiques pour l’entreprise sont ramenés
à un niveau acceptable.
2. L’attention croissante portée sur les rôles et les responsabilités de la direction générale et du
Conseil pousse de nombreuses organisations à mettre davantage l’accent sur les activités
d’assurance. Le glossaire des Normes définit l’assurance comme un « examen objectif d’élé-
ments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des
processus de gouvernement d’entreprise, de management des risques et de contrôle ». Le
Conseil peut s’appuyer sur de multiples sources pour obtenir une assurance raisonnable. L’as-
surance donnée par le management est fondamentale et doit être complétée par une assu-
rance objective provenant de l’audit interne et de tiers. Les risk managers, les auditeurs
internes et le personnel chargé de la conformité se demandent : « qui fait quoi et pourquoi ? ».
Le Conseil, en particulier, commence à se demander qui donne une assurance, quelle est la
délimitation des fonctions et s’il y a des chevauchements.
MPA 2000
ou des analyses spécialisées (portant, par exemple, sur l’hygiène et la sécurité).
8. Bien souvent, l’organisation a défini les catégories de risques majeurs qui constituent son
cadre de référence de management des risques. Dans ce cas, la cartographie des prestataires
de service d’assurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple,
comporter les informations suivantes :
catégorie de risque majeur ;
manager responsable de ce risque (propriétaire du risque) ;
niveau du risque inhérent ;
niveau du risque résiduel ;
travaux d’audit externe ;
travaux d’audit interne ;
travaux des autres prestataires de services d’assurance.
Par exemple, le responsable de l’audit interne pourra préciser l’étendue des travaux récents
au niveau du volet « Travaux d’audit interne ». Il est fréquent que chaque risque majeur soit
affecté à un « propriétaire » ou à une personne ayant pour tâche de coordonner les activités
d’assurance pour ce risque. C’est cette personne qui fournira les éléments pour le volet «
Travaux des autres prestataires de services d’assurance ».
Dans d’autres cas, la coordination est effectuée par l’audit interne, qui conçoit et établit pour
l’organisation la cartographie des services donnant une assurance.
Chaque unité importante au sein d’une organisation peut disposer de sa propre cartographie
des prestataires d’assurance.
9. Dès lors que cette cartographie a été réalisée, il est possible d’identifier les risques majeurs
qui ne sont pas correctement couverts par les services d’assurance ou les domaines dans
lesquels ces services sont délivrés en double. La direction générale et le Conseil doivent alors
réfléchir aux changements à apporter à l’étendue des travaux d’assurance relatifs à ces risques.
De son côté, lors de l’élaboration de son plan, l’audit interne doit prendre en compte les
domaines ayant une couverture inadéquate.
11. Pour chaque catégorie de risque, le Conseil doit recevoir des informations à la fois sur les acti-
vités d’assurance mises en œuvre et sur celles qui sont planifiées. L’audit interne et les autres
prestataires de service d’assurance donnent au Conseil, pour chaque catégorie concernée,
le degré d’assurance approprié à la nature et aux niveaux de risque présents dans l’organisa-
tion.
12. Dans les organisations où le responsable de l’audit interne est tenu de formuler une opinion
globale, il lui faut bien comprendre la nature, le périmètre et l’étendue de la cartographie
intégrée des services d’assurance, afin de tenir compte des travaux des autres prestataires de
service d’assurance (et de les utiliser, le cas échéant) avant de présenter un avis d’ensemble
sur les processus de gouvernement d’entreprise, de management des risques et de contrôle
de l’organisation. Le guide pratique de l’IIA intitulé « Formuler et exprimer une opinion d’audit
interne » contient des recommandations supplémentaires à ce sujet.
MPA 2000
13. Dans les cas où l’organisation n’attend pas de lui une opinion globale, le responsable de l’audit
interne peut coordonner les activités des prestataires de service d’assurance, afin qu’il n’y ait
pas de lacunes dans ces activités ou que les éventuelles lacunes soient connues et acceptées.
Le responsable de l’audit interne signale toute absence de contribution/participation/super-
vision/d’assurance à l’égard des travaux des autres prestataires de service d’assurance. S’il
estime que l’étendue des activités d’assurance est inadéquate ou inefficace, il doit en aviser
la direction générale et le Conseil.
14. Conformément à la Norme 2050, le responsable de l’audit interne doit coordonner les acti-
vités avec les autres prestataires d’assurance ; l’utilisation d’une cartographie des services
d’assurance contribue à la réalisation de cet objectif. Ces cartographies se révèlent, de plus
en plus, comme un moyen efficace de rendre compte de cette coordination.
MPA 2050-3
S’appuyer sur les travaux d’autres prestataires
de services d’assurance
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.
Commentaire IFACI
Dans cette MPA, le rôle dévolu à « l’auditeur interne » relève du « responsable de l’audit interne ».
MPA 2000
1. Pour fournir au Conseil une assurance concernant la gouvernance, le management des
risques et le contrôle interne, l’auditeur interne peut s’appuyer sur les travaux d’autres pres-
tataires internes ou externes de services d’assurance ou utiliser leurs travaux. Les prestations
internes d’assurance peuvent, par exemple, être réalisées par les services chargés de la confor-
mité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou
par la surveillance permanente des activités exercée par le management. Les prestataires
externes d’assurance sont, par exemple, les auditeurs externes, les experts, les cabinets d’audit
ou de conseil, notamment ceux qui établissent les rapports conformément à la norme Inter-
nationale ISAE 3402 (Assurance Reports on Controls at a Service Organization).
2. Diverses raisons peuvent conduire à s’appuyer sur les travaux d’autres prestataires d’assurance.
Il peut s’agir, notamment, de traiter les domaines qui sortent du champ de compétence du
service d’audit interne, de bénéficier d’un transfert de connaissances ou d’étendre de façon
efficiente la couverture des risques au-delà du plan d’audit interne.
3. La charte d’audit interne et/ou la lettre de mission devraient préciser que l’audit interne a
accès aux travaux des autres prestataires internes et externes d’assurance.
4. Lorsque l’auditeur interne fait appel à des prestataires d’assurance, il devrait détailler dans un
contrat ou un accord écrit ses attentes. Il convient au minimum de préciser :
la nature et la propriété des livrables ;
les méthodes et techniques ;
8. L’auditeur interne examine les pratiques du prestataire d’assurance afin d’obtenir une assu-
rance raisonnable que les constats de ce dernier reposent sur des informations suffisantes,
fiables, pertinentes et utiles, comme l’exige la Norme 2310 : Identification des informations.
Le responsable de l’audit interne doit respecter la Norme 2310, indépendamment du niveau
d’utilisation des travaux d’autres prestataires d’assurance.
10. Le niveau de confiance accordé à un autre prestataire d’assurance dépendra des facteurs
mentionnés ci-dessus : indépendance, objectivité, compétences, pratiques, pertinence des
travaux d’audit et caractère suffisant des preuves d’audit à l’appui du niveau d’assurance
apporté. Plus le risque ou l’importance de l’activité examinée par un autre prestataire d’assu-
rance augmente, plus l’auditeur interne devrait rassembler des informations sur ces facteurs.
Il peut alors avoir besoin de constituer des preuves d’audit supplémentaires pour compléter
les travaux effectués. L’audit interne peut tester les résultats des autres prestataires d’assurance
afin de renforcer le niveau de confiance accordé à ces résultats.
11. L’auditeur interne devrait intégrer les résultats du prestataire de services d’assurance dans le
rapport global d’audit que l’auditeur interne doit communiquer au Conseil et aux autres prin-
cipales parties prenantes. Les problèmes significatifs soulevés par les autres prestataires d’as-
surance peuvent être intégrés in extenso ou de manière résumée dans les rapports d’audit
interne. Lorsque ses rapports s’appuient sur les informations données par d’autres prestataires
d’assurance, l’auditeur interne le précise.
12. Le suivi des actions de progrès est un processus par lequel les auditeurs internes évaluent
l’adéquation, l’efficacité et la réalisation, en temps opportun, des mesures prises par le mana-
gement pour faire suite aux observations et aux recommandations, y compris à celles formu-
lées par les autres prestataires d’assurance. Lors de l’examen des mesures prises pour faire
suite aux recommandations, l’auditeur interne devra déterminer si le management les a mis
en œuvre ou s’il a accepté de prendre le risque de ne pas les suivre.
13. Les constats significatifs des autres prestataires d’assurance devront être pris en compte dans
les missions et les communications de l’audit interne. En outre, les résultats des travaux des
MPA 2000
autres prestataires peuvent avoir une incidence sur l’évaluation des risques effectuée par l’au-
dit interne et, le cas échéant, modifier l’appréciation du risque et la nature des travaux d’audit
nécessaires en réponse à ce risque.
14. Pour évaluer l’efficacité des processus de management des risques et contribuer à leur
amélioration (Norme 2120 : Management des risques), l’audit interne peut examiner les
processus des prestataires internes d’assurance, notamment au niveau de la conformité, de
la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou encore
au niveau de la surveillance permanente des activités exercée par le management. Il convient
que l’audit interne couvre les domaines à risque, mais lorsqu’une assurance est fournie par
un autre service, l’audit interne peut se limiter à vérifier les résultats de ce processus au lieu
de refaire le travail déjà effectué.
15. Concernant les risques significatifs, les évaluations des autres prestataires d’assurance doivent
être communiquées aux services concernés, pour être prises en compte dans le management
des risques de l’organisation et dans la cartographie des services donnant une assurance sur
les dispositifs de contrôle interne et de management des risques (cf. MPA 2050-2 : Cartogra-
phie des services donnant une assurance sur les dispositifs de contrôle et de management
des risques).
MPA 2060-1
Rapports à la direction générale et au Conseil
Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction
MPA 2000
générale et le Conseil et dépendent de l’importance des informations à communiquer et de l’ur-
gence des actions correctives devant être entreprises par la direction générale et le Conseil.
1. Les rapports ont pour finalité d’apporter une assurance à la direction générale et au Conseil
en ce qui concerne les processus de gouvernement d’entreprise (Norme 2110), de manage-
ment des risques (Norme 2120) et de contrôle (Norme 2130). La Norme 1111 indique : « Le
responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil ».
2. Le responsable de l’audit interne devra s’accorder avec le Conseil sur la fréquence et la nature
des rapports concernant l’application de la charte d’audit interne (missions, pouvoirs et
responsabilités, notamment) et le degré de réalisation du plan d’audit. Les rapports portant
sur le degré de réalisation du plan d’audit devraient se référer à la dernière version du plan
approuvé, afin d’informer la direction générale et le Conseil sur :
les écarts significatifs par rapport au plan d’audit, aux prévisions de dotation en person-
nel et aux budgets financiers approuvés ;
les raisons de ces écarts ; et
les mesures prises ou à prendre.
La Norme 1320 indique : « Le responsable de l’audit interne doit communiquer les résultats
du programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’au
Conseil ».
4. C’est à la direction générale et au Conseil qu’il revient de décider des mesures appropriées à
prendre face à des problèmes importants. Ils peuvent décider, pour des raisons de coût ou
pour d’autres raisons, de prendre le risque de ne pas remédier à la situation dont il leur a été
rendu compte. La direction générale devrait informer le Conseil des décisions portant sur
tous les enjeux importants soulevés par l’audit interne.
5. Lorsque le responsable de l’audit interne estime que la direction générale a accepté un niveau
de risque considéré inacceptable par l’organisation, il doit en discuter avec la direction géné-
rale, conformément à la Norme 2600. Le responsable de l’audit interne doit comprendre ce
qui motive la décision de la direction générale, identifier la cause de tout désaccord et déter-
miner si la direction générale a été mandatée pour accepter ce risque. Les désaccords
peuvent concerner la probabilité du risque et l’exposition potentielle, la compréhension de
l’appétence pour le risque, le coût ou le niveau de contrôle. Le responsable de l’audit interne
règlera de préférence le désaccord avec la direction générale.
MPA 2100
MPA 2110-1
Gouvernement d’entreprise : Définition
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recom-
mandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus
répond aux objectifs suivants :
promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
garantir une gestion efficace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concernés de l'organisation les informations relatives aux
risques et aux contrôles ;
fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activités.
1. Le rôle de l’audit interne tel qu’énoncé dans la Définition de l’audit interne inclut, dans le
cadre de sa fonction d’assurance, la responsabilité d'évaluer et d’améliorer les processus de
gouvernement d’entreprise.
MPA 2100
2. Le terme gouvernement d’entreprise correspond à un large éventail de définitions selon les
contextes structurels et culturels, ainsi que les cadres légaux. Les Normes internationales pour
la pratique professionnelle de l’audit interne (Normes) définissent le gouvernement d’entreprise
comme : « le dispositif comprenant les processus et les structures mis en place par le Conseil afin
d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objec-
tifs. » Le responsable de l’audit interne peut utiliser une définition différente aux fins de l'audit
lorsque l'organisation a adopté un référentiel ou un modèle de gouvernement d’entreprise
différent.
3. A travers le monde, divers modèles de gouvernement d'entreprise existent et ont été publiés
par d'autres organisations, des législateurs et des régulateurs. Par exemple, l’Organisation de
Coopération et de Développement Economiques (OCDE) définit le gouvernement d’entre-
prise comme « […] un ensemble de relations entre la direction d’une entreprise, son conseil d’ad-
ministration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par
laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer
une surveillance des résultats obtenus ». L’Australian Securities Exchange Corporate Governance
Commentaire IFACI
Pour aller plus loin, l’IFACI et l’IFA ont pris une position1 commune sur le rôle de l’audit dans le gouvernement d’entreprise
et ont relevé les points communs entre les différentes définitions du gouvernement d’entreprise : « Ces cadres conceptuels
ont en commun :
• de proposer une définition de la gouvernance qui s’applique tant à la relation entre actionnaires, conseil et
direction générale qu’aux relations de l’entreprise avec d’autres « parties prenantes » ;
• d’être d’application volontaire : ce sont des recommandations que l‘entreprise choisit d’appliquer volontairement
ou, dans le cas des auditeurs externes, qui relèvent d’une adhésion volontaire à un code professionnel ;
• d’être internationaux, sans référence précise à un cadre légal national ; ils sont donc très généraux dans la
formulation de leurs recommandations ;
• mais ils lient clairement les objectifs stratégiques de l’entreprise, la conduite des affaires au jour le jour, le contrôle
interne, la gestion des risques et la conformité aux lois et règlements en vigueur. »
4. Les référentiels et les exigences pour le gouvernement d’entreprise varient selon les juridic-
tions réglementaires et le type d’organisation : entreprises cotées, organisations à but non
lucratif, associations, entités publiques ou parapubliques, organismes d’enseignement, entre-
prises privées, sociétés de courtage et bourses.
5. La manière, dont une organisation conçoit et met en pratique les principes d’un gouverne-
ment d’entreprise efficace, varie également selon la taille, la complexité, la maturité de l’or-
ganisation, la structure de ses parties prenantes, les exigences légales et culturelles etc.
Commentaire IFACI
Le responsable de l’audit interne devra valider avec les organes de gouvernance le périmètre du gouvernement d’entreprise
que l’audit interne devra couvrir et les responsabilités du service d’audit interne à cet égard.
1
Le rôle de l’audit interne dans le gouvernement d’entreprise, IFA/IFACI, mai 2009
8. La relation entre gouvernement d’entreprise, risques et contrôle interne est un sujet à prendre
en compte et il est traité par la MPA 2110-2. La MPA 2110-3 aborde l’évaluation du processus
de gouvernement d’entreprise.
MPA 2100
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recom-
mandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus
répond aux objectifs suivants :
promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
garantir une gestion efficace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concernés de l'organisation les informations relatives aux
risques et aux contrôles ;
fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activités.
5. Contrôle et risque sont également reliés puisque le contrôle se définit comme « toute mesure
prise par la direction générale, le conseil et d'autres parties afin de gérer les risques et d'accroître la
probabilité que les buts fixés seront atteints ».
Commentaire IFACI
En France, l’AMF a publié un nouveau cadre de référence (juillet 2010) relatifs aux dispositifs de gestion des risques et de
contrôle interne.
6. Le responsable de l’audit interne tient compte de ces relations dans la planification des
évaluations des processus de gouvernement d’entreprise :
une mission d’audit portera sur les contrôles conçus dans les processus de gouverne-
ment d’entreprise pour prévenir ou détecter les événements qui pourraient avoir un
impact négatif sur la réalisation des stratégies, les buts et objectifs de l’organisation,
l’efficacité et l’efficience opérationnelles, les informations financières ou la conformité
avec les lois et réglementations en vigueur (cf. MPA 2110-3) ;
les contrôles au sein des processus de gouvernement d’entreprise sont souvent impor-
tants pour le management de différents risques à travers l’organisation. Par exemple,
on peut s’appuyer sur les contrôles concernant le code de conduite pour gérer les
risques de conformité et de fraude etc. Cet effet cumulatif devrait être pris en considé-
ration lors de la définition du périmètre d'un audit des processus de gouvernement
d'entreprise ;
si d’autres missions d’audit évaluent les contrôles dans les processus de gouvernement
MPA 2100
d’entreprise (par exemple, les contrôles relatifs à l’information financière, les processus
de management des risques ou la conformité), l’auditeur interne devrait s’appuyer sur
les résultats de ces audits.
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recom-
mandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus
répond aux objectifs suivants :
promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
garantir une gestion efficace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
communiquer aux services concernés de l'organisation les informations relatives aux
risques et aux contrôles ;
fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activités.
1. Les auditeurs internes peuvent agir à divers titres pour évaluer et contribuer à l’amélioration
des pratiques de gouvernement d'entreprise. En règle générale, les auditeurs internes four-
nissent des évaluations indépendantes et objectives de la conception et de l’efficacité opéra-
tionnelle des processus de gouvernement d’entreprise de l’organisation. Ils peuvent
également fournir des services de conseil et des avis sur les pistes d’amélioration de ces
processus. Dans certains cas, les auditeurs internes peuvent être appelés pour aider le Conseil
à auto-évaluer ses pratiques de gouvernement d'entreprise.
Commentaire IFACI
Dans la prise de position IFA/IFACI (publiée en mai 2009), Le périmètre étendu du champ d’intervention de l’audit interne
est abordé dans le paragraphe 5 et « L’IFA et l’IFACI recommandent :
• que l’audit interne évalue l’ensemble des processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ;
• que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des compétences du conseil des
filiales et de leurs différents comités ;
• que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement et la performance du
conseil de la maison mère et de ses comités du fait de l’existence d’une situation de conflit d’intérêt. »
3. Le plan d’audit est élaboré sur la base d’une évaluation des risques de l’organisation. Tous les
processus de gouvernement d’entreprise sont à prendre en compte dans cette évaluation
des risques. Le plan d’audit devrait comprendre les processus de gouvernement d’entreprise
à risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil ou
la direction générale a requis un travail. Le plan définit la nature du travail à réaliser, les proces-
sus de gouvernement d’entreprise à traiter et la nature des évaluations qui seront à mener.
Les évaluations peuvent être menées au niveau :
macro, en considérant l’ensemble du cadre de gouvernement d’entreprise de l’organi-
sation, ou
micro, en focalisant sur des risques, processus ou activités spécifiques, ou
une combinaison des deux.
MPA 2100
5. Les évaluations d’audit interne concernant les processus de gouvernement d’entreprise se
fondent sur des informations obtenues à partir des nombreuses missions d’audit réalisées au
fil du temps. L’auditeur interne tient compte :
des résultats des audits de processus de gouvernement d’entreprise spécifiques (par
exemple, le dispositif d'alerte professionnelle ou « whistleblowing », le processus de
gestion stratégique) ;
des problèmes de gouvernement d’entreprise issus des audits qui ne sont pas spécifi-
quement centrés sur le gouvernement d’entreprise (par exemple, les audits du proces-
sus de gestion des risques, du contrôle interne sur les informations financières, des
risques de fraude) ;
des résultats des travaux d'autres prestataires internes et externes de services d'assu-
rance (par exemple, un cabinet engagé par le directeur juridique pour examiner le
processus d’investigation)2 ;
1
MPA 2110-2, Gouvernement d’entreprise : Relations avec les risques et le contrôle interne
2 Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrôle et de management
des risques
Commentaire IFACI
En France, les auditeurs internes sont invités à consulter avec intérêt le site de la CNIL (www.cnil.fr) et notamment le
document d’orientation adopté le 10 novembre 2005 pour la mise en œuvre de dispositifs d’alerte professionnelle
conformes à la loi du 6 janvier 1978 modifié en août 2004, relative à l’informatique, aux fichiers et aux libertés.
6. Pendant les phases de planification, d’évaluation et de rapport, l’auditeur interne devra être
sensible à la nature et aux ramifications potentielles des résultats et s'assurer que les commu-
nications avec le Conseil et la direction générale sont appropriées. L’auditeur interne pourra
envisager de consulter un conseil juridique avant le démarrage de l’audit et avant la finalisa-
tion du rapport.
7. L’activité d’audit interne est une partie essentielle du processus de gouvernement d'entre-
prise. Pour s’assurer de son efficacité, le Conseil et la direction générale devront être en mesure
de s’appuyer sur le programme d'assurance et d'amélioration qualité de l'activité d'audit
interne y compris les évaluations externes réalisées conformément aux Normes internatio-
nales pour la pratique professionnelle de l’audit interne.
MPA 2120-1
Évaluer la pertinence des processus
de management des risques
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.
Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes
doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-
pétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en temps opportun
au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil
d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
MPA 2100
différentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension du processus
de management des risques de l’organisation et de son efficacité.
Les processus de management des risques sont surveillés par des activités de gestion permanente,
par des évaluations spécifiques ou par ces deux moyens.
Commentaire IFACI
La MPA souligne avec raison la nécessité impérieuse de tests d'audit pour apprécier l'efficacité du management des risques.
Le Global Technology Audit Guide n°3 relatif à l'audit continu fournit des méthodes pour concevoir ces tests d'audit.
Pour apprécier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutôt que de faire
confiance à des théories, surtout si elles sont basées sur des hypothèses simplificatrices. De même, il faut bien envisager la
maîtrise des risques au-delà de la simple conformité.
3. Dans l’hypothèse où l’organisation n’a pas mis en place de processus de management des
risques, le responsable de l’audit interne examine formellement avec la direction générale et
le comité d’audit :
leurs responsabilités en matière de compréhension, de gestion et de surveillance des
risques dans l'organisation ;
leur besoin d’informations sur le caractère opérationnel des processus (y compris les
processus informels) qui donnent une visibilité appropriée des risques majeurs, de leur
gestion et de leur surveillance.
6. Les techniques utilisées par les organisations en matière de management des risques peuvent
être très différentes. Selon l’importance et la complexité des activités, les processus de mana-
gement des risques peuvent être :
formalisés ou informels ;
fondés sur une approche quantitative ou subjective ;
intégrés dans les différentes unités de l’organisation ou centralisés au niveau du siège.
7. Chaque organisation conçoit des processus adaptés à sa culture, à son style de management
et à ses objectifs. A titre d’exemple, le recours à des instruments dérivés ou à d’autres instru-
ments financiers sophistiqués, pourra nécessiter la mise en œuvre d’outils quantitatifs de
management des risques. Les organisations moins complexes et de taille plus modeste pour-
ront, en revanche, analyser le profil de risque de l’organisation et prendre périodiquement
des mesures dans le cadre d’un comité des risques informel. L’auditeur interne s’assure que
la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de
l’organisation.
8. Afin de se forger une opinion sur l’adéquation des processus de management des risques,
les auditeurs internes devront disposer d’éléments suffisamment probants et appropriés pour
avoir l’assurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir
ces éléments, l’auditeur interne peut recourir aux procédures d’audit décrites ci-après :
MPA 2100
rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évo-
lution récente et les tendances, ainsi que toute autre source d’information appropriée,
afin de déterminer les risques susceptibles d’affecter l’organisation et les procédures
de contrôle utilisées pour gérer, suivre et réévaluer ces risques ;
examiner les règles de l’entreprise ainsi que les procès-verbaux des délibérations du
Conseil et du comité d’audit afin de déterminer les stratégies de l’organisation, son
approche du management des risques, son appétence pour le risque et son accepta-
tion des risques ;
examiner les rapports d’évaluation des risques précédemment établis par le manage-
ment, les auditeurs internes ou externes et par tout autre intervenant ;
organiser des entretiens avec l’encadrement opérationnel et leur direction afin de déter-
miner les objectifs de chaque branche d’activité, les risques correspondants, et les
mesures de suivi, de contrôle et d’atténuation des risques prises par le management ;
recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du proces-
sus de suivi, de communication et d’atténuation des risques, et des activités de contrôle
correspondantes ;
MPA 2120-2
Gestion du risque lié à l’activité d’audit interne
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.
Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes
doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-
pétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en temps opportun
au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil
d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
différentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension du processus
MPA 2100
de management des risques de l’organisation et de son efficacité.
Les processus de management des risques sont surveillés par des activités de gestion permanente,
par des évaluations spécifiques ou par ces deux moyens.
3. On peut classer ces risques dans trois grandes catégories : risque d’échec de l’audit, risque
de donner une fausse assurance et risque d’atteinte à la réputation. L’analyse ci-après
met en lumière leurs principales caractéristiques et présente quelques-unes des dispositions
qu’un service d’audit interne peut envisager de mettre en œuvre pour mieux gérer ces
risques.
4. Toute organisation peut être victime de défaillances. Lorsque les contrôles sont déficients ou
qu’une fraude est commise, la question : « Mais où étaient les auditeurs internes ? », est
souvent posée. L’audit interne peut être impliqué dans ces défaillances pour les raisons
suivantes :
les Normes internationales pour la pratique professionnelle de l’audit interne ne sont pas
respectées ;
le programme d’assurance et d’amélioration qualité (Norme 1300) est inadéquat, en
particulier les procédures de supervision de l’indépendance et de l’objectivité des audi-
teurs ;
il n’y a pas de processus efficace pour la définition des domaines clés de l’audit lors de
l’évaluation des risques stratégiques, ainsi que des domaines à haut risque lors de
chaque mission, ce qui empêche les auditeurs internes de réaliser les audits nécessaires
et/ou leur fait perdre du temps sur des audits inappropriés ;
il n’y a pas de procédures d’audit interne efficaces pour l’évaluation des risques « réels
» et des contrôles appropriés ;
il n’y a pas d’évaluation de l’adéquation et de l’efficacité des contrôles dans le cadre des
procédures d’audit interne ;
l’équipe d’audit interne ne dispose pas des compétences appropriées, fondées sur l’ex-
périence ou la connaissance des zones à haut risque ;
l’exercice d’un scepticisme professionnel insuffisant et l’absence de renforcement des
procédures d’audit interne à la suite de constats ou de déficiences de contrôles ;
la supervision de l’audit interne n’est pas adéquate ;
une mauvaise gestion des preuves de fraude : « Ce n’est probablement pas important »
ou « Nous n’avons pas le temps ni les ressources nécessaires pour nous pencher sur ce
point. » ;
les auditeurs internes ne communiquent pas leurs soupçons aux personnes appro-
priées ;
une communication défaillante.
5. Les défaillances de l’audit interne peuvent non seulement être embarrassantes pour cette
fonction, mais elles peuvent également exposer l’organisation à un risque significatif. Même
s’il est impossible de garantir de manière absolue l’absence d’échec de l’audit, les mesures
MPA 2100
permet des contrôles adéquats. Il dispose ainsi d’informations solides pour commenter
les causes des défaillances du système, lesquelles résultent parfois d’une mauvaise
conception des contrôles. Il peut ainsi remédier à ces défaillances plutôt que d’en traiter
seulement les symptômes. Ce type d’approche réduit le risque d’échec de l’audit parce
qu’il permet une identification des contrôles manquants ;
une revue/un suivi efficace par le management et des procédures d’escalade : la parti-
cipation de l’équipe de management de l’audit interne au processus (c’est-à-dire avant
la rédaction du projet de rapport) contribue largement à atténuer le risque d’échec de
l’audit. La direction peut réviser les papiers de travail, participer à des discussions « en
temps réel » sur les constats ou à une réunion de clôture. Cette implication peut permet-
tre d’identifier et d’évaluer plus rapidement d’éventuels problèmes. De plus, le service
d’audit interne peut avoir des procédures indicatives, qui spécifient à quel moment et
quels types de problèmes faire remonter, et à quel niveau de la direction de l’audit
interne ;
une allocation appropriée des ressources : il est essentiel de bien choisir l’équipe pour
chaque mission d’audit interne, et tout particulièrement lors de la planification d’une
mission à haut risque ou très technique. En veillant à disposer des compétences appro-
6. Une activité d’audit interne donne parfois, sans le savoir, une « fausse assurance », c’est-à-dire
un niveau de confiance ou d’assurance qui se fonde sur des perceptions ou des hypothèses
plutôt que sur des faits. Dans de nombreux cas, la simple implication de l’audit interne sur
un domaine peut aboutir à donner une fausse assurance.
8. Même s’il n’existe aucun moyen d’atténuer l’ensemble des risques de fausse assurance, l’audit
interne peut, néanmoins, prendre les devants pour gérer ce risque, notamment grâce à une
communication claire et fréquente. C’est l’une des principales stratégies de gestion de ce
risque. Il existe également d’autres bonnes pratiques de premier plan :
communication proactive sur le rôle et le mandat de l’audit interne au comité d’audit,
à la direction générale et aux autres parties prenantes ;
présentation claire de ce qui est inclus dans l’évaluation des risques, le plan d’audit
interne et la mission de l’audit interne. Il convient également de préciser, de façon expli-
cite, ce qui ne fait pas partie de l’évaluation des risques et du plan d’audit interne ;
mise en place d’un processus de « validation des projets » afin d’analyser, pour chaque
projet, le niveau de risque et la contribution de l’audit interne. Cette analyse peut
notamment porter sur le périmètre du projet, le rôle de l’audit interne, les attentes en
termes de reporting, les compétences requises et l’indépendance des auditeurs
internes ;
si les auditeurs internes font partie d’une équipe projet, il faut définir par écrit leur rôle
et le champ de leur intervention, ainsi que les aspects relatifs à leur objectivité et à leur
indépendance, plutôt que de considérer ces auditeurs internes comme des ressources
« prêtées », ce qui risque de donner une fausse assurance.
9. L’efficacité de l’audit interne repose essentiellement sur sa crédibilité. Les services d’audit
interne qui bénéficient d’une haute estime sont susceptibles d’attirer des professionnels
talentueux et sont considérés comme créateur de valeur pour l’organisation. Leur capacité à
préserver la solidité de leur image et à contribuer au bon fonctionnement de l’organisation
est donc cruciale pour un véritable succès. Dans la plupart des cas, il faut plusieurs années
pour construire cette « marque », par un travail constant et de très grande qualité. Malheu-
reusement, un événement négatif majeur peut anéantir instantanément tous ces efforts.
10. Par exemple, un service d’audit interne peut être tenu en haute estime car plusieurs respon-
sables financiers de l’organisation sont passés dans ce service, considéré comme une excel-
lente formation pour de futurs cadres. Or, la réputation de ce service d’audit interne est
entachée à la suite d’une succession de corrections de grande ampleur des états financiers
et des enquêtes menées par les autorités de réglementation. Le comité d’audit et le Conseil
peuvent alors se demander si ce service dispose des compétences ainsi que du programme
d’assurance et d’amélioration qualité appropriés pour aider l’organisation.
11. Un autre exemple : au cours d’un audit de la fonction ressources humaines, les auditeurs
internes constatent que les vérifications des antécédents des salariés n’ont pas été correcte-
ment menées. La crédibilité du service d’audit interne peut être fortement entamée si l’on
découvre que des auditeurs internes récemment embauchés n’ont pas suivi un cursus d’étude
approprié ou que d’autres sont impliqués dans des opérations délictueuses.
12. De telles situations sont non seulement embarrassantes, mais elles portent également
atteinte à l’efficacité de l’audit interne. Protéger la réputation et l’image de ce dernier est
MPA 2100
essentiel pour les activités d’audit interne et aussi pour l’ensemble de l’organisation. Il importe,
par conséquent, que l’audit interne envisage les types de risques susceptibles d’entacher sa
réputation, ceux auxquels il est confronté et qu’il élabore des stratégies permettant d’en atté-
nuer l’impact.
14. Si l’un des événements décrits plus haut affecte l’activité d’audit interne, le responsable de
l’audit interne doit examiner la nature de cet événement et en comprendre les causes. Cette
analyse le renseigne sur les changements qu’il faut envisager au niveau du processus d’audit
interne ou de l’environnement de contrôle, afin d’éviter qu’un tel événement ne se reproduise
à l’avenir.
MPA 2130-1
Évaluer la pertinence des processus de contrôle
2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant
son efficacité et son efficience et en encourageant son amélioration continue.
MPA 2100
2. Il incombe à la direction générale de superviser la mise en place, l’administration et l’évalua-
tion des processus de management des risques et de contrôle. Les managers ont entre autres
responsabilités celle d’évaluer les processus de contrôle dans leurs domaines respectifs. Les
auditeurs internes fournissent des niveaux divers d’assurance quant au degré d’efficacité des
processus de management des risques et de contrôle dans des activités et fonctions choisies
de l’organisation.
3. Le responsable de l’audit interne émet une opinion globale sur l'adéquation et l'efficacité
des processus de contrôle. Pour ce faire, il se fondera sur des constats avérés lors de la réali-
sation d’audits, et quand cela est approprié, sur des travaux d’autres prestataires d’audit d'as-
surance. Le responsable de l’audit interne communique son opinion à la direction générale
et au Conseil.
4. Le responsable de l'audit interne élabore un projet de plan d’audit pour recueillir des éléments
probants et suffisants qui permettront d’apprécier l’efficacité des processus de contrôle. Ce
plan comporte des missions d’audit et/ou d’autres procédures nécessaires pour obtenir des
preuves suffisantes et pertinentes à propos des unités opérationnelles et fonctions impor-
5. Le plan d'audit met un accent particulier sur les opérations les plus affectées par les change-
ments récents ou inattendus. Ces changements peuvent résulter, par exemple, des conditions
du marché ou d’investissements, d’acquisitions et de cessions, de restructurations, et de
nouveaux systèmes ou enjeux.
6. Afin de déterminer le périmètre d’audit par rapport au projet de plan d’audit, le responsable
de l’audit interne tient compte des travaux qui seront effectués par des tiers pour donner
une assurance à la direction générale (par exemple, le responsable de l’audit interne peut se
référer au travail des responsables de la conformité). Le plan d'audit du responsable de l’audit
interne tient compte également du travail réalisé par l'auditeur externe et des propres évalua-
tions du management concernant les processus de management des risques, les dispositifs
de contrôle et les processus d’amélioration qualité.
8. L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de contrôle de
l’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations provien-
nent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuées
par le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesure
de l’avancement des missions, les auditeurs internes communiquent leurs observations aux
responsables appropriés, de telle sorte que des mesures puissent être prises rapidement afin
de remédier aux faiblesses ou anomalies constatées ou d’en atténuer les conséquences.
10. L’existence d’une anomalie ou d’une faiblesse significative ne signifie pas nécessairement
que cette anomalie ou faiblesse est généralisée et qu’elle entraîne un risque inacceptable.
L‘auditeur interne devra prendre en compte la nature et la portée de l’exposition aux risques
ainsi que le niveau des conséquences potentielles pour déterminer si l’efficacité des processus
de contrôle est remise en cause et s’il existe des risques inacceptables.
11. Le rapport du responsable de l’audit interne sur les processus de contrôle de l'organisation
est normalement présenté une fois par an à la direction générale et au Conseil. Ce rapport
souligne l’importance du rôle joué par les processus de contrôle dans la réalisation des objec-
tifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé par l’audit interne
ainsi que la nature et la confiance accordée à d’autres prestataires d’audit d’assurance pour
formuler cette opinion.
MPA 2100
2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes
d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :
la fiabilité et l'intégrité des informations financières et opérationnelles ;
l'efficacité et l'efficience des opérations et des programmes ;
la protection des actifs ;
le respect des lois, règlements, règles, procédures et contrats.
1. Les auditeurs internes s’assurent que la direction générale et le Conseil sont conscients de la
responsabilité du management en matière de fiabilité et d’intégrité de l’information. Cette
responsabilité porte sur toutes les informations essentielles pour l’organisation, quel que soit
leur mode de conservation. La fiabilité et l’intégrité de l’information incluent l’exactitude,
l’exhaustivité et la sécurité.
Commentaire IFACI
L’accessibilité est une condition nécessaire mais non suffisante pour qu’une information soit fiable.
La cour des comptes américaine (US Governement Accountability Office) fournit à ce sujet une démarche intéressante
(cf. « assessing the reliability of computer-processed data » GAO-03-273G October 1, 2002).
2. Le responsable de l'audit interne s’assure que l’audit interne dispose ou a accès à des
ressources appropriées pour évaluer la fiabilité et l’intégrité de l’information et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes et,
ceux afférents aux relations établies par l’organisation avec d’autres entités externes.
3. Le responsable d’audit interne s’assure que la direction générale, le Conseil et l’audit interne
seront rapidement informés de toute atteinte à la fiabilité et à l’intégrité de l’information et
de toute situation susceptible de constituer une menace pour l’organisation.
4. Les auditeurs internes évaluent, le cas échéant, l’efficacité des mesures prises, en vue de
prévenir, détecter et atténuer les attaques survenues par le passé, ainsi que tout incident ou
tentative d'attaque susceptible de se produire à l'avenir. Les auditeurs internes s’assurent que
le Conseil a bien été informé des menaces ou incidents survenus, des faiblesses exploitées
et des mesures correctives.
MPA 2100
2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes
d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :
la fiabilité et l'intégrité des informations financières et opérationnelles ;
l'efficacité et l'efficience des opérations et des programmes ;
la protection des actifs ;
le respect des lois, règlements, règles, procédures et contrats.
1. L’incapacité à protéger des informations à caractère personnel par des contrôles appropriés,
peut avoir d’importantes conséquences pour une organisation. Une telle lacune peut nuire
à la réputation de certaines personnes et/ou de l’organisation, et exposer l’organisation à des
risques tels que la mise en jeu de sa responsabilité légale et la baisse de confiance des
consommateurs et/ou des salariés.
2. Les définitions de la vie privée varient amplement selon la culture, l’environnement politique
et le cadre juridique des pays où est implantée l’organisation. Les risques liés au caractère
personnel des informations comprennent l’intimité des personnes (sur le plan physique et
psychologique), le respect de l’espace privé (absence de surveillance), ainsi que le caractère
confidentiel de la communication (absence de contrôle) et des informations (collecte, exploi-
tation et diffusion par autrui d’informations à caractère personnel). Les informations à carac-
tère personnel correspondent généralement à des informations que l’on peut associer à un
individu donné, soit en tant que telles soit en les regroupant avec d’autres informations. Il
peut s’agir d’informations de nature objective ou subjective, enregistrées ou non, et ce quels
qu’en soient la forme ou le support. À titre d’exemple, les informations à caractère personnel
incluent notamment :
le nom, l’adresse, les numéros d’identification, les relations familiales ;
les dossiers des salariés, les évaluations, les commentaires, le statut social ou les mesures
disciplinaires ;
les informations relatives aux crédits, au revenu et à la situation financière ;
la situation médicale.
Commentaire IFACI
En France, selon l’article 8 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés « il est
interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »
3. Les bonnes pratiques en matière de protection de la vie privée constituent un élément essen-
tiel des processus de gouvernement d’entreprise, de management des risques et de contrôle.
Il incombe, en dernier ressort, au Conseil d’assurer l’identification des principaux risques
encourus par l’organisation et la mise en œuvre des processus appropriés destinés à les atté-
nuer. À ce titre, il lui appartient de doter l’organisation d’un dispositif garantissant le respect
de la vie privée et d’en piloter la mise en place.
MPA 2100
que l’organisation utilise ces informations conformément à l’usage qui en est attendu et à la
législation applicable.
6. Étant donné la nature juridique et technique très marquée que revêt cette question, l’audit
interne devra disposer des connaissances et des compétences pour procéder à l’évaluation
des risques et des contrôles du dispositif mis en place par l’organisation en matière de protec-
tion de la vie privée.
7. Pour procéder à l’évaluation du dispositif mis en place par l’organisation pour protéger la vie
privée, l’auditeur interne :
prend en considération les lois, réglementations et règles relatives au respect de la vie
privée en vigueur dans tous les pays dans lesquels l’organisation exerce une activité ;
se rapproche du juriste de l’organisation afin de déterminer le contenu exact des lois,
réglementations, normes ou pratiques applicables à l’organisation et au(x) pays dans
le(s)quel(s) elle exerce une activité ;
se rapproche des spécialistes des technologies de l’information afin de s’assurer que
des contrôles concernant la sécurité des informations et la protection des données sont
en place, et que leur efficacité est régulièrement examinée et évaluée ;
Commentaire IFACI
La protection de la vie privée et des données à caractère personnel est devenue une problématique incontournable, du fait
de la collecte incessante d'informations électroniques de ce type et de la capacité sans limite de relier ces informations entre
elles.
On consultera avec intérêt le site de la CNIL (www.cnil.fr) qui, outre des informations précises et utiles sur la conformité à
la loi, offre un espace de réflexions sur ce thème.
Par ailleurs, le GTAG n°5 « Auditer et gérer les risques relatifs à la protection de la vie privée » y est entièrement consacré.
MPA 2200
MPA 2200-1
Planification de la mission
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.
1. L’auditeur interne planifie et conduit la mission qui est supervisée et approuvée. Avant le
début de la mission, l’auditeur interne prépare un programme qui :
définit les objectifs de la mission ;
identifie les exigences techniques, les objectifs, les risques, les processus et les transac-
tions qui doivent être examinés ;
établit la nature et l'étendue nécessaire des tests ;
documente les procédures utilisées par l'auditeur interne pour collecter, analyser, inter-
préter et documenter les informations pendant la mission ;
est modifié, le cas échéant, au cours de la mission avec l’approbation du responsable
de l’audit interne ou de son représentant.
MPA 2200
Cette exigence devrait s’appliquer :
lorsque le travail réalisé ou les résultats de la mission reposent sur des travaux de tiers
(par exemple, des auditeurs externes, des régulateurs, ou le management) ;
lorsque le travail vise des aspects pouvant être associés à un litige existant ou poten-
tiel ;
en fonction de l'expérience de l’équipe d’audit interne et du niveau de supervision
directe exigée ;
lorsque la mission fait recours à des auditeurs associés, sélectionnés en interne ou à
des prestataires externes de services ;
en fonction de la complexité et l’étendue de la mission ;
en fonction de la taille du service d’audit interne ;
en fonction de la valeur des documents (par exemple, s'ils sont susceptibles d’être utili-
sés dans les années suivantes).
Commentaire IFACI
Rapport d’audit final : le terme anglais est plus général “final engagement communication“, ceci indique que le produit fini
d’une mission ne se matérialise pas nécessairement sous forme de rapport au sens traditionnel du terme. La présentation
des résultats d’une mission peut se faire sur différents supports et suivant différents formats (présentation de type power
point, rapport “classique“ …). Par contre, si le format a été défini au moment de la lettre de mission, il est impératif de s’y
conformer. La forme et le média sont laissés à l’appréciation du département d’audit interne.
4. L’auditeur interne informe le management concerné. Il tient des réunions avec le manage-
ment responsable de l'activité auditée. Il résume les discussions et diffusent les comptes
rendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans les
papiers de travail de la mission.
Commentaire IFACI
Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succès de la mission et la fiabilité des
résultats attendus, la communication préalable à la mission peut être restreinte ou soumise à un niveau de confidentialité
plus important. Dans certains cas même, le responsable de l’entité auditée peut ne pas être averti de la mission, avec
l’accord de la direction générale.
5. Le responsable de l'audit interne détermine comment, quand et à qui les résultats de l'audit
seront communiqués. L’auditeur interne documente ces éléments et les communique au
management autant que possible, pendant la phase de planification de la mission. L‘auditeur
interne communique au management les changements ultérieurs qui affectent les délais ou
la diffusion des résultats de la mission.
MPA 2200-2
Utilisation d’une approche « Top-Down »,
fondée sur les risques, pour identifier les contrôles
à évaluer dans le cadre d’une mission d’audit interne
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.
1. La présente modalité est complémentaire des Modalités Pratiques d’Application (MPA) 2010-
2 : Prise en compte du management des risques dans la planification de l’audit interne, 2210-
1 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planification de
la mission ainsi que du « Guide to the Assessment of IT Risk (GAIT) – for business and IT risk
(GAIT-R)1 ».
2. Cette MPA suppose que les objectifs de la mission d’audit interne aient été déterminés et les
risques identifiés dans le cadre du processus de planification. Elle fournit une ligne directrice
quant à l'utilisation d'une approche « Top-down », fondée sur les risques, qui identifie et inclut
dans le périmètre de l’audit interne (selon la Norme 2220) les contrôles clés sur lesquels la
gestion des risques s’appuie.
MPA 2200
3. L’approche « Top-down » implique de définir le périmètre d'audit sur les risques les plus signi-
ficatifs de l'organisation et non sur des risques spécifiques qui ne seraient pas significatifs à
l’échelle de l'organisation. Une approche « Top-down » garantit que l'audit interne est orienté
vers la « prise en compte du management des risques dans la planification de l’audit interne »,
conformément à la MPA 2010-2.
4. En général, un système de contrôle interne comprend à la fois des contrôles manuels et des
contrôles automatisés2. Ces deux types de contrôles doivent être évalués afin de déterminer
si les risques sont efficacement gérés. L’auditeur interne doit en particulier évaluer s'il existe
1
Ce document (guide d’évaluation relatif aux risques métiers et aux risques des systèmes d’information) n’est pas traduit en français. Il a été conçu pour
répondre aux obligations des entreprises vis-à-vis de la section 404 du Sarbanes-Oxley Act.
2
Il est à noter que ceci s’applique aux contrôles à tous les niveaux – entité, processus métier et contrôles généraux informatiques – et à tous les échelons
du cadre de contrôle ; à titre d’exemple les activités relevant de l’environnement de contrôle, du suivi ou de l’évaluation des risques peuvent être également
automatisés.
5. Le périmètre d’audit interne doit comprendre tous les contrôles requis pour donner l’assu-
rance raisonnable que les risques sont efficacement gérés1. Ces contrôles sont dits contrôles
clés au sens où ils sont nécessaires à la gestion des risques associés à un objectif particuliè-
rement critique pour l’organisation. Seuls les contrôles clés doivent être évalués. Toutefois,
l’auditeur interne peut choisir d’inclure une évaluation d'autres contrôles (contrôles redon-
dants ou dupliqués par exemple) s'il l’estime utile pour l'activité. Il peut également discuter
avec le management de la nécessité de ces contrôles secondaires.
6. Lorsqu’une organisation dispose d’un programme de gestion des risques efficace et mature,
les contrôles clés sur lesquels elle s’appuie pour gérer chaque risque devront être identifiés.
Dans de tels cas, l’auditeur interne doit examiner si l'identification et l'évaluation des contrôles
clés par le management sont adéquates.
L’auditeur interne peut utiliser d’autres méthodes ou référentiels dès lors que tous les
contrôles clés mis en place pour gérer les risques sont identifiés et évalués, y compris les
contrôles manuels, automatisés et les contrôles généraux informatiques.
1
Voir les commentaires figurant ci-après au paragraphe 9.
2 Par exemple, concernant le code de conduite, les salariés sont formés puis leur bonne compréhension est vérifiée.
3
Par exemple, la réalisation d’un inventaire physique.
4
Par exemple, le rapprochement et la mise à jour des comptes dans la balance générale.
5
Egalement désignés comme des contrôles « hybrides » ou contrôles dépendants des technologies de l’information.
9. L’évaluation des contrôles clés peut être réalisée soit lors d'une seule mission d'audit interne
selon une approche intégrée, soit au cours d'une série de missions. Par exemple, une première
mission d'audit interne peut traiter des contrôles clés réalisés par les opérationnels tandis
qu'une deuxième abordera les contrôles généraux informatiques et qu’une troisième évaluera
les contrôles associés mis en place au niveau de l’entité. Cette pratique est courante lorsque
les mêmes contrôles1 sont mis en place pour plus d’un domaine de risque.
10. Comme énoncé au paragraphe 5, avant d’émettre une opinion sur la gestion efficace des
risques couverts par le périmètre d’audit interne, il est nécessaire d’évaluer la combinaison
des différents contrôles clés. Même lorsqu’une série de missions d’audit interne est réalisée,
chacune traitant de certains contrôles clés, l'auditeur interne doit inclure dans le périmètre
d'au moins une des missions d'audit interne une évaluation de la conception des contrôles
clés dans son ensemble2 et déterminer si cela est suffisant pour gérer les risques dans les
limites acceptées par l'organisation.
11. Si le périmètre d'audit interne3 n’inclut que certains contrôles clés requis pour gérer les risques
cibles, il faudra le considérer comme une limitation du périmètre et le préciser clairement
dans le rapport.
MPA 2200
1
En particulier ceux transversaux à l'entité ou encore les contrôles généraux informatiques.
2 C'est-à-dire pour toute la série de missions d'audit interne.
3
Compte tenu des autres missions d'audit interne comme mentionné au paragraphe 9.
1. Les auditeurs internes établissent les objectifs de la mission en fonction des risques liés à l'ac-
tivité à auditer. Concernant les missions planifiées, les objectifs découlent et sont conformes
à ceux qui ont été initialement identifiés lors du processus d’évaluation des risques qui a
permis d’établir le plan annuel d'audit. Pour les missions non planifiées, les objectifs sont
établis avant le début de la mission en fonction de la problématique spécifique qui a motivé
la mission.
2. L’évaluation des risques réalisée pendant la planification de la mission est utilisée pour mieux
préciser les objectifs initiaux et identifier d’autres zones d’intérêt significatives.
3. Après avoir identifié les risques, l'auditeur interne détermine les procédures à mettre en œuvre
et leur périmètre (nature, durée, et étendue). Les procédures mises en œuvre sur le périmètre
approprié constituent les moyens de tirer des conclusions liées aux objectifs de la mission.
MPA 2210.A1-1
Évaluation des risques dans la planification
de la mission
2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'ac-
tivité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résul-
tats de cette évaluation.
1. Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le manage-
ment pour l’activité examinée. L’auditeur interne prend aussi en compte les éléments
suivants :
la fiabilité de cette évaluation des risques ;
le processus établi par le management pour la surveillance, la diffusion d’informations
et la résolution des risques et des contrôles ;
les comptes-rendus du management sur les événements qui ont dépassé les limites
de l’appétence pour le risque de l’organisation ainsi que les réponses du management
à ces rapports ;
les risques des activités connexes et pertinentes par rapport à l’activité examinée.
2. Les auditeurs internes obtiennent et mettent à jour des informations de base sur l’activité à
auditer. Ces informations sont révisées pour déterminer leur impact sur les objectifs et le péri-
mètre de la mission.
3. Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avec
MPA 2200
les activités, les risques et les contrôles, pour identifier les domaines où la mission sera appro-
fondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions.
4. Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée par
le management, des éléments de contexte et de toute revue préliminaire. Ce résumé
comprend :
les problèmes importants et les raisons pour poursuivre une étude plus approfondie ;
les objectifs et les procédures de la mission;
les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillon-
nage ;
les points de contrôles potentiellement délicats, les manques et/ou les excès de
contrôle apparents ;
si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significati-
vement les objectifs de la mission.
© IFACI - janvier 2011 193
MPA 2230-1
Ressources affectées à la mission
Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre
les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de
chaque mission, des contraintes de temps et des ressources disponibles.
1. Pour déterminer le caractère approprié et suffisant des ressources, les auditeurs internes consi-
dèrent les éléments suivants :
le nombre d'auditeurs internes et le niveau d'expérience de l'équipe d'audit ;
les connaissances, le savoir-faire et autres compétences des auditeurs internes pour
leur affectation à chaque mission d'audit ;
la disponibilité de ressources externes dans les cas où des connaissances ou des compé-
tences supplémentaires sont requises ;
les besoins de formation des auditeurs internes pour chaque mission constituent un
point de départ pour satisfaire le développement des connaissances nécessaires au
niveau de l’audit interne.
MPA 2240-1
Programme de travail de la mission
Commentaire IFACI
Le programme de travail peut éventuellement être revu au cours de la phase de réalisation. En cas de modification
importante, il doit de nouveau être validé.
MPA 2200
MPA 2300
MPA 2300-1
Utilisation d’informations à caractère personnel
dans la conduite d’une mission
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations néces-
saires pour atteindre les objectifs de la mission.
2. Les informations à caractère personnel sont généralement des données associées à un indi-
vidu en particulier ou des données d’identification qui peuvent être associées à d’autres infor-
mations. Il peut s’agir d’informations factuelles ou subjectives, enregistrées ou non, sous toute
forme ou tout type de support. Les informations à caractère personnel sont notamment :
le nom, l’adresse, les numéros d’identification, le revenu, le groupe sanguin ;
les évaluations, le statut social, les mesures disciplinaires ;
les fichiers du personnel et les dossiers de crédit et de prêt ;
les données relatives à la santé et les données médicales du personnel.
3. Dans de nombreux pays, la législation impose aux organisations d’identifier, lors de la collecte
des données ou avant cette collecte, la finalité pour laquelle des informations à caractère
personnel sont recueillies. Elle interdit l’utilisation et la divulgation d’informations à caractère
MPA 2300
personnel pour une finalité autre que celle pour laquelle ces données ont été recueillies, sauf
si l’individu concerné a donné son accord ou si la législation l’impose.
4. Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives à
l’utilisation d’informations à caractère personnel dans leur pays et dans les pays où leur orga-
nisation opère.
5. Il peut être inopportun, voire illégal, d’accéder à, de rechercher, de passer en revue, de mani-
puler ou d’utiliser des informations à caractère personnel dans le cadre de certaines missions
MPA 2320-1
Procédures analytiques
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des
analyses et évaluations appropriées.
1. Les auditeurs internes peuvent recourir à des procédures analytiques pour obtenir des
preuves d’audit. Les procédures analytiques consistent à étudier et comparer les relations
entre des informations financières et des informations non financières. Leur mise en œuvre
se base sur l’hypothèse qu’en conditions normales, on peut raisonnablement s’attendre à
l’existence et à la persistance de relations entre certaines informations. Parmi les exemples
de conditions hors normes, on peut citer : les transactions ou événements inhabituels ou
non récurrents, les modifications des principes comptables, organisationnels, opérationnels,
environnementaux ou technologiques, les inefficiences, les inefficacités, les erreurs, la fraude
ou les actes illégaux.
2. Pour l’auditeur interne, les procédures analytiques constituent souvent un moyen efficient
et efficace d’obtenir des éléments probants. L’évaluation résulte de la comparaison d’une
information avec des résultats attendus ou définis par l’auditeur interne. Les procédures analy-
tiques sont utiles pour repérer :
les écarts inattendus ;
l’absence d’écarts attendus ;
les erreurs potentielles ;
une fraude ou des actes illégaux potentiels ;
d’autres transactions ou événements inhabituels ou non récurrents.
MPA 2300
4. Les auditeurs internes peuvent mettre en œuvre les procédures analytiques en utilisant des
valeurs monétaires, des quantités physiques, des ratios ou des pourcentages. Certaines procé-
dures analytiques font intervenir des analyses de ratios, de tendances ou de régression, des
tests de vraisemblance, des comparaisons entre périodes, des comparaisons avec les budgets,
des prévisions ou des informations économiques extérieures. Les procédures analytiques
aident les auditeurs internes à identifier les conditions qui peuvent nécessiter des procédures
d’audit supplémentaires. Un auditeur interne applique des procédures analytiques lorsqu’il
planifie sa mission conformément aux lignes directrices énoncées dans la Norme 2200.
5. Les auditeurs internes peuvent recourir à des procédures analytiques pour produire des
preuves au cours de leur mission. Lorsqu’il détermine dans quelle mesure des procédures
analytiques doivent être utilisées, l’auditeur interne prend en compte :
l’importance du secteur audité ;
l’évaluation du management des risques dans le domaine audité ;
l’adéquation du système de contrôle interne ;
la disponibilité et la fiabilité des informations financières et non financières ;
la précision attendue des résultats des procédures analytiques ;
la disponibilité et la comparabilité d’informations ;
la validité d’autres procédures d’audit pour l’obtention de preuves.
6. Lorsque les procédures analytiques font apparaître des résultats ou des relations inattendus,
l’auditeur interne évalue ces résultats ou ces relations. Cette évaluation consiste à déterminer
si la différence par rapport aux attentes pourrait résulter d’une fraude, d’une erreur ou de
nouvelles conditions. L’auditeur interne peut interroger le management sur les raisons de
cette différence et corroborer, ou non, l’explication du management, par exemple en modi-
fiant les objectifs et en recalculant l’écart, ou en appliquant d’autres procédures d’audit. L’au-
diteur interne se doit en particulier de vérifier que l’explication tient compte à la fois du sens
du changement (baisse des ventes, par exemple) et de l’ampleur de l’écart (baisse des ventes
de 10 %, par exemple). Les résultats ou les relations inexpliqués, qui sont obtenus au moyen
de procédures analytiques, peuvent indiquer un éventuel problème important (tel qu’une
erreur, une fraude ou un acte illégal). Les résultats ou les relations qui ne sont pas expliqués
de façon adéquate peuvent indiquer une situation dont il faudra informer la direction géné-
rale et le Conseil conformément à la Norme 2060. En fonction des circonstances, l’auditeur
interne peut recommander une action appropriée.
MPA 2330-1
Documentation des informations
Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclu-
sions et les résultats de la mission.
1. Les auditeurs internes préparent les papiers de travail qui servent à documenter les informa-
tions obtenues, les analyses faites, et qui confortent les conclusions et les résultats de la
mission. Le management du service d’audit interne révise les papiers de travail.
4. Le responsable de l'audit interne définit les règles, adaptées à chaque type de mission, à
suivre en matière de papiers de travail. La normalisation des papiers de travail tels que les
MPA 2300
questionnaires et les programmes d’audit peut améliorer l’efficacité d’une mission et faciliter
la délégation du travail. Certains papiers de travail peuvent être considérés comme perma-
nents ou être intégrés dans des dossiers qui contiennent des informations importantes à
caractère permanent.
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de
communiquer ces dossiers à des parties extérieures.
1. Les dossiers d’audit comportent, quel que soit le moyen de stockage, des rapports, des
preuves, des notes de révision et des correspondances. Les dossiers et les papiers de travail
de la mission sont la propriété de l’organisation. L’audit interne contrôle les papiers de travail
et ne les rend accessibles qu’au personnel autorisé.
2. Les auditeurs internes peuvent sensibiliser la direction générale et le Conseil au sujet de l'ac-
cès des personnes externes aux dossiers de la mission. Les règles concernant le droit d’accès
aux dossiers, les modalités de traitement des demandes d'accès, et les procédures à suivre
lorsqu’une mission d’audit est utilisée en tant que preuve pendant une enquête, devront être
revues par le Conseil.
Commentaire IFACI
En France, compte tenu des responsabilités respectives du Conseil et de la direction générale, cette revue ne peut être faite
que par la direction générale.
3. Les procédures d’audit interne précise le responsable du contrôle et de la sécurité des dossiers
du service, les équipes internes ou externes qui peuvent avoir accès aux dossiers d’audit, ainsi
que les modalités de traitement des demandes d’accès à ces dossiers. Ces procédures varie-
ront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des
prérogatives d’accès définies par la loi.
5. Le responsable de l'audit interne approuve l’accès des auditeurs externes aux papiers de
travail.
6. Il y a des cas où les demandes d’accès aux papiers de travail et aux rapports sont faites par
des personnes extérieures à l’organisation, autres que les auditeurs externes. Avant de fournir
la documentation demandée, le responsable de l'audit interne obtient l’approbation de la
direction générale et/ou, le cas échéant, du conseiller juridique.
Commentaire IFACI
En France, les rapports d’audit interne sont, en tant que de besoin, à la disposition de la justice.
Pour le secteur bancaire, l’article 41 du règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus
à la disposition des Commissaires aux comptes et du secrétariat général de la Commission Bancaire.
Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et
circonspection. Nous renvoyons ici aux commentaires formulés à propos du Code de Déontologie.
7. Potentiellement, les dossiers d’audit interne qui ne sont pas spécifiquement protégés,
peuvent être consultés dans le cadre de poursuites judiciaires. Les conditions légales varient
de façon significative selon les juridictions. Lorsqu’il y a une demande spécifique de dossiers
d’audit liée à une procédure judiciaire, le responsable de l’audit interne travaille en étroite
collaboration avec le conseiller juridique pour déterminer ce qui peut être mis à disposition.
MPA 2300
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de
communiquer ces dossiers à des parties extérieures.
Commentaire IFACI
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant
susceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente Modalité
Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux
effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le
système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel
liant l’avocat à son client.
1. Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, les
notes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé.
On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposer
à la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connais-
sance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal inter-
préter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par des
tiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuites
pénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchés
publics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer.
La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret profes-
sionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales.
Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonc-
tion du pays de l’organisation.
3. L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soit
le support d’archivage utilisé.
4. Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers de
la mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeurs
internes traiteront les notes de revue validées. Ces règles devraient également spécifier la
durée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit interne
spécifie la durée de conservation des dossiers de la mission, il devrait tenir compte des
besoins de l’organisation et de la législation.
5. Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsable
du contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accès
aux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être trai-
tées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dans
le pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courant
de l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définit
ces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéder
aux dossiers de l’audit interne.
6. La procédure qui accorde un accès aux dossiers de la mission peut également définir des
processus permettant de :
résoudre les problèmes d’accès ;
sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant
l’accès à leurs travaux ;
déterminer qui pourra demander à accéder à ces travaux.
8. En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne :
ne produit que certains documents spécifiques, conformément aux indications du
juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documents
MPA 2300
couverts par le secret professionnel liant l’avocat à son client. Les documents qui révè-
lent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par le
secret professionnel et leur communication n’est pas obligatoire ;
présente les documents sous une forme qui empêche leur modification (par exemple,
un scan de préférence à un fichier de traitement de texte). Concernant les documents
sur papier, le responsable de l’audit interne en diffuse des copies et conserve les origi-
naux ;
appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indi-
quant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.
2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation
des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent
être cohérentes avec les orientations définies par l'organisation et avec toute exigence régle-
mentaire ou autre.
1. Les modalités de conservation des dossiers d’audit varient en fonction des juridictions et de
l’environnement légal.
2. Le responsable de l’audit interne rédige une politique de conservation qui répond aux
besoins de l’organisation et aux obligations légales des juridictions dans lesquelles elle opère.
3. La procédure de conservation des dossiers devra inclure des dispositions spécifiques pour la
conservation des dossiers liés aux missions réalisées par des prestataires extérieurs.
MPA 2340-1
Supervision de la mission
Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs
sont atteints, la qualité assurée et le développement professionnel du personnel effectué.
Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,
ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité
de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,
mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la
compétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être docu-
mentée et conservée dans les papiers de travail.
délais fixés ;
s’assurer que les objectifs d’audit ont été atteints ;
saisir toutes les occasions pour développer les connaissances, le savoir-faire et les autres
compétences des auditeurs internes.
3. Tous les papiers de travail sont revus afin de s’assurer qu’ils supportent le rapport d’audit et
que les procédures d’audit nécessaires ont été mises en œuvre. Cette revue est matérialisée
par l’apposition, sur chaque papier de travail revu, des initiales du superviseur et de la date.
D’autres techniques de révision qui fournissent une preuve de la revue incluent :
une check-list de révision des papiers de travail de la mission ;
un mémorandum précisant la nature, l’étendue et les résultats de la revue ;
des revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail.
4. Les superviseurs peuvent préparer une liste écrite des questions (notes de revue) soulevées
au cours de la revue. Au moment de la levée des points de revue, il convient de prendre soin
de vérifier que le dossier de travail contient les éléments démontrant que les questions soule-
vées lors de la revue sont résolues. Les alternatives en ce qui concerne la conservation des
feuilles de notes, sont les suivantes :
garder les notes de revue en tant qu'enregistrement des questions soulevées par le
superviseur et des actions entreprises pour les résoudre ainsi que les résultats de ces
actions ;
éliminer les notes de revue après que les problèmes soulevés aient été résolus et que
les documents de travail nécessaires aient été modifiés pour fournir les informations
exigées.
MPA 2400
MPA 2400-1
Aspects légaux de la communication des résultats
Commentaire IFACI
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant
susceptible de différer de façon significative selon les pays. Les directives contenues dans la présente Modalité Pratique
d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués
pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système
juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant
l’avocat à son client.
1. L’auditeur interne doit prendre toutes les précautions nécessaires avant de communiquer
une non-conformité vis-à-vis de la législation, de la réglementation ou tout autre problème
d’ordre juridique. Il est vivement recommandé de mettre en place des règles et des procé-
dures à cet égard et de travailler en étroite collaboration avec d’autres intervenants compé-
tents (conseiller juridique, déontologue / Compliance Officer, etc.).
2. Les auditeurs internes rassemblent des preuves, émettent des jugements fondés sur des
analyses, rendent compte des résultats de leurs travaux et s’assurent que le management a
mis en place des actions correctives appropriées. Les impératifs de l’auditeur interne, qui est
tenu de constituer les dossiers d’audit, peuvent être difficiles à concilier avec ceux du conseil-
ler juridique, qui est lui soucieux de ne pas mentionner d’éléments susceptibles de compro-
mettre l’organisation sur le plan juridique. Par exemple, même si l’auditeur interne collecte
et évalue correctement les informations, les faits et les analyses divulgués peuvent avoir, d’un
point de vue juridique, une incidence négative sur l’organisation. Une planification et des
procédures appropriées (notamment la définition du rôle de chacun et des modalités de
communication) sont essentielles pour éviter qu’une révélation soudaine des faits ne
MPA 2400
provoque un désaccord entre le conseiller juridique et l’auditeur interne. Par ailleurs, l’auditeur
interne et le conseiller juridique doivent favoriser, au sein de l’organisation, une culture
éthique et une approche préventive en sensibilisant le management aux procédures établies.
8. Les documents établis et remis à l’avocat avant l’établissement de la relation privilégiée avec
son client ne sont généralement pas protégés par le secret professionnel.
MPA 2410-1
Contenu de la communication
La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.
1. Le format et le contenu des rapports définitifs d’audit varient selon l’organisation et le type
de mission. Cependant, ils contiennent, au minimum, les objectifs, le périmètre et les résultats
de l’audit.
2. Les rapports définitifs d’audit peuvent comporter des informations sur le contexte et des
synthèses. Les informations sur le contexte peuvent présenter les entités et activités exami-
nées et fournir des explications. Le statut des observations, conclusions et recommandations
des rapports précédents peut aussi être repris ; on peut aussi indiquer si cet audit est une
mission inscrite au plan d’audit ou répondant à une demande particulière. Les synthèses
constituent un exposé proportionné du contenu du rapport.
3. L'exposé de l'objet de la mission décrit les objectifs de la mission et informe le lecteur des
motifs de la mission et des résultats escomptés.
4. L’exposé du périmètre de la mission précise les activités auditées et peut comporter des infor-
mations complémentaires telles que la période couverte et les activités connexes non exami-
nées afin de délimiter l’intervention. Il peut préciser la nature et l’étendue des travaux réalisés.
5. Les résultats comprennent les observations, les conclusions, les opinions, les recommanda-
tions et les plans d'actions.
6. Les observations sont des exposés pertinents des faits. L’auditeur interne communique les
observations nécessaires pour soutenir ses conclusions et recommandations, et éviter les
malentendus. L’auditeur interne peut communiquer de manière informelle les informations
MPA 2400
8. Les conclusions et les opinions sont les évaluations de l’auditeur interne sur les conséquences
des observations et recommandations sur les activités auditées. Habituellement, elles situent
les observations et recommandations dans la perspective de leurs implications globales. Les
conclusions de la mission sont clairement exposées dans le rapport d’audit. Elles peuvent
porter sur l'ensemble du champ audité ou sur des aspects particuliers. Elles peuvent exposer,
entre autres, dans quelle mesure les objectifs opérationnels et les programmes sont
conformes à ceux de l’organisation, si les buts et objectifs de l'organisation sont atteints, et si
l’activité examinée fonctionne comme prévu. L’opinion peut consister en une évaluation
globale des contrôles ou être limitée à des contrôles spécifiques ou certains aspects de la
mission.
9. L’auditeur interne peut communiquer des recommandations sur les améliorations et faire
état des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont
fondées sur les observations et conclusions de l’auditeur interne. Elles appellent des actions
destinées à corriger les situations existantes ou à améliorer le fonctionnement et peuvent
suggérer des approches visant à corriger ou à améliorer le fonctionnement, approches que
le management peut utiliser comme guide pour l’atteinte des résultats fixés. Les recomman-
dations peuvent être de nature générale ou spécifique. Par exemple, l’auditeur interne peut
recommander une ligne de conduite générale et des propositions spécifiques de mise en
œuvre. Dans d’autres cas, l’auditeur interne peut suggérer un examen ou une étude complé-
mentaire.
10. L’auditeur interne peut communiquer sur les réalisations de l’audité, qu'il s'agisse d'amélio-
rations apportées depuis le dernier audit, ou de la mise en place d’activités bien maîtrisées.
Cette information peut être nécessaire pour représenter fidèlement les conditions actuelles
d’exercice, offrir une perspective et assurer un équilibre dans le rapport d’audit.
11. L’auditeur interne peut communiquer les points de vue de l’audité sur les conclusions ou
recommandations de l’audit.
12. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtient
l’accord de l'audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélio-
ration des activités. Si l’auditeur interne et l’audité ne s’entendent pas sur les résultats de l’au-
dit, le rapport d'audit mentionne les deux positions ainsi que les raisons du désaccord. Les
commentaires écrits de l’audité peuvent être inclus en annexe au rapport, dans le corps du
rapport ou dans une lettre introductive.
13. Il peut ne pas être opportun de communiquer certaines informations à tous les destinataires
du rapport, notamment lorsqu’il s’agit de renseignements couverts par le secret professionnel,
protégés ou relatifs à des actes irréguliers ou illégaux. Ces informations sont alors incluses
dans un rapport distinct. Si les faits rapportés impliquent la direction générale, le rapport est
adressé au Conseil.
14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière offi-
cielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des infor-
mations nécessitant une attention immédiate, pour signaler un changement dans le champ
de la mission ou pour informer le management de l’avancement des travaux lorsque la
mission est de longue durée. L’emploi de rapports intermédiaires ne réduit ni n’élimine la
nécessité d'un rapport définitif.
15. Un rapport signé est émis à la fin des travaux. Des notes de synthèse mettant en évidence
les résultats de la mission sont recommandées pour les supérieurs hiérarchiques de l’audité ;
elles peuvent être émises séparément ou conjointement avec le rapport définitif. Le terme «
signé » signifie que l'auditeur autorisé signe manuellement ou électroniquement le rapport
ou la lettre de couverture. Le responsable de l’audit interne détermine l’auditeur interne auto-
risé à signer le rapport. Si les rapports d'audit sont diffusés par des moyens électroniques, un
exemplaire signé manuellement est archivé à l'audit interne.
MPA 2400
La communication doit être exacte, objective, claire, concise, constructive, complète et émise
en temps utile.
Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits
sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une
évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une communication
claire est facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement
technique et fournit toute l’information significative et pertinente. Une communication concise va
droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance
ou verbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des
améliorations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit
essentiel aux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi
que les observations permettant d’étayer les recommandations et conclusions.
Une communication émise en temps utile est opportune et à propos, elle permet au management
de prendre les actions correctives appropriées en fonction du caractère significatif de la probléma-
tique.
1. Collecter, évaluer et synthétiser les données et les preuves avec soin et précision.
2. Développer et énoncer les constats, conclusions et recommandations sans préjugé, parti pris,
intérêt personnel ni influence inappropriée.
4. Préparer des communications dont chaque élément est porteur de sens tout en étant
concises.
Commentaire IFACI
Les besoins et donc les critères de concision diffèrent selon les publics cibles.
Les audités et leur hiérarchie immédiate veulent un document complet, intégrant une argumentation détaillée et
éventuellement technique du raisonnement de l'auditeur. Ceci conditionne l’adhésion aux constats et aux
recommandations des auditeurs.
La direction générale veut être informée mais n'est pas en charge de la conduite opérationnelle de la résolution des
problèmes. Elle veut donc l'essentiel, sous forme d’une contraction de texte sans la démonstration technique détaillée.
5. Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs
de l’organisation.
Commentaire IFACI
Il est utile de donner aux audités des indications de lecture sous la forme de remarques liminaires. A titre d’exemples :
• Ce document est un rapport d'audit interne. Il vous est demandé de ne pas le diffuser car il contient des informations
confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements
pour faire développer des actions de progrès mais il n’oublie pas de noter, en quelques phrases, ce qui fonctionne
correctement.
• Il contient des recommandations. Une recommandation est une piste d’amélioration proposée au responsable habilité
à mener l'action. Celui-ci est en charge de développer et mettre en place une solution au problème soulevé : celle
proposée ou une meilleure.
7. Prévoir le délai de présentation des résultats de la mission afin d’éviter des contretemps exces-
sifs.
MPA 2400
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Interprétation :
Le responsable de l'audit interne ou son délégué revoient et approuvent le rapport définitif avant
qu’il ne soit émis, et décident à qui et de quelle manière il sera diffusé.
1. Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveau
de management approprié avant que le responsable de l’audit interne n'émette le rapport
définitif. Ceci est habituellement effectué pendant le déroulement de la mission ou lors des
réunions postérieurs aux travaux (par exemple, les réunions de clôture).
Commentaire IFACI
Ceci sera facilité si le management audité a été considéré tout au long de la mission comme un partenaire. Ceci est le cas
notamment lorsque des échanges périodiques ont lieu au cours de la mission sur le déroulement de celle-ci.
2. Une autre technique consiste à faire revoir au management de l'activité auditée des points,
observations et recommandations envisagés. Ces discussions et révisions aident à éviter les
malentendus ou fausses interprétations des faits et offrent à l’entité auditée l’occasion de
clarifier certains points particuliers et d’exprimer son opinion sur les observations, les conclu-
sions et les recommandations.
3. Le niveau hiérarchique des participants aux discussions et aux révisions varie selon l’organi-
sation et la nature du rapport d’audit; elles impliquent généralement les personnes qui
connaissent précisément les opérations auditées et celles qui sont en mesure d’autoriser la
mise en œuvre de mesures correctrices.
sable de l’audit interne peut adresser une note de synthèse aux membres de l’organisation
occupant un poste plus élevé dans la hiérarchie. Lorsque cela est prévu dans la charte d’audit
interne ou par une règle interne, le responsable de l’audit interne communique également
les résultats de la mission aux personnes intéressées ou concernées, telles que les auditeurs
externes et le Conseil.
Commentaire IFACI
C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il
convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ ou au
comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne
peuvent être communiqués à la justice.
Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à la
disposition des Commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc de
présenter les faits dont ont eu connaissance les auditeurs internes avec discernement.
MPA 2400
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Interprétation :
Le responsable de l'audit interne ou son délégué revoient et approuvent le rapport définitif avant
qu’il ne soit émis, et décident à qui et de quelle manière il sera diffusé.
1. Les auditeurs internes entrent souvent en possession d’informations très sensibles, qui sont
importantes pour l’organisation et peuvent avoir des conséquences significatives. Ces infor-
mations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des
gaspillages, des erreurs de gestion, des activités illégales, des abus de pouvoir, une mauvaise
gestion mettant en danger la santé ou la sécurité publique, ou d’autres méfaits. Du reste, ces
différents éléments peuvent porter préjudice à la réputation de l’organisation, à son image,
sa compétitivité, sa réussite, sa viabilité, sa valeur boursière, ses investissements et ses actifs
incorporels ou ses bénéfices.
2. S’il estime que les informations nouvelles sont importantes et crédibles, l’auditeur interne les
communique en principe, dans des délais appropriés, à la direction générale et au Conseil
conformément à la Norme 2060 et à la MPA 2060-1. Cette communication suivra générale-
ment la ligne hiérarchique normale pour l’auditeur interne.
3. Si, à l’issue de ces discussions, le responsable de l’audit interne conclut que la direction géné-
rale expose l’organisation à un risque inacceptable et qu’elle ne prend pas les mesures appro-
priées, le responsable de l’audit interne doit alors présenter les informations et les divergences
d’opinions au Conseil, conformément à la Norme 2600.
4. Le scénario classique de communication par la ligne hiérarchique peut être accéléré, pour
certains types d’événements sensibles, en vertu de la législation nationale, de la réglemen-
tation ou de pratiques communément admises. Par exemple, en cas de publication d’infor-
mations financières frauduleuses par une société cotée, la réglementation locale peut prévoir
l’obligation d’informer sans délai le Conseil des circonstances entourant le risque de publica-
5. L’auditeur interne peut, dans certaines situations, faire face à un dilemme lorsqu’il envisage
de communiquer des informations à des personnes à qui il n’est pas hiérarchiquement ratta-
ché ou même à l’extérieur de l’organisation. Cette communication est communément dési-
gnée par l’expression « whistleblowing » (« droit d’alerte »). La divulgation d’informations
négatives à une personne qui fait partie de l’organisation, mais sans passer par la ligne hiérar-
chique de l’auditeur interne relève du droit d’alerte interne, tandis que le droit d’alerte externe
consiste à communiquer des informations à une administration ou une autre instance exté-
rieure à l’organisation.
6. La majorité des personnes qui lance une alerte interne divulgue des informations sensibles.
Elles le feront d’autant plus facilement qu‘elles ont confiance dans la capacité des procédures
et des dispositifs, en place dans l’organisation, à déclencher une investigation et les mesures
appropriées en cas d’allégation d’opération illégale ou abusive. Toutefois, certaines personnes
en possession d’informations sensibles peuvent décider de les divulguer en dehors de l’or-
ganisation, en particulier si elles redoutent des représailles de la part de leur employeur ou
de collègues, si elles doutent que l’affaire sera correctement investiguée, si elles pensent
qu’elle sera dissimulée ou si elles détiennent la preuve d’une opération illégale ou abusive
mettant en péril la santé, la sécurité ou le bien-être de membres de l’organisation ou de la
communauté.
7. Lorsqu’il choisit d’utiliser le droit d’alerte interne, l’auditeur interne doit évaluer d’autres
moyens de signaler le risque à des personnes ou à des groupes qui ne font pas partie de sa
ligne hiérarchique. Étant donné les répercussions et les risques liés à ces démarches, l’auditeur
interne est tenu de peser le caractère probant et raisonnable de ses conclusions et d’examiner
les avantages et les inconvénients de chacune des actions envisageables. Une action de ce
type peut s’avérer appropriée pour l’auditeur interne si elle doit aboutir à l’adoption d’actions
sérieuses par la direction générale ou par le Conseil.
Commentaire IFACI
MPA 2400
« Dans la mesure où les règles du jeu sont dûment établies et connues de toutes les parties prenantes, le Directeur de l'audit
interne a un devoir d'alerte à l'égard du Comité d'audit pour des faits éminemment graves (délits sanctionnés par la loi
pénale), commis ou tolérés par la Direction Générale et/ou pouvant mettre en danger la continuité de l'exploitation. […]
8. De nombreux pays ont adopté une législation ou une réglementation en vertu desquelles
les fonctionnaires qui ont connaissance d’actes illégaux ou contraires à l’éthique sont tenus
d’informer un inspecteur général, un autre fonctionnaire ou un médiateur. Certaines lois natio-
nales relatives au droit d’alerte protègent les citoyens qui s’apprêtent à divulguer certains
types d’abus. Les activités énumérées dans la législation et la réglementation de ces pays
comprennent notamment :
les infractions criminelles et les autres infractions à la loi ;
les actes assimilés à des erreurs de justice ;
les actes mettant en péril la santé, la sécurité ou le bien-être des personnes ;
les actes dommageables pour l’environnement ;
les opérations destinées à dissimuler ou à couvrir les actes ci-dessus.
D’autres pays ne proposent aucune directive ni aucun système de protection ou encore ne
protègent que les salariés du secteur public (généralement ceux qui ont le statut de fonc-
tionnaire).
10. De nombreuses associations professionnelles requièrent que leurs membres divulguent les
agissements illégaux ou contraires à l’éthique. Le caractère distinctif d’une profession réside
dans le fait qu’elle accepte des responsabilités étendues vis-à-vis du public et qu’elle entend
préserver le bien commun. Outre l’examen des obligations légales, les membres de l’IIA, ainsi
que tous les auditeurs internes CIA, doivent suivre les règles du Code de déontologie de la
profession.
11. L’auditeur interne est tenu, par devoir professionnel et par la déontologie, de peser avec atten-
tion tous les éléments probants et le caractère raisonnable de ses conclusions, puis de décider
si d’autres mesures sont nécessaires pour préserver les intérêts de l’organisation, de ses parties
prenantes, de la communauté extérieure ou des institutions de la société. En outre, l’auditeur
interne tiendra compte du principe de confidentialité du Code de déontologie de la profes-
sion, respectera la valeur et la confidentialité des informations et s’abstiendra de les divulguer
sans y être dûment habilité, sauf en cas d’obligation légale ou professionnelle. L’auditeur
interne peut consulter un juriste et, le cas échéant, d’autres experts, durant ce processus
d’évaluation. Ces discussions peuvent s’avérer utiles, notamment parce qu’elles permettent
d’obtenir un autre point de vue sur les circonstances de l’affaire et de recueillir un avis sur
l’incidence et les conséquences potentielles des diverses actions envisageables. La démarche,
adoptée par l’auditeur interne pour résoudre ce type de situation complexe et sensible, peut
donner lieu à des représailles et, le cas échéant, engager sa responsabilité.
12. En définitive, l’auditeur interne prend une décision professionnelle à propos de ses obligations
vis-à-vis de son employeur. La décision de communiquer, en dehors de la ligne hiérarchique,
doit être prise en connaissance de cause. Elle est motivée par des preuves suffisantes et crédi-
bles concernant les agissements en cause, et par la nécessité de prendre d’autres mesures
en vertu d’une obligation légale, réglementaire, professionnelle ou déontologique.
Commentaire IFACI
Les organisations soumises à la section 301 de la loi américaine Sarbanes-Oxley Act (SOX), disposent d’un dispositif d’alerte
de type whistleblowing.
En France, les traitements des données concernés par un dispositif d’alerte professionnelle sont légaux s’ils répondent à une
obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les
seuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il s’agit de l’Autorisation unique N° 4
(AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-un-
fichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/dec-
mode/DISPLAYSINGLEFICHEDECL/dec-uid/4/
MPA 2400
1. La charte d'audit interne et celle du Conseil, les politiques de l’organisation ou les instructions
spécifiées dans la lettre de mission peuvent contenir des lignes directrices relatives à la diffu-
sion d’informations en dehors de l’organisation. À défaut de telles directives, le responsable
de l’audit interne peut faciliter l’adoption de politiques appropriées concernant, par exem-
ple :
l’autorisation requise pour diffuser des informations en dehors de l’organisation ;
le processus d’autorisation pour la diffusion d’informations en dehors de l’organisation ;
les instructions concernant la nature des informations dont la diffusion est admise ou
non ;
les personnes extérieures autorisées à recevoir des informations et la nature des infor-
mations qui peuvent leur être communiquées ;
les règles relatives à la confidentialité des données personnelles, les obligations régle-
mentaires et les aspects juridiques à examiner avant toute diffusion d’informations en
dehors de l’organisation ;
la nature des conclusions, des conseils, des recommandations, des opinions, des instruc-
tions et autres informations pouvant être diffusés en dehors de l’organisation.
2. Les demandes d’information peuvent concerner des données qui existent déjà, par exemple
un rapport d’audit interne déjà diffusé, ou bien porter sur des informations qui n’ont pas
encore été produites ou définies et qui résulteront d’une future mission ou d’un nouveau
rapport d’audit interne. Pour les informations déjà existantes, l’auditeur interne examinera si
elles peuvent être diffusées en dehors de l’organisation.
3. Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un
rapport ou des informations existant(s) pour permettre une diffusion appropriée en dehors
de l’organisation.
Commentaire IFACI
Des informations délicates destinées, a priori, à la direction générale ou au comité d’audit étant susceptibles d’être connues
à l’extérieur de l’organisation, il convient de présenter les faits dont ont eu connaissance les auditeurs internes avec
intelligence, prudence et circonspection.
MPA 2400
MPA 2500
MPA 2500-1
Surveillance des actions de progrès
Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de
surveiller la suite donnée aux résultats communiqués au management.
1. Pour être en mesure de surveiller efficacement les suites données aux résultats communiqués
au management, le responsable de l’audit interne établit des procédures couvrant les aspects
suivants :
le délai dans lequel le management doit répondre aux observations et recommanda-
tions de l'audit ;
l’évaluation de la réponse du management ;
la vérification de la réponse (si nécessaire) ;
la réalisation d’une mission de suivi (si nécessaire) ;
un processus pour porter, à l’attention du niveau approprié de la direction générale et
du Conseil, les réponses/actions non satisfaisantes et l’acceptation du risque qui en
résulte.
MPA 2500.A1-1
Processus de suivi de la mission
2500.A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permet-
tant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le
management ou que la direction générale a accepté de prendre le risque de ne rien faire.
2. Le suivi est un processus par lequel les auditeurs internes évaluent le caractère approprié,
effectif et opportun des actions entreprises par le management, en réponse aux observations
et recommandations, y compris celles émises par les auditeurs externes ou d'autres interve-
nants. Au cours de ce processus il convient également de déterminer si la direction générale
et le Conseil ont assumé le risque de ne pas entreprendre d’action correctrice en réponse
aux observations.
4. Le responsable de l’audit interne assure la planification des activités de suivi dans le cadre de
l’élaboration des programmes de travail. La planification du suivi est fondée sur les risques
encourus et leurs impacts, ainsi que sur le niveau de difficulté et l’importance du délai de
mise en œuvre des actions correctrices.
5. Lorsque le responsable de l’audit interne juge que la réponse orale ou écrite du management
indique que l'action entreprise est suffisante par apport au niveau d’importance des obser-
vations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le
cadre de la mission suivante.
MPA 2500