Ippf 2011

Edition
2011
Cadre de Référence
International
des Pratiques Professionnelles
de l’Audit Interne
Inclus (versions française et anglaise) :
 Définition de l’audit interne
 Code de déontologie
 Normes internationales
 Modalités Pratiques d’Application (MPA)
 Guides pratiques (GTAG...)
L’IFACI est affilié à

The Institute of Internal Auditors
ebzone communication (www.ebzone.fr) - Impression : Imprimerie Compédit Beauregard
Copyright © 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,
Florida 32701-4201. Tous droits de reproduction réservés.
Copyright © IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés.
Janvier 2011
ISBN : 978-2-915042-22-1
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits,
Réalisation :
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque
procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
Sommaire
Avant-propos de l’IFACI ..................................................................................................................................... 5
Préface ..................................................................................................................................................................... 7
Dispositions obligatoires ................................................................................................................................ 13
Définition de l’audit interne .................................................................................................................................... 15
Code de déontologie .................................................................................................................................................. 17
Normes internationales .............................................................................................................................................. 23

Introduction .............................................................................................................................................................. 25
Normes de qualification .................................................................................................................................... 27
Normes de fonctionnement ........................................................................................................................... 43
Glossaire ...................................................................................................................................................................... 63
Modalités Pratiques d’Application .............................................................................................................. 73

MPA Série 1000 : Mission, pouvoirs et responsabilités ........................................................................ 75
MPA Série 1100 : Indépendance et objectivité ......................................................................................... 79
MPA Série 1200 : Compétence et conscience professionnelle ...................................................... 91
MPA Série 1300 : Programme d’assurance et d’amélioration qualité .................................... 103
MPA Série 2000 : Gestion de l’audit interne ............................................................................................. 129
MPA Série 2100 : Nature du travail .................................................................................................................. 157
MPA Série 2200 : Planification de la mission ............................................................................................ 185
MPA Série 2300 : Accomplissement de la mission ............................................................................... 197
MPA Série 2400 : Communication des résultats .................................................................................... 211
MPA Série 2500 : Processus de suivi de la mission .............................................................................. 229
Inclus dans ce livret :

• Dépliant du Cadre de référence international des pratiques professionnelles de l’audit interne
• Clé USB :
- Cadre de référence international des pratiques professionnelles de l’audit interne (en version
française et en version anglaise) : Définition, Code de déontologie, Normes Internationales, MPA,
Guides pratiques (GTAG...).
© IFACI - janvier 2011 3

4 © IFACI - janvier 2011
Avant-propos de l’IFACI
Avant-propos de l’IFACI
N Nous avons le plaisir de vous présenter en français

la nouvelle version du Cadre de Référence Interna-
tional des Pratiques Professionnelles (CRIPP) de
l’audit interne, applicable à partir du 1er janvier




la définition de l’audit interne
le code de déontologie
les Normes internationales
les modalités pratiques d’application (MPA) du
2011. code de déontologie et des normes
Les guides pratiques, y compris les guides d’audit
Les modifications, en gras, apportées aux normes des systèmes d’information (Global Technologie
ont eu essentiellement pour objet de clarifier : Audit Guide – GTAG), vous sont proposés sur la clé
 la nature de la relation fonctionnelle avec le USB. Ce support électronique vous donne égale-
Conseil (Normes 1000 et 1110) ; ment accès à toutes les composantes du CRIPP en
 les modalités d’évaluation du processus de version française et en version anglaise.
management des risques (Norme 2120).
Par ailleurs, trois nouvelles normes (en gras dans le Lorsque cela s’est avéré nécessaire, l’IFACI propose
document) ont été adoptées : des commentaires appropriés. Pour cela, l’IFACI
 L’opinion de l’audit interne : remercie chaleureusement, pour leur forte impli-
- Norme 2010.A2 : « Le responsable de l’audit cation et la pertinence de leurs commentaires, les
interne doit identifier et prendre en considé- personnes qui ont apporté leur contribution :
ration les attentes de la direction générale, du  Marie-Elisabeth Albert, La Poste
Conseil et des autres parties prenantes  Céline Barret, Groupe Auchan
concernant les opinions et d’autres conclu-  Christophe Butikofer, SFR
sions de l’audit interne ».  Pierre Drouard, Renault
- Norme 2450 : « Lorsqu’une opinion globale  Frédéric Fernique, CNP Assurances
est émise, elle doit prendre en compte les  Benoît Harel, IFACI Certification
attentes de la direction générale, du Conseil  Béatrice Ki-Zerbo, IFACI
et des autres parties prenantes. Elle doit  Carole Marilossian, GAN
également s’appuyer sur une information  Jacques Renard, Consultant
suffisante, fiable, pertinente et utile (et son  Pascale Thevenoux, Natixis
interprétation) ».
 Le recours à un prestataire externe : respon- Comme vous l’avez remarqué, ce cadre de réfé-
sabilité de l’organisation : rence n’est pas figé car la profession continue et
- Norme 2070 : « Lorsque l’activité d’audit continuera d’évoluer. Vous êtes donc invités à
interne est réalisée par un prestataire de consulter régulièrement notre site Internet pour
service externe, ce dernier doit alerter l’orga- prendre connaissance des mises à jour.
nisation qu’elle reste responsable du maintien
d’un audit interne efficace ». Ce cadre de référence doit vous faire prendre
Enfin, vous trouverez la Modalité Pratique d’Appli- conscience de votre appartenance à une véritable
cation (MPA) 2050-3 « Relying on the Work of other profession, toujours en état de veille. Il contient les
Assurance Providers ». Elle a été publiée fin 2010, sa méthodes et pratiques les plus à même de répon-
traduction interviendra début 2011 et sera dispo- dre à vos besoins et aux attentes de vos organisa-
nible sur le site de l’IFACI. tions. Reportez-y-vous souvent et appliquez-le
toujours.
La publication contient la traduction des compo-
santes essentielles du CRIPP ou International Profes- Louis Vaurs
sional Practices Framework-IPPF de l’IIA, à savoir : Délégué Général

Préface
Préface
N Notre profession connaît des changements

très rapides. C’est dans ce contexte que le
Conseil d’administration de l’Institute of Inter-
par l’IIA. De ce fait, la position de l’IIA en tant
qu’organe normalisateur de la profession d’au-
dit interne est renforcée au niveau mondial.
nal Auditors (IIA) a mis en place un comité de En prenant en compte la pratique actuelle de
pilotage international et un groupe de travail l’audit interne ainsi que son développement
pour réviser le Cadre de Référence des futur, le CRIPP aidera les professionnels et les
Pratiques Professionnelles ainsi que l’organi- parties prenantes du monde entier à être
sation de l’IIA en ce qui concerne les lignes sensible à la demande croissante de services
directrices et les processus associés. Le d’audit interne d’excellente qualité.
groupe de travail a mis l’accent sur la révision
du périmètre du Cadre de Référence et sur Puisque le CRIPP est la structure conceptuelle
l’amélioration de la cohérence et de la trans- qui organise les lignes directrices émises par
parence des processus d’élaboration, de révi- l’IIA, son périmètre a été réduit pour ne pren-
sion et de publication des lignes directrices. dre en compte que les lignes directrices déve-
Les travaux se sont achevés avec l’élaboration loppées par les comités techniques
d’un nouveau Cadre de Référence Internatio- internationaux de l’IIA selon les procédures
nal des Pratiques Professionnelles (CRIPP) et la appropriées. On distingue deux catégories de
réorganisation du Conseil des Pratiques lignes directrices approuvées par l’IIA :
Professionnelles (CPP). Le CPP coordonne l’ap-  des dispositions obligatoires. Le respect
probation et la publication des lignes direc- de ces éléments est exigé et la ligne direc-
trices du CRIPP comme mentionné dans le trice est élaborée selon le processus requis
nouvel ordre de mission approuvé par le qui inclut une consultation publique. La
Conseil en Juin 2007. conformité aux principes mis en exergue
dans les lignes directrices obligatoires est
En général, un cadre de référence fournit une indispensable pour la pratique profession-
structure schématique permettant de nelle de l'audit interne et,
comprendre la relation entre un corpus de  des dispositions fortement recomman-
connaissances et une ligne directrice. En tant dées. La conformité à ces lignes direc-
que système cohérent, le cadre de référence trices, approuvées par l’IIA, est fortement
permet d’uniformiser l’élaboration, l’interpré- recommandée. Elles proposent des
tation, l’application des concepts et des pratiques pour la mise en œuvre effective
méthodologies ainsi que les techniques utili- de la définition de l’audit interne, du Code
sées dans un domaine ou une profession de Déontologie de l’IIA et des Normes
donnée. Justement, l’objectif du CRIPP est Internationales pour la Pratique Profes-
d’organiser, d’une manière plus claire et plus sionnelle de l’Audit Interne (Normes).
opportune, les lignes directrices approuvées

Le CRIPP comprend désormais les éléments suivants :
Eléments Définition
Définition La définition de l’audit interne établit l’objectif fondamental,

la nature et le champ d'application de l’audit interne.
Code de déontologie Le Code de déontologie établit les principes et attentes régis-

sant le comportement des individus et des organisations dans
la conduite de l’audit interne.
Il décrit les règles minimales de conduite ainsi que des
comportements attendus plutôt que des activités spécifiques.
Normes internationales Les Normes sont des principes qui fournissent un cadre pour
pour la pratique profes- la réalisation des missions et la promotion de l’audit interne.
Dispositions obligatoires
sionnelle de l’audit Elles se composent de Normes de qualification, de Normes

interne (Normes) de fonctionnement et de Normes de mises en œuvre.
Les Normes sont des exigences obligatoires constituées :

 de déclarations sur les exigences fondamentales pour la
pratique professionnelle de l’audit interne et pour l’éva-
luation de sa performance. Elles sont internationales et
applicables au niveau du service et au niveau individuel.
 d’interprétations clarifiant les termes ou les concepts utili-
sés dans les déclarations.
Il est nécessaire de considérer le texte dans sa totalité (c’est-

à-dire les déclarations et les interprétations) afin de compren-
dre et d’appliquer correctement les Normes. Les termes
spécifiques utilisés dans les Normes sont explicités dans le
Glossaire.

Préface
Eléments Définition
Prises de position Les Prises de position aident l’ensemble des parties prenantes,
y compris celles qui ne sont pas des professionnels de l’audit
interne, à comprendre les principaux enjeux en matière de
gouvernance, de risque ou de contrôle. Elles précisent égale-
ment le rôle et les responsabilités de l’audit interne.
Modalités pratiques Les Modalités Pratiques d’Application fournissent une

d’application (MPA) approche et une méthodologie mais ne précisent pas les
Dispositions fortement recommandées
processus et les procédures détaillées.
Ce sont des lignes directrices qui aident les auditeurs internes

dans l'application du Code de déontologie et des Normes
ainsi que la promotion des meilleures pratiques.
Ces pratiques concernent notamment :

 des problématiques internationales, nationales ou spéci-
fiques à certains secteurs d'activité ;
 des missions d'audit spécifiques ;
 des questions légales ou réglementaires.
Guides pratiques Les guides pratiques sont des lignes directrices détaillées pour
la conduite des activités d’audit interne.
Ce sont des processus et des procédures détaillés tels que des

outils, des techniques, des programmes, des approches
séquentielles (par exemple, des modèles de livrables).
Les changements les plus significatifs du à le réviser selon cette périodicité et à y

nouveau Cadre de Référence sont : apporter les modifications nécessaires.
 les améliorations de processus. Elles se  l’exclusion de l'accompagnement au
traduisent par une augmentation du type développement professionnel. Cet
d’éléments constitutifs du Cadre de Réfé- élément ne fait plus partie du Cadre de
rence, une plus grande transparence et Référence. Il était constitué de données
des cycles de révision définis pour toutes (par exemple, des supports de formation,
les lignes directrices. La périodicité de révi- des publications ou des rapports de
sion du CRIPP a été fixée à trois ans. Même recherche) que les auditeurs internes
si le contenu du CRIPP ne change pas pouvaient utiliser pendant leurs travaux.
forcément tous les trois ans, l’IIA s’engage Dans la mesure où le CRIPP ne prend en

considération que les lignes directrices dans des organisations dont l'objet, la taille, la
approuvées par l'IIA, ces données ne complexité et la structure diffèrent. De plus,
correspondent plus au nouveau Cadre de les lois et les usages varient d’un pays à l’autre.
Référence tel que défini ci-dessus. Ces différences peuvent avoir une incidence
 l’ajout des interprétations aux Normes sur la pratique de l’audit interne dans chaque
pour préciser certains termes. Elles ne sont environnement. La mise en œuvre du CRIPP
pas systématiques mais lorsqu’elles sont sera donc déterminée par l’environnement
nécessaires, elles suivent immédiatement dans lequel l’audit interne assume les respon-
la Norme concernée. sabilités qui lui sont assignées. Aucune infor-
 la réduction du périmètre des modalités mation du CRIPP ne devrait être interprétée
pratiques d’application. Elles ne concer- de manière contradictoire avec les lois et
nent que la méthodologie et l’approche règlements applicables. Si dans certaines
nécessaires à la mise en œuvre du Code circonstances l’information contenue dans le
de déontologie et des Normes. Les CRIPP est contradictoire avec la législation ou
données actuelles sur les outils et les tech- la régulation, les auditeurs internes sont
niques ont été transférées dans les guides encouragés à prendre contact avec l’IIA ou un
pratiques. conseiller juridique pour avoir des lignes
 L’ajout des guides pratiques et des prises directrices complémentaires.
de position. Les guides pratiques sont des
lignes directrices correspondant à des Comme indiqué précédemment, le CRIPP est
outils ou des techniques. Ils comprennent constitué de deux types de lignes directrices :
des processus et des procédures détaillés,
des programmes, des approches séquen- 1. les lignes directrices obligatoires
tielles (par exemple, des modèles de livra- comprennent :
bles). Les prises de position concernent la
• la Définition de l’audit interne ;
vision de l’IIA sur les rôles et responsabili-
• le Code de déontologie ;
tés de l’audit interne vis-à-vis d’une
• les Normes.
problématique donnée.
Le caractère obligatoire des Normes est
Par définition, l’audit interne est une activité
renforcé par l’utilisation du terme « Must ».
objective d’assurance et de conseil qui contri-
Ce mot est utilisé dans les Normes pour
bue à la création de valeur ajoutée et à l’amé-
indiquer une exigence impérative. Dans
lioration des opérations d’une organisation
certains cas exceptionnels, le vocable
donnée. Il aide cette organisation à atteindre
« Should » est utilisé dans les Normes
ses objectifs en évaluant, par une approche
lorsque le respect de la disposition est
systématique et méthodique, ses processus
recommandé sauf si, en faisant preuve de
de management des risques, de contrôle, et
jugement professionnel, des adaptations
de gouvernement d’entreprise, et en faisant
sont justifiées par les circonstances.
des propositions pour renforcer leur efficacité.
Le respect des principes énoncés dans les
Au niveau mondial, l’audit interne est exercé
lignes directrices obligatoires est indispen-
dans des environnements divers ainsi que

Préface
sable pour que les auditeurs internes et obligatoires. Elles ont été développées
l’audit interne assument leurs responsabi- pour donner un large panel de solutions
lités. Comme précisé dans le Code de applicables pour répondre aux exigences
Déontologie, les auditeurs internes obligatoires de l’IIA. Les dispositions forte-
doivent accomplir leurs missions confor- ment recommandées ne donnent pas
mément aux Normes. L’expression « audi- une réponse définitive à chaque contexte
teurs internes » est utilisée pour désigner particulier. De ce fait, elles doivent être
les membres de l’Institut, les lauréats des utilisées comme des guides. L’IIA recom-
certifications professionnelles proposées mande le recourt à l’avis d’autres profes-
par l’IIA ou les candidats à ces certifica- sionnels pour les questions relatives à
tions, ainsi que les personnes qui réalisent certains situations particulières. Ces lignes
des missions d’audit interne conformé- directrices sont sensées être utilisées par
ment à la Définition de l’IIA. des auditeurs internes compétents qui
font preuve de jugement professionnel.
Les lignes directrices obligatoires sont
applicables aux individus et aux entités Dans les prochaines années, avec leur impli-
qui réalisent des missions d’audit interne. cation dans le développement des lignes
directrices, les auditeurs internes feront en
2. les lignes directrices recommandées sorte que le CRIPP continue à être plus
comprennent : robuste. Toutes les parties prenantes concer-
nées sont invitées à faire des commentaires et
• les prises de position ;
des propositions à propos de l’IPPF. Pour les
• les modalités pratiques d’application ;
avis professionnels, les commentaires et les
• les guides pratiques.
suggestions, envoyer un message à
guidance@theiia.org. Pour trouver les futures
Bien qu’approuvées par l’IIA et élaborées
mises à jour du CRIPP, les auditeurs internes
par un comité technique international de
sont invités à consulter les pages « Professional
l’IIA et/ou un institut, les lignes directrices
Guidance » sur le site http://www.theiia.org.
fortement recommandées ne sont pas

Dispositions
obligatoires
Dispositions obligatoires
DISPoSItIoNS oblIgAtoIrES

Dispositions
obligatoires
Définition de l’audit interne
L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée.
Il aide cette organsiation à atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de contrôle, et de gouvernement
d’entreprise, et en faisant des propositions pour renforcer leur efficacité.
Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d’Administration de l’IFACI.

Dispositions
obligatoires
Code de Déontologie
Préambule
Pourquoi un Code de Déontologie ?
Pourquoi donc les Normes n’aplaniraient-elles pas toutes les difficultés auxquelles l’auditeur interne peut se trouver
confronté, en indiquant de manière systématique, la bonne conduite à adopter ? Cette question est légitime et appelle
des réponses qui permettent de préciser la raison d’être du Code de Déontologie :
 Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte parti-
culier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques,
les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l’audit
interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systé-
matiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profes-
sion identifie des valeurs essentielles qui ne nient par l’originalité de chaque situation. Il guide la réflexion de chaque
auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d’audit interne.
 Expliciter et illustrer les notions d’indépendance et d’objectivité, ces préalables sont indispensables à la
qualité de l’évaluation effectuée par l’auditeur interne. Il est essentiel que ces deux notions, que l’auditeur doit
respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations
délicates. En effet, l’auditeur interne et notamment le responsable de l’audit interne, se trouvent fréquemment
confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l’épreuve de situations
personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux suscep-
tibles d’éviter ou de clarifier les situations impropres à l’exercice d’un jugement professionnel serein. Ils permettent
d’obtenir les conseils d’un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu’il
convient de suivre en cas de situation délicate.
 Témoigner du niveau élevé d’intégrité de l’audit interne : Il est important et utile que chacun sache que
l’auditeur interne s’efforce de toujours agir avec honnêteté et rigueur. L’existence d’un Code de Déontologie de l’audit
interne, signé par les auditeurs internes et annexé à la charte d’audit interne constitue, à notre sens, le témoignage
d’un engagement favorisant un climat d’honnêteté et d’intégrité.
 Contribuer à la qualité des résultats de l’audit en rappelant l’exigence de confidentialité et de compé-

tence. En effet, la confiance accrue des audités permet un meilleur travail.

Introduction
Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au sein
de la profession d’audit interne.

L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant,
par une approche systématique et méthodique, ses processus de mana-
gement des risques, de contrôle, et de gouvernement d’entreprise, et en
faisant des propositions pour renforcer leur efficacité.
Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective sur
les processus de gouvernement d’entreprise, de management des risques, et de contrôle, il était
nécessaire que la profession se dote d’un tel code.
Le Code de Déontologie va au-delà de la définition de l’audit interne et inclut deux composantes

essentielles :
1. Des principes fondamentaux pertinents pour la profession et pour la pratique de l’audit
interne ;
2. Des règles de conduite décrivant les normes de comportement attendues des auditeurs
internes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux
et ont pour but de guider la conduite éthique des auditeurs internes.
On désigne par « auditeurs internes » les membres de l’Institut, les titulaires de certification profes-
sionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes proposant des services
entrant dans le cadre de la définition de l’audit interne.
Champ d’application et caractère obligatoire

Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services d’au-
dit interne.
Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de certifica-
tions professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet d’une évaluation et sera
traitée en accord avec les statuts de l’Institut et ses directives administratives. Le fait qu’un compor-
tement donné ne figure pas dans les règles de conduite ne l’empêche pas d’être inacceptable ou
déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la personne qui s’en
est rendu coupable.

Dispositions
obligatoires
Principes fondamentaux
Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux
suivants :
1. Intégrité :
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à
leur jugement.
2. Objectivité :
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent
pas influencer dans leur jugement par leurs propres intérêts ou par autrui.
3. Confidentialité :
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.
4. Compétence :
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.
Règles de conduite
1. Intégrité
Les auditeurs internes :

1.1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.
1.2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profes-
sion.
Commentaire IFACI
Par exemple, dans le secteur public en France, selon l’article 40 du Code de procédure pénale : « toute autorité constituée,
tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un
délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les
renseignements, procès-verbaux et actes qui y sont relatifs ».

1.3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des
actes déshonorants pour la profession d’audit interne ou leur organisation.
Commentaire IFACI
Il convient de préciser que la notion de déshonneur est culturelle, qu’elle dépend des époques, des individus, de l’éthique de
l’organisation et de nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
Commentaire IFACI
Cette règle de conduite appelle la question suivante : qu’entend-on par objectif éthique et objectif légitime ? On peut définir
légitime comme conforme aux lois, aux règlements et à l’objet social tandis qu’éthique fait référence aux valeurs morales et
à divers principes. Il appartient à chaque auditeur interne de donner à ces deux mots un sens adapté à la situation
particulière dans laquelle il se trouve.
Dans le cas où l’organisation aurait des objectifs non éthiques ou non légitimes ou jugés tels par l’auditeur, ce Code de
Déontologie ne contraint pas l’auditeur interne à les respecter et encore moins à y contribuer, pas plus qu’il ne l’interdit.
Cette situation, si elle se produisait, ne dispenserait pas l’auditeur interne de garder à leur égard un parfait esprit critique.
2. Objectivité
2.1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce
principe vaut également pour les activités ou relations d’affaires qui pourraient entrer
en conflit avec les intérêts de leur organisation.
2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
2.3 Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.
Commentaire IFACI
C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il
convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ou au
comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne
peuvent être communiqués à la justice. Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les
rapports d’audit interne sont tenus à la disposition des commissaires aux comptes et du secrétariat général de la
Commission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec
discernement, prudence et circonspection.

Dispositions
obligatoires
3. Confidentialité
3.1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de
leurs activités.
Commentaire IFACI
Il est important de préciser que la confidentialité et les règles de conduite y afférentes s’appliquent à toute personne
proposant des services entrant dans la définition de l’audit interne. Le responsable de l’audit interne, dans le cas où il
soustraite une mission, à l’extérieur du service d’audit interne ou de l’organisation, doit veiller à ce qu’une clause de cet
ordre soit intégrée dans le contrat de prestation.
Commentaire IFACI
L’IFACI préconise que le responsable de l’audit interne ait un devoir d’alerte vis-à-vis du comité d’audit pour des faits
éminemment graves commis par la direction générale et pouvant mettre en danger la continuité d’exploitation, à condition
que ces faits soient avérés et que le rôle de l’audit interne en la matière soit dûment explicité dans une charte d’éthique.
Commentaire IFACI
En fonction des termes de l’arrêté portant application de l’article 156 de la Loi de Modernisation de l’Economie qui prévoit
« au sein des établissements de crédit, les conditions d’information des organes de direction, d’administration et de
surveillance concernant l’efficacité des systèmes de contrôle interne, d’audit interne et de gestion des risques, et le suivi
des incidents révélés notamment par ces systèmes, sont fixés par arrêté. » Cet arrêté prévoit les conditions dans lesquelles
ces informations sont transmises à la Commission bancaire, en outre, l’article 154 de la LME prévoit des sanctions
(emprisonnement et amende financière) en cas d’absence de réponse aux demandes d’informations de la Commission
bancaire ou de communication de renseignements inexacts.
3.2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs
éthiques et légitimes de leur organisation.
Commentaire IFACI
Est assimilable à « bénéfice personnel » non seulement le bénéfice procuré à un tiers apparenté ou ami, mais aussi
l'utilisation des informations recueillies dans le cadre de l'activité d'audit à des fins étrangères à cette activité, telles que la
communication à des associations caritatives, humanitaires, et plus généralement à but louable, soutenues par l'auditeur
interne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils reçoivent.

4. Compétence
4.1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le
savoir faire et l’expérience nécessaires.
4.2. Doivent réaliser leurs travaux d’audit interne dans le respect des Normes Internationales
pour la Pratique Professionnelle de l’Audit Interne.
4.3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs
travaux.

Dispositions
obligatoires
Normes internationales
NormES INtErNAtIoNAlES

Dispositions
obligatoires
Normes internationales
Introduction
L’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans
des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outre
exercé par des professionnels de l'audit, internes ou externes à l'organisation.
Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque environne-
ment, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de
l'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs internes et l’audit interne s'ac-
quittent de leurs responsabilités.
Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne de

respecter certaines dispositions des Normes, il est nécessaire d’en respecter les autres dispositions
et de procéder à une communication appropriée.
Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence, les
communications de l’audit interne peuvent le cas échéant, citer l’utilisation d’autres Normes. S’il y
a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et l’audit
interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci
sont plus exigeantes.
Les Normes ont pour objet :

1. de définir les principes fondamentaux de la pratique de l'audit interne ;
2. de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d’in-
tervention d'audit interne à valeur ajoutée ;
3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ;
4. de favoriser l'amélioration des processus organisationnels et des opérations.
Les Normes sont des principes obligatoires constituées :

 de déclarations sur les conditions fondamentales pour la pratique professionnelle de l’audit
interne et pour l’évaluation de sa performance. Elles sont internationales et applicables tant
au niveau du service qu’au niveau individuel ;
 d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.
Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En parti-
culier les Normes utilisent le mot « must » pour spécifier une exigence impérative et le mot
« should » lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de juge-
ment professionnel, des adaptations sont justifiées par les circonstances.

Il est indispensable de prendre en considération les déclarations et les interprétations ainsi que
les significations spécifiques du Glossaire pour comprendre et appliquer correctement les Normes.
Les Normes se composent des Normes de qualification, des Normes de fonctionnement et des
Normes de mise en œuvre. Les Normes de qualification énoncent les caractéristiques que doivent
présenter les organisations et les personnes accomplissant des missions d'audit interne. Les Normes
de fonctionnement décrivent la nature des missions d'audit interne et définissent des critères de
qualité permettant de mesurer la performance des services fournis. Les Normes de qualification
et les Normes de fonctionnement s’appliquent à tous les services d’audit. Les Normes de mise en
œuvre précisent les Normes de qualification et les Normes de fonctionnement en indiquant les
exigences applicables dans les activités d’assurance (A) ou de conseil (C).
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en
vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opéra-
tion, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne détermine la
nature et l'étendue des missions d’assurance. Elles comportent généralement trois types d'inter-
venants : (1) la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction,
le processus, le système ou le sujet examiné – autrement dit le propriétaire du processus, (2) la
personne ou le groupe réalisant l'évaluation – l'auditeur interne, et (3) la personne ou le groupe
qui utilise les résultats de l'évaluation – l'utilisateur.
Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et
leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux inter-
venants : (1) la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne,
et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la réali-
sation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et n'assumer aucune
fonction de management.
La revue et la mise à jour des Normes est un processus continu. « The Internal Audit Standards Board »
mène une large consultation et des discussions avant de publier les Normes.
Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont
consultables sur le site internet de l'IIA et sont distribués à tous les instituts affiliés.
Les suggestions et commentaires concernant les Normes peuvent être adressés à :
The Institute of Internal Auditors

Standards and Guidance
247, Maitland Avenue.
Altamonte Springs, Florida 32701-4201 USA
Courrier électronique : guidance@theiia.org
Site web : www.theiia.org

Dispositions
obligatoires
Normes de qualification
NormES DE
quAlIFICAtIoN

Dispositions
obligatoires
1000 – mission, pouvoirs et responsabilités MPA 1000-1 :

Charte d’audit interne
La mission, les pouvoirs et les responsabilités de l'audit interne doivent être
formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit
interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit
revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction
générale et du Conseil.
Interprétation :
La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris
la nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorise
l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit
le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la
responsabilité du Conseil.
Commentaire IFACI
Le terme « Conseil » est explicité dans le Glossaire des Normes : « Le Conseil est un organe de gouvernance
d’une organisation. Il peut s’agir d’un Conseil d’administration, d’un Conseil de surveillance, de l’organe
délibérant d’un organisme public ou d’une association ou de tout autre organe y compris le Comité d’audit
auquel le responsable de l’audit interne peut être rattaché sur le plan fonctionnel. »
Dans la pratique, le responsable de l’audit interne a, lorsqu’il existe, une relation fonctionnelle avec le comité
spécialisé du Conseil mandaté pour les questions liées à la gestion des risques, au contrôle interne et à l’audit
interne. Il s’agit le plus souvent du comité d’audit ou du comité de contrôle interne et des risques.
La nature de cette relation fonctionnelle est précisée dans l’interprétation de la Norme 1110.
L’IFACI considère que la charte d’audit interne devra également définir le rattachement hiérarchique du
responsable de l'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le
rôle de l’audit interne dans le gouvernement d’entreprise recommande que « l’audit interne soit clairement
rattaché hiérarchiquement à la direction générale ».
Quel que soit son niveau de rattachement, le responsable de l’audit interne devra présenter le contenu de la
charte à la direction générale afin d’assurer la cohérence entre les responsabilités et les pouvoirs attribués à
l’audit interne. La prise de position IFA/IFACI préconise que le comité d’audit prenne connaissance des

documents formalisant l’organisation générale du service d’audit interne et en particulier la charte de l’audit
interne. L’indépendance est confirmée par l’approbation de ces documents par le Conseil.
La revue périodique de la charte garantit l’adéquation permanente de la capacité d’intervention de l’audit
interne avec les missions qui lui sont assignées.
1000.A1 – La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assu-
rance à l'extérieur de l'organisation, leur nature doit être également définie dans la
charte d'audit interne.
1000.C1 – La nature des missions de conseil doit être définie dans la charte d'audit
interne.
1010 – reconnaissance de la définition de l’audit interne, du Code de Déontologie

ainsi que des Normes dans la charte d'audit interne
Le caractère obligatoire de la définition de l’audit interne, du Code de Déontologie ainsi
que des Normes doit être reconnu dans la charte d'audit interne.
Le responsable de l’audit interne présente la définition de l’audit interne, le Code de Déon-
tologie ainsi que les Normes à la direction générale et au Conseil.
Commentaire IFACI
Lorsque le responsable de l’audit interne soumet la charte pour approbation à la direction générale et au Conseil (cf. Norme
1000), il présente en particulier la définition de l’audit interne, le Code de Déontologie et les Normes. Ces dispositions
obligatoires ont fait leur preuve dans les différents contextes où l’audit interne est pratiqué. Elles constituent le niveau
minimal de professionnalisme requis.
Commentaire IFACI
Une bonne connaissance du CRIPP est nécessaire pour donner du sens à la présentation qui est faite aux instances
dirigeantes. Elle permet d’illustrer, de façon pertinente, en quoi la réalisation des objectifs de l’organisation et sa
structuration permettent l’application des principes du CRIPP.

Dispositions
obligatoires
1100 – Indépendance et objectivité
L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec
objectivité.
Interprétation :
L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses responsa-
bilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsa-
bilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction
générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement. Les atteintes à
l’indépendance doivent être appréhendées à différents niveaux :
 au niveau de l’auditeur interne ;
 au niveau de la conduite de la mission ;
 au niveau de l’audit interne et de son positionnement dans l’organisation.
L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missions
de telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans le moindre compromis.
L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui
d’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité doivent être appré-
hendées au niveau de :
• l’auditeur interne ;
• la conduite de la mission ;
• l’audit interne et de son positionnement dans l’organisation.
Commentaire IFACI
L’indépendance de l’audit interne dépend également du rattachement hiérarchique de son responsable à la

direction générale et de sa capacité à communiquer avec le Conseil.
Au niveau individuel, l’absence de subordination au jugement d’autres personnes concerne en premier lieu les
opinions qui seraient formulées en dehors du service d’audit interne.
L’objectivité découle en partie de l’approche systématique et méthodique prévue dans la définition de l’audit
interne.

1110 – Indépendance dans l'organisation MPA 1110-1 :
Le responsable de l'audit interne doit relever d’un niveau hiérar- Indépendance dans
l’organisation
chique suffisant au sein de l’organisation pour permettre au service
d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer
au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organi-
sation.
Interprétation :
L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
 approuve la charte d’audit interne ;
 approuve le plan d’audit interne fondé sur l’approche par les risques ;
 soit destinataire des informations adressées par le responsable d’audit relatives à la réali-
sation du plan d’audit ou de tout autre sujet afférent à l’audit interne ;
 approuve les décisions liées à la nomination et à la révocation du responsable de l’audit
interne ;
 demande des informations pertinentes au management et au responsable de l’audit
interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
Commentaire IFACI
Comme souligné à propos de la Norme 1000, c’est le double rattachement de l’audit interne qui permet
d’asseoir son indépendance au sein de l’organisation.
Dans sa prise de position sur l’urbanisme du contrôle interne, l’IFACI recommande
• que l’audit interne soit rattaché au plus haut niveau de l’organisation afin de conforter l’objectivité de ses
démarches et affirmer l’indépendance dont il a besoin pour exercer ses activités ; que ce rattachement soit
situé idéalement au niveau de la direction générale, ultime responsable du contrôle interne comme de la
bonne marche des organisations ;
• qu’un lien étroit et continu soit établi avec le comité d’audit pour :
- permettre à ce dernier de bénéficier d’une vision de synthèse sur le dispositif de contrôle interne et
obtenir des réponses directes et précises sur certains de ses éléments clés ;
- garantir l’indépendance de l’audit interne.
Pour démontrer l’indépendance de l’audit interne, il convient notamment de prendre en considération les
éléments figurant dans la MPA 1130-1.
Si le comité d’audit n’existe pas ou s’il n’est pas chargé de suivre les questions relatives à la gestion des risques,
au contrôle interne ou à l’audit interne, un rattachement fonctionnel au président non exécutif du Conseil est
recommandé.

Dispositions
obligatoires
Il est souhaitable que les responsabilités du Conseil à l’égard de l’audit soient formalisées. Les éléments de
l’interprétation pourront être utilisés à cet effet et être complétés par d’autres bonnes pratiques
professionnelles. Par exemple, le comité d’audit est tenu informé, le cas échéant :
• des zones de risques non couvertes que l’audit interne a lui-même identifiées ;
• de la réalisation des missions non planifiées, y compris les demandes de la direction générale ;
• des changements de périmètre de certaines missions ou des reports ;
• de la participation des auditeurs ou du responsable de l’audit interne à des projets ou à des travaux
connexes ;
• du suivi de la mise en œuvre des recommandations, etc.
1110.A1 – L'audit interne ne doit subir aucune ingérence lors de la définition de

son champ d'intervention, de la réalisation du travail et de la communication des
résultats.
1111 – relation directe avec le Conseil MPA 1111-1 :

Relation avec le conseil
Le responsable de l’audit interne doit pouvoir communiquer et
dialoguer directement avec le Conseil.
Commentaire IFACI
Le responsable de l’audit interne doit instaurer des relations régulières avec le Conseil ou ses comités spécialisés. Il organise
une communication adaptée aux besoins de ces instances et aux exigences de sa mission. Il démontre, notamment lors de
réunions d’échanges directes, la contribution de l’audit interne à l’exercice de leur responsabilité.
1120 – objectivité individuelle MPA 1120-1 :

Objectivité individuelle
Les auditeurs internes doivent avoir une attitude impartiale et
dépourvue de préjugés, et éviter tout conflit d'intérêt.
Interprétation :
Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit
d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses
devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités
de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique ou
malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer la
confiance en l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt peut
compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités de
manière objective.

1130 – Atteinte à l'indépendance ou à l'objectivité
MPA 1130-1 : Atteintes
Si l'indépendance ou l'objectivité des auditeurs internes sont à l’indépendance ou à
compromises dans les faits ou même en apparence, les parties l’objectivité
concernées doivent en être informées de manière précise. La forme
de cette communication dépendra de la nature de l'atteinte à l'indépendance.
Interprétation :
Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent
figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limita-
tions financières.
L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-
dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans
la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit
interne, et d’autre part de la nature de cette atteinte.
Commentaire IFACI
La mise en œuvre de cette Norme doit s’appuyer sur la charte d’audit interne et le Code de Déontologie.
1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer

MPA 1130.A1-1 : Audit
des opérations particulières dont ils étaient auparavant des opérations dont
responsables. L'objectivité d'un auditeur interne est présu- les auditeurs internes
mée altérée lorsqu'il réalise une mission d'assurance pour ont été auparavant
responsables
une activité dont il a eu la responsabilité au cours de l'année
précédente.
1130.A2 – Les missions d'assurance concernant des fonc- MPA 1130.A2-1 :

tions dont le responsable de l'audit a la charge doivent être Responsabilités
exercées par l’audit
supervisées par une personne ne relevant pas de l'audit interne au titre
interne. d’autres fonctions
1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de
conseil liées à des opérations dont ils ont été auparavant responsables.
1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont suscepti-

bles d'être compromises lors des missions de conseil qui leur sont proposées, ils
doivent en informer le client donneur d'ordre avant de les accepter.

Dispositions
obligatoires
1200 – Compétence et conscience professionnelle MPA 1200-1 :

Compétence et
conscience
Les missions doivent être conduites avec compétence et conscience professionnelle
professionnelle.
1210 – Compétence MPA 1210-1 :

Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-
faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles.
L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le
savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.
Commentaire IFACI
La connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique. Pour une pratique
professionnelle de l’audit interne il faut également mobiliser d’autres compétences en termes de savoir-être et de savoir-
faire (connaissance des métiers de l’organisation, de sa culture…), ce qui permet de renforcer l’objectivité et
l’indépendance des auditeurs internes.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée
pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés
à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles
appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou par
d’autres organisations professionnelles appropriées.
Commentaire IFACI
L’IFACI a développé le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur les compétences fondamentales (les
bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils et techniques d’audit, la
communication orale, communication écrite, système d’information, finance et comptabilité,…) de l’auditeur interne et
atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome et professionnelle, en
s’appuyant sur la démarche préconisée par les Normes.
1210.A1 – Le responsable de l'audit interne doit obtenir MPA 1210.A1-1 :

l'avis et l'assistance de personnes qualifiées si les auditeurs Recours à des
internes ne possèdent pas les connaissances, le savoir-faire prestataires externes
et les autres compétences nécessaires pour s'acquitter de
tout ou partie de leur mission.

1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantes
pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation.
Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la respon-
sabilité première est la détection et l'investigation des fraudes.
Commentaire IFACI
La nouvelle formulation est plus cohérente avec le rôle de l’audit interne en ce qui concerne le management des risques. La
Norme n’exige plus des connaissances pour identifier les indices de fraude et distingue ainsi l’auditeur interne d’un
spécialiste de l’investigation de fraude.
L’évolution figurant dans cette Norme doit être corrélée avec la nouvelle version des Normes 1220.A1 et 2060 et
l’introduction de la nouvelle Norme 2120. A2.
1210.A3 – Les auditeurs internes doivent posséder une connaissance suffisante des
principaux risques et contrôles relatifs aux technologies de l'information, et des tech-
niques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des
travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas
censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit
informatique.
1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseil

ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne
possèdent pas les connaissances, le savoir-faire et les autres compétences néces-
saires pour s'acquitter de tout ou partie de la mission.
Commentaire IFACI
Chaque auditeur pris individuellement n’a pas besoin d’avoir toutes les connaissances nécessaires à la conduite de la
mission. Ces compétences doivent être disponibles collectivement. Qu’il s’agisse de mission d’assurance ou de conseil, c’est
au responsable d’audit interne de veiller à ce que la constitution de l’équipe soit cohérente avec les objectifs de la mission.
1220 – Conscience professionnelle

MPA 1220-1 :
Les auditeurs internes doivent apporter à leur travail la diligence et Conscience
professionnelle
le savoir-faire que l'on peut attendre d'un auditeur interne raison-
nablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibi-
lité.
1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments suivants :
 l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;

Dispositions
obligatoires
 la complexité relative, la matérialité ou le caractère significatif des domaines

auxquels sont appliquées les procédures propres aux missions d'assurance ;
 l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de
management des risques et de contrôle ;
 la probabilité d'erreurs significatives, de fraudes ou de non-conformité;
 le coût de la mise en place des contrôles par rapport aux avantages escomp-
tés.
1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur

interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse
des données.
1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard
des risques significatifs susceptibles d'affecter les objectifs, les opérations ou les
ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées
avec la conscience professionnelle requise, ne garantissent pas que tous les risques
significatifs seront détectés.
1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute
leur conscience professionnelle, en prenant en considération les éléments suivants :
 les besoins et attentes des clients, y compris sur la nature, le calendrier et la
communication des résultats de la mission ;
 la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les
objectifs fixés ;
 son coût par rapport aux avantages escomptés.
1230 – Formation professionnelle continue MPA 1230-1 :

Formation
Les auditeurs internes doivent améliorer leurs connaissances, savoir- professionnelle
faire et autres compétences par une formation professionnelle continue
continue.
Commentaire IFACI
La valeur créée par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes.
Le développement et le maintien des compétences doivent être une priorité et faire l'objet de toute l'attention nécessaire.

1300 – Programme d'assurance et d'amélioration MPA 1300-1 :
qualité Programme
d’assurance et
d’amélioration qualité
Le responsable de l'audit interne doit élaborer et tenir à jour un programme
d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne.
Interprétation :
Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :
 la conformité de l’audit interne avec la définition de l’audit interne et les Normes ;
 le respect du Code de Déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes opportunités d’amélioration.
1310 – Exigences du programme d'assurance et d'améliora- MPA 1310-1 :

tion qualité Exigences du
programme
Le programme d'assurance et d'amélioration qualité doit comporter d’assurance et
des évaluations tant internes qu’externes. d’amélioration qualité
1311 – Évaluations internes MPA 1311-1 :

Evaluations internes
Les évaluations internes doivent comporter :
 une surveillance continue de la performance de l'audit interne ;
 des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes
de l'organisation possédant une connaissance suffisante des pratiques d'audit
interne.
Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi
de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques
courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-
mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition
de l’audit interne, au Code de Déontologie et aux Normes.
Les revues périodiques sont conduites pour évaluer également la conformité du service d’audit
interne à la définition de l’audit interne au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de
l’ensemble des éléments du cadre de référence international des pratiques professionnelles.

Dispositions
obligatoires
1312 – Évaluations externes MPA 1312-1 :

Evaluations externes
Des évaluations externes doivent être réalisées au moins tous les
cinq ans par un évaluateur ou une équipe qualifiés, indépendants MPA 1312-2 :
et extérieurs à l'organisation. Le responsable de l'audit interne doit Evaluations externes :
auto-évaluation avec
s'entretenir avec le Conseil au sujet : validation
 du besoin d'augmenter la fréquence de ces évaluations indépendante
externes ;
MPA 1312-3 :
 des qualifications de l'évaluateur ou de l'équipe d'évaluation Certification des
externes ainsi que de leur indépendance y compris au regard directions d’audit
de tout conflit d'intérêt potentiel. interne
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe.
Ces compétences peuvent être démontrées à travers une combinaison d’expériences profes-
sionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou
d’industrie, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si
un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir
mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation
dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou
apparent.
Commentaire IFACI
Le principe d’une évaluation externe témoigne de la capacité de l’audit interne à ne pas s’exonérer de ses
propres exigences professionnelles.
La direction générale devrait être préalablement informée des éléments de l’entretien avec le Conseil.
Une évaluation externe plus fréquente, par exemple triennale comme c’est le cas avec la certification IFACI,
peut être envisagée en fonction de l’organisation de l’audit interne, de sa maturité et de l’évolution de son
environnement (taux de rotation des auditeurs internes, résultats des précédentes évaluations externes,
profil des risques, etc.).
Des éléments complémentaires concernant la qualification des évaluateurs externes sont disponibles au §7
de la MPA 1312-1 « Evaluations externes » et au §5 de la MPA 1312-3 « Certification des directions d’audit
interne ».

1320 – rapports relatifs au programme d'assurance et d'amélioration qualité
Le responsable de l'audit interne doit communiquer les résultats du programme d'assu-
rance et d'amélioration qualité à la direction générale ainsi qu’au Conseil.
Commentaire IFACI
La conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes nécessite une déclinaison concrète de
ces principes dans les procédures du service d’audit interne qui faciliteront leur appropriation par les auditeurs. L’utilisation
du Référentiel Professionnel de l’Audit Interne (RPAI) développé par IFACI Certification peut aider à mettre en œuvre le
Programme d’assurance et d’amélioration qualité.
Interprétation :
La forme, le contenu ainsi que la fréquence des communications relatives aux résultats du
programme d'assurance et d'amélioration qualité sont définies lors de discussions avec la direction
générale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de celles du respon-
sable de l’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformité
à la définition de l’audit interne, au Code de Déontologie et aux Normes, les résultats des évaluations
internes périodiques et des évaluations externes doivent être communiqués dès l’achèvement de ces
évaluations. Les résultats de la surveillance continue sont quant à eux communiqués au moins une
fois par an. Ces résultats incluent l’appréciation des évaluateurs sur le degré de conformité de l’activité
d’audit interne.
1321 – utilisation de la mention « conforme aux Normes inter- MPA 1321-1 :

nationales pour la pratique professionnelle de l’audit interne » Utilisation de la
mention « conforme
Le responsable de l’audit interne peut indiquer que l’activité d’audit aux Normes
interne est conduite conformément aux Normes internationales internationales pour la
pratique
pour la pratique professionnelle de l'audit interne seulement si, les professionnelle de
résultats du programme d'assurance et d'amélioration qualité l’ont l’audit interne »
démontré.
Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de
la Définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de résul-
tats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté
disposeront également des résultats de leurs évaluations externes.

Dispositions
obligatoires
Commentaire IFACI
Quelle que soit l’ancienneté du service, les résultats d’une évaluation externe sont indispensables pour
pouvoir utiliser cette mention. En effet, la Norme 1310 précise que « le programme d’assurance et
d’amélioration qualité doit comporter des évaluations tant internes qu’externes ». Comme indiqué dans le §3
de la MPA 1321-1 « l’emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a pas
démontré que l’audit interne fonctionne en conformité avec la définition de l’audit interne, le Code de
déontologie et les Normes ». La mise en œuvre de cette Norme doit être cohérente avec la Norme 1322.
Ces indications de conformité ou de non-conformité au niveau du service sont déclinées pour les missions avec
les Normes 2430 et 2431.
1322 – Indication de non-conformité

Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne,
le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention
ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer
la direction générale et le Conseil de cette non-conformité et de ses conséquences.
Commentaire IFACI
L’indication de non-conformité ne se limite pas au positionnement de l’audit interne ou à son pilotage, cette déclaration
concerne l’ensemble du processus d’audit :
• les activités transversales telles que l’élaboration de procédures, la gestion des ressources, la coordination avec les
autres acteurs du contrôle ou la communication ;
• le cœur du métier avec la planification, la réalisation des missions et le suivi des recommandations.
La mise en œuvre de cette Norme doit être cohérente avec la Norme 2431. Plusieurs non-conformités lors des missions
devraient poser la question de la conformité de l’activité d’audit interne.

Dispositions
obligatoires
Normes de fonctionnement
NormES DE FoNCtIoNNEmENt

Dispositions
obligatoires
Normes de Fonctionnement
2000 – gestion de l'audit interne
Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle
apporte une valeur ajoutée à l’organisation.
Interprétation :
L’activité d’audit interne est gérée efficacement quand :
 les résultats des travaux de l’audit interne répondent aux objectifs et responsabilités définis
dans la charte d’audit interne ;
 l’audit interne est exercé conformément à la définition de l’audit interne et aux Normes ;
 les membres de l’équipe d’audit agissent en respectant le Code de Déontologie et les Normes.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience
ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management des risques
et de contrôle interne.
MPA 2010-1 :
La prise en compte des
2010 – Planification risques et des menaces
pour l’élaboration du
Le responsable de l'audit interne doit établir une planification plan d’audit
fondée sur les risques afin de définir des priorités cohérentes avec
MPA 2010-2 :
les objectifs de l'organisation. Prise en compte du
management des
Interprétation : risques dans la
planification de l’audit
Il incombe au responsable de l’audit interne de développer un plan d’audit interne
fondé sur les risques. Pour ce faire, le responsable de l’audit interne prend en
compte le système de management des risques défini au sein de l’organisation, il tient notamment
compte de l’appétence pour le risque définie par le management pour les différentes activités ou
branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de
l’audit interne doit se baser sur sa propre analyse des risques après consultation de la direction géné-
rale et du Conseil.
Commentaire IFACI
Le système de management des risques est l’un des éléments à prendre en considération pour l’établissement de l’ordre de
priorités des missions. Au préalable, le responsable de l’audit interne doit évaluer l’efficacité du processus de management
des risques de l’organisation pour s’assurer que le périmètre de ce processus recouvre l’univers d’audit et que les
informations fournies sont fiables et utiles pour l’analyse des risques qu’il réalise.
Par ailleurs, le responsable de l’audit interne prend en compte d’autres données :
• la date et les résultats des précédentes missions ;

• les demandes de la direction générale, du comité d’audit et d’autres organes de direction ;
• les changements importants intervenus (ou envisagés) dans les processus et les activités de l’organisation ;
• la composition de l’équipe d’audit interne, ses compétences et les modifications envisagées au niveau des
ressources…
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue de la direction
générale et du Conseil doivent être pris en compte dans ce processus.
Commentaire IFACI
Le plan d’audit ne doit pas résulter d’un simple recensement des activités et des entités de l’organisation.
Le responsable de l’audit interne doit avoir une approche méthodique fondée sur des informations factuelles pour définir le
contour des missions et hiérarchiser les différents sujets. Il veille à conserver la trace des éléments qui ont permis d’aboutir
aux priorités qu’il définit.
2010.A2 – Le responsable de l’audit interne doit identifier et prendre en consi-

Nouveau dération les attentes de la direction générale, du Conseil et des autres parties
prenantes concernant les opinions et d’autres conclusions de l’audit interne.
2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit

interne, avant de l'accepter, devrait considérer dans quelle mesure elle est suscep-
tible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonc-
tionnement de l'organisation. Les missions de conseil qui ont été acceptées doivent
être intégrées dans le plan d'audit.
2020 – Communication et approbation MPA 2020-1 :

Communication et
Le responsable de l'audit interne doit communiquer à la direction approbation
générale et au Conseil son plan d'audit et ses besoins, pour examen
et approbation, ainsi que tout changement important susceptible d'intervenir en cours
d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limi-
tation de ses ressources.
2030 – gestion des ressources MPA 2030-1 :

Gestion des ressources
Le responsable de l'audit interne doit veiller à ce que les ressources
affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière effi-
cace pour réaliser le plan d'audit approuvé.

Dispositions
obligatoires
Interprétation :
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-
tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité
de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-
cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
2040 – règles et procédures MPA 2040-1 :

Règles et procédures
Le responsable de l'audit interne doit établir des règles et procé-
dures fournissant un cadre à l'activité d'audit interne.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré
l’audit interne et de la complexité de ses travaux.
Commentaire IFACI
La complexité des travaux dépend du contexte de la mission (environnement plus ou moins stable, activités récurrentes ou
non, caractère transverse, novateur…). Elle peut également varier en fonction de la qualité du dispositif de contrôle
interne sous-jacent, du niveau de détail des tests envisagés, de la technicité des opérations auditées...
MPA 2050-1 :
2050 – Coordination Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles
MPA 2050-2 :
emplois, le responsable de l'audit interne devrait partager des infor- Cartographie des
mations et coordonner les activités avec les autres prestataires services donnant une
assurance sur les
internes et externes d'assurance et de conseil. dispositifs de contrôle
et de management des
Commentaire IFACI risques
La coordination des acteurs permet une couverture efficiente des risques de l’organisation. MPA 2050-3 : Relying
En ayant un rôle actif dans cette concertation, le responsable d’audit interne se donne les on the Work of Other
Assurance Providers
moyens de mieux atteindre les objectifs qui lui sont assignés.
MPA 2060-1 : Rapports

2060 – rapports à la direction générale et au Conseil à la direction générale
et au conseil
Le responsable de l'audit interne doit rendre compte périodique-
ment à la direction générale et au Conseil des missions, des pouvoirs et des responsabilités
de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particuliè-
rement rendre compte :
 de l’exposition aux risques significatifs (y compris des risques de fraude) et des
contrôles correspondants ;

 des sujets relatifs au gouvernement d’entreprise et ;
 de tout autre problème répondant à un besoin ou à une demande de la direction
générale ou du Conseil.
Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction géné-
rale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence des
actions correctives devant être entreprises par la direction générale et le Conseil.
Nouveau 2070 – responsabilité de l’organisation en cas de recours à un prestataire externe

pour ses activités d’audit interne
Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce
dernier doit alerter l’organisation qu’elle reste responsable du maintien d’un audit
interne efficace.
Interprétation :
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité,
lequel évalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les
Normes.
Commentaire IFACI
Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit
interne est la personne, qui au sein de l’organisation à comme mission principale la surveillance de
l'exécution du contrat de services et de la qualité de ces activités. Il rend compte à la direction générale et au
Conseil des activités d'audit interne.
Si les activités d’audit interne sont totalement externalisées, il convient d’être particulièrement vigilant sur
les risques d’atteinte à l’indépendance ou à l’objectivité (cf. Normes 1110, 1120 et 1130).
2100 – Nature du travail
L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique
et méthodique.

Dispositions
obligatoires
Commentaire IFACI
Le service d’audit élabore sa propre méthode d’évaluation des processus de gouvernement d’entreprise, de management
des risques et de contrôle en utilisant des bonnes pratiques identifiées dans le Cadre de Référence International des
Pratiques Professionnelles de l’audit interne (en particulier les Modalités Pratiques d’Application, les guides d’application et
les prises de position), les publications de l’IFACI (cahiers de la recherche, actes de colloques…), les échanges avec les pairs,
la veille…
Le processus de contrôle vise l’ensemble du dispositif de contrôle interne. Il ne faut pas le restreindre aux procédures ou aux
activités de contrôle, mais également prendre en compte l’organisation, le pilotage et la surveillance du processus qui se
fondent sur une approche par les risques et une diffusion fiable de l’information.
2110 – gouvernement d'entreprise MPA 2110-1 :

Gouvernement
L'audit interne doit évaluer le processus de gouvernement d'entre- d’entreprise :
Définition
prise et formuler des recommandations appropriées en vue de son
amélioration. À cet effet, il détermine si le processus répond aux MPA 2110-2 :
objectifs suivants : Gouvernement
d’entreprise : Relations
 promouvoir des règles d'éthique et des valeurs appropriées avec les risques et le
au sein de l'organisation ; contrôle interne
 garantir une gestion efficace des performances de l'organi- MPA 2110-3 :
sation, assortie d'une obligation de rendre compte ; Gouvernement
 communiquer aux services concernés de l'organisation les d’entreprise :
Evaluations
informations relatives aux risques et aux contrôles ;
 fournir une information adéquate au Conseil, aux auditeurs internes et externes et
au management, et assurer une coordination de leurs activités.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Norme.
2110.A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité

des objectifs, des programmes et des activités de l'organisation liés à l'éthique.
2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information

de l’organisation soutient la stratégie et les objectifs de l’organisation.
Commentaire IFACI
Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En
effet, les systèmes d’information doivent supporter les objectifs actuels et futurs de l’organisation et
contribuer à la qualité du contrôle interne (gestion du portefeuille des investissements IT, maîtrise de la
fiabilité et de la disponibilité des informations, etc.).

L’audit interne s’appuiera sur des référentiels professionnels pour évaluer la gouvernance des systèmes
d’information (L’IFACI, l’AFAI et le CIGREF prévoient une publication sur ce sujet en juin 2011).
2120 – management des risques MPA 2120-1 :

Evaluer la pertinence
L'audit interne doit évaluer l’efficacité des processus de manage- des processus de
ment des risques et contribuer à leur amélioration. management des
risques
Interprétation : MPA 2120-2 :
Afin de déterminer si les processus de management des risques sont effi- Gestion du risque lié à
l’activité d’audit
caces, les auditeurs internes doivent s’assurer que : interne
 les objectifs de l’organisation sont cohérents avec sa mission et y
contribuent ;
 les risques significatifs sont identifiés et évalués ;
 les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-
pétence pour le risque de l’organisation ;
 les informations relatives aux risques sont recensées et communiquées en temps opportun au
sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exer-
cer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de diffé-
rentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension du processus
de management des risques de l’organisation et de son efficacité.
Les processus de management des risques sont surveillés par des activités de gestion permanente,
par des évaluations spécifiques ou par ces deux moyens.
Commentaire IFACI
Afin d’évaluer l’efficacité des processus de management des risques de son organisation, l’audit interne
s’appuie utilement sur des référentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework
ou l’ISO 31000, et tient compte de la Recommandation de l'Autorité des Marchés Financiers (AMF) sur « Les
dispositifs de gestion des risques et de contrôle interne : Cadre de Référence » (juillet 2010).
2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'en-
treprise, aux opérations et aux systèmes d'information de l'organisation au regard
de :
 la fiabilité et l'intégrité des informations financières et opérationnelles ;
 l'efficacité et l'efficience des opérations et des programmes ;
 la protection des actifs ;
 le respect des lois, règlements, règles, procédures et contrats.

Dispositions
obligatoires
2120.A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont ce

risque est géré par l’organisation.
Commentaire IFACI
L’évaluation de la possibilité d’occurrence de fraude nécessite la vérification de la qualité de l’environnement de contrôle, de

la bonne gestion des aspects éthiques et de l’existence d’une culture d’exemplarité.
Néanmoins, il ne faut pas oublier qu’une situation à faible probabilité d’occurrence peut avoir des conséquences
dramatiques si elle ne se réalise pas. Même si cela n’est pas toujours évident, l’auditeur interne doit également essayer
de répondre à la question du caractère significatif (cf. glossaire) du risque de fraude.
Commentaire IFACI
Sans forcément attendre la planification d’une mission spécifique sur le risque de fraude, les auditeurs internes doivent, lors
de leurs missions habituelles, avoir une forte sensibilité sur les problèmes de fraude.
2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir
les risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de l’existence
de tout autre risque susceptible d’être significatif.
2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques
acquises lors de missions de conseil pour évaluer les processus de management
des risques de l'organisation.
2120.C3 – Lorsque les auditeurs internes aident le management dans la conception

et l’amélioration des processus de management des risques, ils doivent s’abstenir
d’assumer une responsabilité opérationnelle en la matière.
MPA 2130-1 :
2130 – Contrôle Evaluer les pertinence
des processus contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de
contrôle approprié en évaluant son efficacité et son efficience et en encourageant son
amélioration continue.
Commentaire IFACI
Le dispositif de contrôle s’entend au sens large de contrôle interne. Il ne se limite pas aux activités de contrôle (cf.
commentaire de la Norme 2100).

2130.A1 – L'audit interne doit évaluer la pertinence et l'effi- MPA 2130.A1-1 :
cacité du dispositif de contrôle choisi pour faire face aux Fiabilité et intégrité de
risques relatifs au gouvernement d'entreprise, aux opérations l’information
et systèmes d'information de l'organisation. Cette évaluation
MPA 2130.A1-2 :
doit porter sur les aspects suivants : L’évaluation du
 la fiabilité et l'intégrité des informations financières et dispositif mis en place
par l’organisation pour
opérationnelles ; protéger la vie privée
 l'efficacité et l'efficience des opérations et des
programmes ;
2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs
de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de
contrôle de l’organisation.
MPA 2200-1 :
Planification de la
mission
2200 – Planification de la mission
MPA 2200-2 :
Utilisation d’une
Les auditeurs internes doivent concevoir et documenter un plan pour approche « Top-
chaque mission. Ce plan de mission précise les objectifs, le champ d'inter- Down », fondée sur les
vention, la date et la durée de la mission, ainsi que les ressources allouées. risques, pour identifier
les contrôles à évaluer
dans le cadre d’une
mission d’audit interne
2201 – Considérations relatives à la planification
Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
 les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ;
 les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et
ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du
risque est maintenu à un niveau acceptable ;
 la pertinence et l'efficacité des processus de management des risques et de contrôle
de l'activité, en référence à un cadre ou modèle de contrôle approprié ;
 les opportunités d'améliorer de manière significative les processus de management
des risques et de contrôle de l'activité.
2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation,
les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et
le champ de la mission, les responsabilités et les attentes respectives, et préciser les
restrictions à observer en matière de diffusion des résultats de la mission et d'accès
aux dossiers.

Dispositions
obligatoires
2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un
accord sur les objectifs et le champ de la mission de conseil, les responsabilités de
chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les
missions importantes, cet accord doit être formalisé.
MPA 2210-1 :
2210 – objectifs de la mission Objectifs de la mission
Les objectifs doivent être précisés pour chaque mission.
2210.A1 – L'auditeur interne doit procéder à une évaluation MPA 2210.A1-1 :

préliminaire des risques liés à l'activité soumise à l'audit. Les Evaluation des risques
dans la planification
objectifs de la mission doivent être déterminés en fonction de la mission
des résultats de cette évaluation.
2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent

tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de
fraudes ou de non-conformité et d’autres risques importants.
2210.A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif de

contrôle. Les auditeurs internes doivent déterminer dans quelle mesure le mana-
gement a défini des critères adéquats pour apprécier si les objectifs et les buts ont
été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser
dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler
avec le management pour élaborer des critères d'évaluation appropriés.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus
de gouvernement d'entreprise, de management des risques et de contrôle dans la
limite convenue avec le client.
2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec les
valeurs, la stratégie et les objectifs de l'organisation.
2220 – Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission.
2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le

personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle
de tiers.

2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes
opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser
les objectifs et le champ de la mission de conseil, les responsabilités et les attentes
respectives. Les résultats de la mission de conseil sont communiqués conformément
aux Normes applicables à ces missions.
2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes
doivent s'assurer que le champ d'intervention permet de répondre aux objectifs
convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur
ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider
s'il y a lieu de poursuivre la mission.
2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examiner
les dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'exis-
tence de tout problème de contrôle significatif.
MPA 2230-1 :
2230 – ressources affectées à la mission Ressources affectées à
la mission
Les auditeurs internes doivent déterminer les ressources appro-
priées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évalua-
tion de la nature et de la complexité de chaque mission, des contraintes de temps et des
ressources disponibles.
MPA 2240-1 :
2240 – Programme de travail de la mission Programme de travail
de la mission
Les auditeurs internes doivent élaborer et documenter un
programme de travail permettant d'atteindre les objectifs de la mission.
2240.A1 – Le programme de travail doit faire référence aux procédures à appliquer

pour identifier, analyser, évaluer et documenter les informations lors de la mission.
Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajuste-
ments éventuels doivent être approuvés rapidement.
2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans sa

forme et son contenu, selon la nature de la mission.

Dispositions
obligatoires
MPA 2300-1 :
2300 – Accomplissement de la mission Utilisation
d’informations à
caractère personnel
Les auditeurs internes doivent identifier, analyser, évaluer et documenter dans la conduite d’une
les informations nécessaires pour atteindre les objectifs de la mission. mission
2310 – Identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et
utiles pour atteindre les objectifs de la mission.
Interprétation :
Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudente
et informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est une
information concluante et facilement accessible par l’utilisation de techniques d’audit appropriées.
Une information pertinente conforte les constatations et recommandations de l’audit, et répond
aux objectifs de la mission. Une information utile aide l’organisation à atteindre ses objectifs.
Commentaire IFACI
Pour définir la fiabilité d’une information, l'interprétation met l’accent sur son accessibilité. En effet, une information
difficilement accessible est une information qu'il va falloir reconstituer à partir de calculs, d'algorithmes ou d’autres
raisonnements reposant souvent sur des hypothèses, d'où une grande difficulté à évaluer une information de ce type sur
des critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches.
Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilité
en s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité de la source d’information.
2320 – Analyse et évaluation MPA 2320-1 :

Procédures analytiques
Les auditeurs internes doivent fonder leurs conclusions et les résul-
tats de leur mission sur des analyses et évaluations appropriées.
MPA 2330-1 :
2330 – Documentation des informations Documentation des
informations
Les auditeurs internes doivent documenter les informations perti-
nentes pour étayer les conclusions et les résultats de la mission.
MPA 2330.A1-1 :
Contrôle des dossiers
2330.A1 – Le responsable de l'audit interne doit contrôler d’audit
l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir
l'accord de la direction générale et/ou l'avis d'un juriste avant MPA 2330.A1-2 :
Autorisation d’accès
de communiquer ces dossiers à des parties extérieures. aux dossiers de la
mission

2330.A2 – Le responsable de l'audit interne doit arrêter des MPA 2330.A2-1 :
règles en matière de conservation des dossiers de la mission Conservation des
et ce, quelque soit le support d’archivage utilisé. Ces règles dossiers
doivent être cohérentes avec les orientations définies par l'or-
ganisation et avec toute exigence réglementaire ou autre.
2330.C1 – Le responsable de l'audit interne doit définir des procédures concernant

la protection et la conservation des dossiers de la mission de conseil ainsi que leur
diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être
cohérentes avec les orientations définies par l'organisation et avec toute exigence
réglementaire ou autre appropriée.
MPA 2340-1 :
2340 – Supervision de la mission Supervision de la
mission
Les missions doivent faire l'objet d'une supervision appropriée afin
de garantir que les objectifs sont atteints, la qualité assurée et le développement profes-
sionnel du personnel effectué.
Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,
ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité
de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,
mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compé-
tence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentée
et conservée dans les papiers de travail.
MPA 2400-1 :
2400 – Communication des résultats Aspects légaux de la
communication des
résultats
Les auditeurs internes doivent communiquer les résultats de la mission.
MPA 2410-1 :
2410 – Contenu de la communication Contenu de la
communication
La communication doit inclure les objectifs et le champ de la
mission, ainsi que les conclusions, recommandations et plans d'actions.
2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu,

contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu’une
opinion ou une conclusion sont émises, elles doivent prendre en compte les

Dispositions
obligatoires
attentes de la direction générale, du Conseil et des autres parties prenantes. Elles

doivent également s’appuyer sur une information suffisante, fiable, pertinente
et utile.
Interprétation :
Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation,
de conclusions ou de toute autre description des résultats.
Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opéra-
tionnelle spécifique. La formulation de ces opinions exige de prendre en compte les résultats
de la mission et leur caractère significatif.
Commentaire IFACI
L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».
Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion
d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir
son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent
de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la
conception et le fonctionnement de ces activités de contrôle.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,
lors de la communication des résultats de la mission.
2410.A3 – Lorsque les résultats de la mission sont communiqués à des destinataires

ne faisant pas partie de l'organisation, les documents communiqués doivent préci-
ser les restrictions à observer en matière de diffusion et d'exploitation des résultats.
2410.C1 – La communication sur l'avancement et les résultats d'une mission de

conseil variera dans sa forme et son contenu en fonction de la nature de la mission
et des besoins du client donneur d'ordre.
MPA 2420-1 :
2420 – qualité de la communication Qualité de la
communication
La communication doit être exacte, objective, claire, concise,
constructive, complète et émise en temps utile.
Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits sous-
jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation

équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est faci-
lement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et
fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel
et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une
communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles
sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles.
Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant
d’étayer les recommandations et conclusions. Une communication émise en temps utile est oppor-
tune et à propos, elle permet au management de prendre les actions correctives appropriées en fonc-
tion du caractère significatif de la problématique.
2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le respon-
sable de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires
de la version initiale.
2430 – utilisation de la mention « conduit conformément aux Normes internatio-

nales pour la pratique professionnelle de l’audit interne »
Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont
« conduites conformément aux Normes internationales pour la pratique professionnelle
de l’audit interne » seulement si les résultats du programme d’assurance et d’amélioration
qualité le démontrent.
Commentaire IFACI
Même si la mention de la conformité concerne une mission, les auditeurs internes devront au préalable s’assurer de la
conformité de l’ensemble de l’activité d’audit interne.
2431 – Indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie
ou aux Normes, la communication des résultats doit indiquer :
 les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec
lesquelles la mission n’a pas été en conformité ;
 la ou les raisons de la non-conformité ;
 l'incidence de la non-conformité sur la mission et sur les résultats communiqués.

Dispositions
obligatoires
Commentaire IFACI
Cette version, proposée en 2009, met l’accent sur le respect du Code de Déontologie. Le responsable d’audit interne doit
encourager l’instauration d’échanges réguliers avec les auditeurs internes pour qu’ils puissent exprimer les risques de non-
conformité pendant le déroulement de la mission.
2440 – Diffusion des résultats MPA 2440-1 : Diffusion

des résultats de la
Le responsable de l'audit interne doit diffuser les résultats aux desti- mission
nataires appropriés.
MPA 2440-2 :
Communication
Interprétation : d’informations
sensibles dans ou en
Le responsable de l'audit interne ou son délégué revoient et approuvent le dehors de la ligne
rapport définitif avant qu’il ne soit émis, et décident à qui et de quelle hiérarchique
manière il sera diffusé.
2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résul-

tats définitifs aux destinataires à même de garantir que ces résultats recevront l'at-
tention nécessaire.
MPA 2440.A2-1 :
2440-A2 – Sauf indication contraire de la loi, de la réglemen- Diffusion des résultats
tation ou des statuts, le responsable de l'audit doit accomplir d’audit en dehors de
l’organisation
les tâches suivantes avant de diffuser les résultats à des desti-
nataires ne faisant pas partie de l'organisation :
 évaluer les risques potentiels pour l'organisation ;
 consulter la direction générale et/ou, selon les cas, un conseil juridique ;
 maîtriser la diffusion en imposant des restrictions quant à l'utilisation des
résultats.
2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résul-

tats définitifs des missions de conseil à son client donneur d'ordre.
2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes rela-
tifs aux processus de gouvernement d'entreprise, de management des risques et
de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour
l'organisation, ils doivent être communiqués à la direction générale et au Conseil.

Nouveau 2450 – les opinions globales
Lorsqu’une opinion globale est émise, elle doit prendre en compte les attentes de la
direction générale, du Conseil et des autres parties prenantes. Elle doit également s’ap-
puyer sur une information suffisante, fiable, pertinente et utile.
Interprétation :
La communication précisera :
 le périmètre, y compris la période concernée par l’opinion ;
 les limitations de périmètre ;
 le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services
donnant une assurance sur la maîtrise des activités ;
 le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler
l’opinion globale ;
 l’opinion globale, l’avis ou la conclusion donnée.
Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.
Commentaire IFACI
L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ».
Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion
d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir
son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent
de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la
conception et le fonctionnement de ces activités de contrôle.
MPA 2500-1 :
2500 – Surveillance des actions de progrès Surveillance des
actions de progrès
Le responsable de l'audit interne doit mettre en place et tenir à jour un
système permettant de surveiller la suite donnée aux résultats communiqués au management.
2500-A1 – Le responsable de l'audit interne doit mettre en MPA 2500.A1-1 :

place un processus de suivi permettant de surveiller et de Processus de suivi de
la mission
garantir que des mesures ont été effectivement mises en
œuvre par le management ou que la direction générale a accepté de prendre le
risque de ne rien faire.

Dispositions
obligatoires
2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions
de conseil conformément à l'accord passé avec le client donneur d'ordre.
2600 – Acceptation des risques par la direction générale
Lorsque le responsable de l'audit interne estime que la direction générale a accepté un niveau de
risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question
avec elle. Si aucune décision concernant le risque résiduel n’est prise, le responsable de l’audit
interne doit soumettre la question au Conseil aux fins de résolution.
Commentaire IFACI
Cette Norme devra être appliquée avec sagesse et prudence. Sa mise en œuvre devrait être facilitée si le responsable de
l’audit interne entretient une relation forte et suivie avec le comité d’audit interne et son Président. Mais les règles du jeu
devront être très claires pour tous les acteurs et être explicitées tant dans la charte d’audit interne que dans celle du comité
d’audit.

Dispositions
obligatoires
glossaire
gloSSAIrE

Dispositions
obligatoires
glossaire
glossaire
Activités d'assurance
II s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à l'organisation une
évaluation indépendante des processus de gouvernement d'entreprise, de management des
risques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécu-
rité des systèmes et de due diligence.
Activité d'audit interne

Assurée par un service, une division, une équipe de consultants ou tout autre praticien, c'est une
activité indépendante et objective qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la
valeur ajoutée. L'activité d'audit interne aide cette organisation à atteindre ses objectifs en évaluant,
par une approche systématique et méthodique, ses processus de gouvernement d'entreprise, de
management des risques et de contrôle, en faisant des propositions pour renforcer leur efficacité.
Activités de conseil
Conseils et services y afférents rendus au client donneur d'ordre, dont la nature et le champ sont
convenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeur ajoutée et
d'améliorer les processus de gouvernement d'entreprise, de management des risques et de
contrôle d'une organisation sans que l'auditeur interne n'assume aucune responsabilité de mana-
gement. Quelques exemples : avis, conseil, assistance et formation.
Appétence pour le risque

Niveau de risque qu’une organisation est prête à accepter.
Atteinte
Parmi les atteintes à l’indépendance du service d’audit interne et à l'objectivité individuelle peuvent
figurer le conflit d'intérêts personnel, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limi-
tations financières.

Cadre de référence international des pratiques professionnelles (CrIPP)
Cadre de référence qui structure les lignes directrices édictées par l’IIA. Ces lignes directrices sont
soient (1) obligatoires soient (2) approuvées et fortement recommandées.
Caractère significatif
Niveau d’importance relative d’un évènement, dans un contexte donné et selon des facteurs d’ap-
préciation qualitatifs et quantitatifs tels que l’ampleur, la nature, l’effet, la pertinence et l’impact de
cet évènement. Les auditeurs internes font preuve de jugement professionnel lorsqu’ils apprécient
le caractère significatif des événements selon des objectifs pertinents.
Charte
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation; autorise
l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit
le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de
la responsabilité du Conseil.
Le Code de Déontologie de l'Institut comprend les principes applicables à la profession et à la
pratique de l'audit interne, ainsi que les règles de conduite décrivant le comportement attendu
des auditeurs internes. Le Code de Déontologie s'applique à la fois aux personnes et aux orga-
nismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de
l'éthique au sein de la profession d'audit interne.
Conflit d'intérêts
Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'in-
térêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et respon-
sabilités.
Conformité
L'adhésion aux règles, plans, procédures, lois, règlements, contrats ou autres exigences.

Dispositions
obligatoires
glossaire
Conseil
Le Conseil est un organe de gouvernance d’une organisation. Il peut s’agir d’un Conseil d’admi-
nistration, d’un Conseil de surveillance, de l’organe délibérant d’un organisme public ou d’une
association ou de tout autre organe y compris le Comité d’audit auquel le responsable de l’audit
interne peut être rattaché sur le plan fonctionnel.
Contrôle (dispositifs de contrôle)

Toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les risques et
d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers planifient,
organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance raison-
nable que les buts et objectifs seront atteints.
Commentaire IFACI
Cette définition montre que le terme « contrôle » ne doit pas être restreint à la notion d’activités de contrôle. Il concerne
l’ensemble du dispositif de contrôle interne qui « comprend un ensemble de moyens, de comportements, de procédures
et d’actions adaptés aux caractéristiques propres de chaque société qui :
• contribue à la maîtrise des activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels,
financiers ou de conformité. ».
Cette définition du cadre de référence de l’AMF précise également que le « contrôle interne ne se limite donc pas à
l’ensemble des procédures ni aux seuls processus comptables et financiers ».
Contrôle des technologies de l’information

Contrôles qui viennent en appui de la gestion et de la gouvernance de l’organisation et qui
comportent des contrôles généraux et des contrôles techniques sur les infrastructures des tech-
nologies de l’information dans lesquelles on retrouve les applications, les informations, les instal-
lations et les personnes.
Contrôle satisfaisant
C'est le cas lorsque le management s'est organisé de manière à apporter une assurance raisonna-
ble que les risques que court l'organisation, ont été gérés efficacement et que les buts et objectifs
de l'organisation seront atteints d'une manière efficace et économique.

Devrait
Traduction de “Should”, utilisée dans les normes lorsque le respect de la disposition est recom-
mandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par
les circonstances.
Doit
Traduction de “must”, utilisée dans les Normes pour indiquer une exigence impérative.
Environnement de contrôle
L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de)
contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et la structure néces-
saires à la réalisation des objectifs primordiaux du système de contrôle interne. L'environnement
de contrôle englobe les éléments suivants :
 intégrité et valeurs éthiques ;
 philosophie et style de direction ;
 structure organisationnelle ;
 attribution des pouvoirs et responsabilités ;
 politiques et pratiques relatives aux ressources humaines ;
 compétence du personnel.
Fraude
Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans
qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et
des organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage
personnel ou commercial.
gouvernance des technologies de l’information

La gouvernance des technologies de l’information comprend la direction, les structures orga-
nisationnelles et les processus qui garantissent que les technologies de l’information soutien-
nent la stratégie et les objectifs de l’organisation.

Dispositions
obligatoires
glossaire
gouvernement d'entreprise
Le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer,
de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs.
Commentaire IFACI
Cette définition est différente d’autres approches communément admises. Par exemple, selon les principes de l’OCDE, le
gouvernement d’entreprise :
• concerne l’ensemble des relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et
autres parties prenantes ;
• fournit le cadre au sein duquel les objectifs de l’entreprise sont fixés ;
• définit les moyens de les atteindre et de surveiller les performances.
Ces principes proposent une vision plus large des différents acteurs et parties prenantes concernées (direction générale,
conseil, actionnaires, régulateurs, associations…).
Par ailleurs, le rôle conféré au Conseil n’est pas universel. Par exemple, en France, le Conseil n’a pas la responsabilité directe
de mettre en place les processus et les structures ; il a un rôle de surveillance des dispositifs dont la mise en œuvre est du
ressort de la direction générale.
Indépendance
L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses
responsabilités.
management des risques

Processus visant à identifier, évaluer, gérer et piloter les événements éventuels et les situations
pour fournir une assurance raisonnable quant à la réalisation des objectifs de l'organisation.
mission
Une mission, tâche ou activité de révision particulières telles qu'un audit interne, une revue d’auto-
évaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de
multiples tâches ou activités menées pour atteindre un ensemble déterminé d'objectifs qui s'y
rapportent.

Norme
Document d'ordre professionnel promulgué par « the Internal Auditing Standards Board » (Comité
interne à l'IIA chargé d'élaborer les Normes) afin de définir les règles applicables à un large éventail
d'activités d'audit interne et utilisables pour l'évaluation de ses performances.
objectifs de la mission
Enoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliser
pendant la mission.
objectivité
L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compro-
mis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre juge-
ment à celui d’autres personnes.
Prestataire externe
Une personne ou une entreprise, extérieures à l’organisation, qui possèdent des connaissances,
un savoir-faire et une expérience spécifiques dans une discipline donnée.
Processus de contrôle
Les règles, procédures et activités faisant partie d'un cadre de contrôle interne, conçues pour assu-
rer que les risques sont contenus dans les limites de tolérance fixées par le processus de manage-
ment des risques.
Programme de travail de la mission

Un document énumérant les procédures à mettre en œuvre, conçu pour réaliser le plan de mission.
responsable de l'audit interne

« Responsable de l’audit interne » désigne une personne, occupant un poste hiérarchique de
haut niveau, qui a la responsabilité de diriger efficacement l’activité d’audit interne confor-
mément à la charte d’audit interne, à la définition de l’audit interne, au Code de Déontologie
et aux Normes. Le responsable de l’audit interne ou des membres de l’équipe d’encadrement

Dispositions
obligatoires
glossaire
de l’audit interne devront disposer des certifications et des qualifications professionnelles

appropriées. L’intitulé exact du poste de responsable de l’audit interne varie selon les organi-
sations.
Commentaire IFACI
Le responsable de l’audit interne est un salarié de l’organisation.

Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit
interne est la personne, qui au sein de l’organisation, a comme mission principale la surveillance de
l'exécution du contrat de services et de la qualité de ces activités. Il rend compte à la direction générale et au
Conseil des activités d'audit interne.
risque
Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le
risque se mesure en termes de conséquences et de probabilité.
risques résiduels
Les risques qui subsistent après les mesures prises par le management pour réduire l'impact et la
probabilité d'occurrence d'un événement défavorable et, notamment, les dispositifs de contrôle
mis en place en réponse à un risque.
techniques d’audit informatisées

Tout outil d’audit automatisé tel que les logiciels d’audit généralisés, les générateurs de données
de test, les programmes d’audit informatisés et les utilitaires d’audit spécialisés et les techniques
d’audit assistées par ordinateur (CAATs).
Valeur ajoutée
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (et à ses parties
prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience
et à l’efficacité des processus de gouvernement d’entreprise, de management des risques et
de contrôle.

modalités Pratiques d’Application
moDAlItÉS PrAtIquES
D’APPlICAtIoN

MPA 1000
mPA SÉrIE 1000
mISSIoN, PouVoIrS Et rESPoNSAbIlItÉS

MPA 1000-1
MPA 1000
Charte d’audit interne
Principale Norme de référence
1000 – mission, pouvoirs et responsabilités
La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis
dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de
Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodique-
ment la charte d’audit interne et la soumettre à l’approbation de la direction générale et du
Conseil.
Interprétation :
sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y
compris la nature de la relation fonctionnelle entre le responsable de l’audit interne et le
Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation
des missions; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit
interne relève de la responsabilité du Conseil.
1. L’existence d’une charte d’audit interne formalisée est essentielle pour la gestion du service
d’audit interne. La charte est un document officiel soumis pour avis et acceptation à la direc-
tion générale, et approuvée par le comité d’audit ou le Conseil. Il précise le rôle du respon-
sable d’audit interne et facilite ainsi l’évaluation périodique de la pertinence de sa mission,
de ses pouvoirs et de ses responsabilités. Son approbation est consignée dans les procès-
verbaux du Conseil. Il facilite en outre l’évaluation périodique de la pertinence de la mission,
des pouvoirs et des responsabilités de l’audit interne, précisant ainsi le rôle de l’audit interne.
En cas d’interrogation, la charte est la référence écrite officielle de l'accord passé avec la direc-
tion générale et le Conseil sur le rôle et les responsabilités du service d’audit interne de l’or-
ganisation.
2. Le responsable de l'audit interne évalue périodiquement si la mission, les pouvoirs, et les

responsabilités définis dans la charte permettent toujours au service d’audit interne d’attein-
dre ses objectifs. Il est également chargé de communiquer le résultat de cette évaluation
périodique à la direction générale et au Conseil.

MPA 1100
mPA SÉrIE 1100
INDÉPENDANCE Et objECtIVItÉ

MPA 1110-1
Indépendance dans l’organisation
MPA 1100
1110 – Indépendance dans l'organisation
Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’or-
ganisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable
de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit
interne au sein de l’organisation.
Interprétation :
L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne
rapporte fonctionnellement au Conseil.
Les relations fonctionnelles impliquent, par exemple, que le Conseil :
 approuve la charte d’audit interne ;
 approuve le plan d’audit interne fondé sur l’approche par les risques ;
 soit destinataire des informations adressées par le responsable d’audit relatives à la
réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ;
 approuve les décisions liées à la nomination et à la révocation du responsable de l’audit
interne ;
 demande des informations pertinentes au management et au responsable de l’audit
interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
1. Le soutien de la direction générale et du Conseil aide l’audit interne à obtenir la coopération

des audités et à exercer son activité sans entrave.
2. Pour que le service d’audit interne puisse être indépendant, le responsable de l'audit interne
est fonctionnellement rattaché au Conseil et dépend administrativement ou hiérarchique-
ment du Directeur Général. Il est nécessaire que le responsable de l’audit interne dépende
au moins d’une personne de l’organisation ayant une autorité suffisante pour promouvoir
son indépendance, et pour lui garantir un large champ d’intervention, une attention adéquate
aux communications faites dans le cadre des missions, ainsi que des actions appropriées par
rapport aux recommandations émises.
3. Le rattachement fonctionnel au Conseil implique qu’il :

 approuve la charte de l’audit interne ;

 approuve l’évaluation des risques effectuée par l’audit interne et le plan d’audit corres-
pondant ;
 reçoive des informations de la part du responsable de l’audit interne à propos des résul-
tats des travaux d’audit interne ou de tout autre point qu’il estime nécessaire de
communiquer, y compris lors de réunions privées sans la présence des dirigeants, y
compris la confirmation annuelle de l’indépendance de l’audit interne ;
 approuve toutes les décisions relatives à l’évaluation de la performance, à la nomination
ou au remplacement du responsable de l’audit interne ;
 approuve la rémunération annuelle et les augmentations de salaire du responsable de
l’audit interne ;
 s’enquiert, auprès de la direction et du responsable de l’audit interne, d’éventuelles limi-
tations du champ d’intervention ou du budget, susceptibles d’empêcher l’audit interne
de mener à bien ses missions.
4. Le rattachement hiérarchique permet de faciliter les activités courantes de l’audit interne. En
règle générale, il porte sur :
 l’établissement des budgets et la comptabilité de gestion ;
 la gestion des ressources humaines, notamment l’évaluation des performances et les
rémunérations du personnel ;
 les communications internes et les flux d’information ;
 la gestion des règles et procédures de l’audit interne.
Commentaire IFACI
En ce qui concerne le rattachement du responsable de l’audit interne, l’IFACI et l’IFA recommande, dans leur prise de
position :
• que les relations étroites et régulière avec le comité d’audit soient définies et
• que l’audit interne soit claiement rattaché hiérarchiquement à la direction générale.
Dans le contexte français, ce lien hiérarchique est primordial. Le responsable de l’audit interne pourra notamment s’y référer
pour la mise en œuvre du plan d’audit et le règlement de conflits avec les audités. Outre les activités cités au §4 de la MPA,
la direction générale est directement concernée par les sujets abordés dans le cadre du rattachement fonctionnel,
mentionnés au §3.
De plus, l’IFA préconise que « le comité d’audit soit impliqué en amont dans l’examen du plan d’audit interne afin
d’apprécier le niveau de couverture des risques majeurs par les activités d’audit et de prendre connaissance des
domaines pas ou insuffisamment couverts, en vue de recommander d’éventuels compléments de travaux ou de
ressources de l’audit interne.
Il est également essentiel que le comité d’audit prenne connaissance de l’évaluation des processus de gouvernement
d’entreprise, de management des risques et de contrôle interne fondée sur la synthèse des rapports de l’audit interne
et s’assure du suivi adéquat par la direction générale des recommandations formulées par l’audit interne.
Enfin, le comité d’audit prend part à la désignation et à l’évaluation du directeur de l’audit interne » (cf. « Comités
d’audit : 100 Bonnes pratiques »).

MPA 1111-1
Relation avec le Conseil
MPA 1100
1111 – relation directe avec le Conseil
Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le

Conseil.
1. Il y a communication directe lorsque le responsable de l’audit interne assiste et participe

régulièrement aux réunions du Conseil portant sur les responsabilités de supervision du
Conseil en matière d'audit, de communication financière, de gouvernance et de contrôle. La
présence et la participation du responsable de l’audit interne à ces réunions lui permettent
de se tenir informé de la stratégie et projets opérationnels, et de relever, en amont, les problé-
matiques liées aux risques majeurs, aux systèmes, aux procédures, ou au contrôle. La présence
à ces réunions constitue également une opportunité pour échanger des informations rela-
tives aux activités et aux plans d’audit et pour aborder tout autre sujet d’intérêt commun.
Commentaire IFACI
Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Modalité
Pratique d’Application.
2. Il y a également communication et relation directe lorsque le responsable de l’audit interne

rencontre, au moins une fois par an, le Conseil en tête à tête.

MPA 1120-1
Objectivité individuelle
1120 – objectivité individuelle
Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter
tout conflit d'intérêt.
Interprétation :
Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit
d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec
ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsa-
bilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique
ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer
la confiance en l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt
peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités
de manière objective.
1. L’objectivité individuelle nécessite que les auditeurs internes réalisent leurs missions de telle
manière qu’ils aient sincèrement confiance dans le résultat de leur travail et dans le fait qu’au-
cune concession significative n’ait été faite en matière de qualité. Les auditeurs internes ne
doivent pas se trouver placés dans des situations qui porteraient atteinte à leur capacité à
porter des jugements professionnels objectifs.
2. L’objectivité individuelle nécessite que le responsable de l'audit interne organise une affec-
tation des auditeurs de manière à prévenir les conflits d’intérêt potentiels ou réels ainsi que
les partis pris. Il s’informe périodiquement auprès des auditeurs à propos des conflits d’intérêt
ou des partis pris et le cas échéant, instaure une rotation régulière des auditeurs internes au
sein de l’équipe.
3. La revue des résultats de l’audit avant leur diffusion permet de fournir une assurance raison-
nable que le travail a été réalisé avec objectivité.
4. L’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommander
la mise en place de normes de contrôle pour les systèmes d’information ou à examiner des
procédures avant leur mise en application. Par contre, son objectivité est présumée altérée
s’il conçoit, met en place, rédige les procédures y relatives ou exploite de tels systèmes.

5. L’exécution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux d’au-
dit, ne compromet pas nécessairement leur indépendance dans la mesure où ils sont claire-
ment mentionnés dans le rapport d’audit. Toutefois, le management et les auditeurs internes
doivent veiller attentivement à ce que ces travaux n’altèrent pas leur objectivité.
Commentaire IFACI
MPA 1100
Dans le cadre de l’exécution ponctuelle de travaux qui ne sont pas des travaux d’audit, les auditeurs internes doivent veiller
à:
• délimiter formellement leur responsabilité ;
• mentionner dans le rapport d’audit en quoi cette exécution n’affecte pas leur indépendance et leur objectivité ;
• prendre en compte les travaux d’audit futur sur ces thèmes, processus ou fonctions.

MPA 1130-1
Atteintes à l’indépendance ou à l’objectivité
1130 – Atteinte à l’indépendance ou à l’objectivité
Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou
même en apparence, les parties concernées doivent en être informées de manière précise. La
forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.
Interprétation :
Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent
figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès
aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limi-
tations financières.
L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-
dance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans
la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit
interne, et d’autre part de la nature de cette atteinte.
1. Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle
ou potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulter
s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit interne
constate l’existence d’une atteinte réelle ou supposée, il réaffecte alors les auditeurs concer-
nés.
2. Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empê-
chant de réaliser ses objectifs et son planning. Des limitations de ce type peuvent, entre
autres, restreindre :
 le domaine d’intervention défini dans la charte d’audit interne ;
 l’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réali-
sation des missions ;
 le plan d’audit lorsqu'il a été approuvé ;
 la mise en œuvre des procédures nécessaires à la mission ;
 les ressources humaines et le budget financier qui ont été approuvés.

Commentaire IFACI
La question de la limitation des ressources de l’audit interne est une véritable problématique surtout en période de crise
économique. La référence explicite à la limitation du budget du service d’audit interne donne, au responsable de l’audit
interne, la possibilité de mettre en évidence les enjeux d’une telle limitation même si elle est dictée par des facteurs
économiques de court terme. La direction générale et le Conseil peuvent alors prendre leur décision en connaissance de
cause (cf. Norme 2600 : Acceptation des risques par la direction générale).
MPA 1100
3. Il est nécessaire de communiquer au Conseil, de préférence par écrit, l’existence d’une limi-
tation du champ d’intervention et ses répercussions possible. Le responsable de l'audit interne
juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette
instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y
a des changements, notamment au sein de l’organisation, du Conseil ou de la direction géné-
rale.
4. Les auditeurs internes ne doivent pas accepter une rémunération, des cadeaux ou des invi-
tations de la part d’un salarié, d’un client, d’un fournisseur ou d’un partenaire qui pourrait
laisser supposer que l’objectivité de l’auditeur interne a été altérée. Cette supposition pourra
concerner des missions en cours ou des missions futures de l’auditeur. Le statut des missions
ne saurait en aucun cas justifier l’acceptation de rémunérations, de cadeaux ou d’invitations.
L’acceptation d’articles publicitaires (tels que stylos, calendriers ou échantillons) mis à la dispo-
sition des salariés et du public et d’une valeur minime ne devrait pas fausser les jugements
professionnels des auditeurs internes. Ces derniers doivent rendre compte sans délai à leur
supérieur hiérarchique de toute offre de rémunérations ou de cadeaux importants.
Commentaire IFACI
La liste limitative d’objets indiquée dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cités peuvent
être acceptés sans affecter l’objectivité individuelle.
Il convient d’étendre le risque d’atteinte à l’objectivité à tous les cas de conflit d’intérêt direct et indirect.
Ci-après, un extrait d’un Code de Déontologie qui précise que l’auditeur interne « … ne sollicitera ni n’acceptera et ne fera
ni accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau d’une valeur excédant les
usages courants dans le Groupe, aucune somme d’argent, […]. En cas de doute sur les usages courants dans le Groupe,
il consultera sa hiérarchie. Dans tous les cas, il informera sa hiérarchie de toutes sollicitations ou offres d’avantages
particuliers dont il a fait l’objet, directement ou indirectement. »

MPA 1130.A1-1
Audit des opérations dont les auditeurs internes
ont été auparavant responsables
1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont
ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée
lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours
de l'année précédente.
1. Les membres du personnel mutés ou temporairement affectés au service d’audit interne ne

devraient pas participer, avant un délai d’au moins un an à l’audit des activités précédemment
exercées ou pour lesquelles ils ont eu des responsabilités.
De telles participations sont, en effet, susceptibles d’altérer leur objectivité et, le cas échéant,
il faut en tenir compte lors de la supervision des travaux d’audit et dans la diffusion de leurs
résultats.

MPA 1130.A2-1
Responsabilités exercées par l’audit interne
au titre d’autres fonctions
MPA 1100
1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a
la charge doivent être supervisées par une personne ne relevant pas de l'audit interne.
1. Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activités qui font
l’objet d’évaluations périodiques de la part de l’audit interne. S’ils ont de telles responsabilités,
ils ne peuvent pas être considérés comme des auditeurs internes.
2. L’indépendance et l’objectivité de l’auditeur interne risquent d’être altérées lorsque l’audit

interne, son responsable ou un auditeur interne assume une fonction susceptible d’être
audité, ou que la direction envisage de leur attribuer. A minima, il faut que le responsable de
l’audit interne prenne en considération les éléments suivants dans l'évaluation de l'impact
sur l'indépendance et l'objectivité :
 les principes énoncés par le Code de Déontologie et les Normes internationales pour la
pratique professionnelle de l’audit interne (Normes) ;
 les attentes des parties prenantes de l’organisation, notamment les actionnaires, le
Conseil, le comité d’audit, la direction, le législateur, les instances publiques, les régula-
teurs et les groupes d’influence ;
 les obligations ou les restrictions prévues dans la charte d’audit interne ;
 les informations dont la communication est obligatoire en vertu des Normes ;
 le niveau de couverture de l’audit, des fonctions ou responsabilités occupées par l’au-
diteur interne ;
 l’importance de la fonction opérationnelle pour l'organisation (en termes de chiffre
d’affaires, de dépenses, de réputation, et d’influence) ;
 la longueur ou la durée de la mission et l’étendue des responsabilités ;
 l’adéquation de la séparation des tâches ;
 l’existence d’antécédents ou de signes montrant que l'objectivité de l'auditeur interne
peut être atteinte.
3. Si la charte de l’audit interne contient des restrictions ou des clauses limitatives concernant
l’attribution aux auditeurs internes de fonctions autres que l’audit, il convient de mentionner
ces restrictions et d’en discuter avec la direction. Si cette dernière insiste pour confier ces
fonctions à un auditeur, une information et une discussion seront nécessaire avec le Conseil.

A défaut de disposition expresse de la charte, il convient de se référer aux lignes directrices
figurant ci-dessous, qui sont subordonnées aux clauses de la charte.
4. Dès lors que l'audit interne accepte des responsabilités opérationnelles et que ces domaines
sont intégrés dans le plan d’audit, le responsable de l’audit interne devra :
 minimiser les risques liés au manque d’objectivité en ayant recours à un prestataire
extérieur ou à des auditeurs externes pour réaliser les audits de ces secteurs ;
 confirmer que les individus ayant des responsabilités opérationnelles dans des secteurs
dépendant du responsable de l’audit interne, ne participent pas aux audits de ces
domaines ;
 s’assurer que les auditeurs, qui conduisent une mission d’assurance dans des secteurs
rattachés au responsable de l’audit interne, sont supervisés par la direction générale et
le Conseil, à qui ils communiquent les résultats de leur évaluation ;
 indiquer les responsabilités opérationnelles exercées par l’auditeur dans le cadre de la
fonction en cause, l’importance de ces opérations pour l’organisation (en termes de
chiffre d’affaires, de dépenses ou en fonction de tout autre critère pertinent), ainsi que
le lien existant entre les personnes qui ont procédé à l’audit de la fonction et l’auditeur
concerné.
5. Il convient de préciser les responsabilités opérationnelles de l'auditeur interne dans le rapport

d'audit des secteurs rattachés au responsable de l’audit interne, et dans la communication
transmise au Conseil. Les résultats de l'audit peuvent aussi être discutés avec la direction
générale et/ou d'autres parties prenantes appropriées. L’indication d’une atteinte à l’objecti-
vité exige néanmoins d’avoir recours à la supervision d’un tiers pour les missions d'assurance
relatives à des fonctions qui dépendent du responsable de l’audit interne.

MPA 1200
mPA SÉrIE 1200
ComPÉtENCE Et CoNSCIENCE ProFESSIoNNEllE

MPA 1200-1
Compétence et conscience professionnelle
1200 – Compétence et conscience professionnelle
Les missions doivent être conduites avec compétence et conscience professionnelle.
MPA 1200
1. La compétence et la conscience professionnelle sont de la responsabilité du responsable de
l'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assure
que, pour chaque mission, l’équipe d’auditeurs désignés possède collectivement les connais-
sances, le savoir-faire et les compétences nécessaires pour mener la mission de façon appro-
priée.
2. La conscience professionnelle inclut le respect du Code de Déontologie de l’IIA et, le cas

échéant, le respect du code de conduite de l’organisation ainsi que des codes de conduite
d’autres professions auxquelles les auditeurs internes peuvent appartenir. Le Code de Déon-
tologie dépasse la définition de l’audit interne en incluant deux composantes essentielles :
 des principes applicables à la pratique de l’audit interne et à l’exercice de la profession
– en particulier les principes d’intégrité, d’objectivité, de confidentialité et de compé-
tence ;
 des règles de conduite décrivant le type de comportement attendu des auditeurs
internes. Ces règles, qui facilitent l’interprétation des principes et leur application
pratique, sont destinées à guider les auditeurs internes sur le plan de l’éthique.

MPA 1210-1
Compétence
1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compé-
tences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit
collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences
nécessaires à l'exercice de ses responsabilités.
Interprétation :
Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée
pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir
exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés
à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles
appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou
par d’autres organisations professionnelles appropriées.
1. Les connaissances, savoir-faire et les autres compétences mentionnées dans la norme

comportent :
 la compétence en matière d’application des Normes, procédures et techniques d’audit
nécessaire à la réalisation des missions. La compétence est la capacité à utiliser ses
connaissances judicieusement, dans les diverses situations susceptibles de se présenter,
et d’y faire face sans recourir de façon excessive à des recherches techniques ou à une
assistance ;
 la compétence en matière de principes et de techniques comptables indispensable
aux auditeurs internes qui travaillent fréquemment sur des documents et rapports
financiers ;
 la connaissance permettant d’identifier les risques de fraude ;
 la connaissance des principaux risques et contrôles afférents aux technologies de l’in-
formation, et des techniques d’audit informatisées existantes ;
 la compréhension des principes de management pour reconnaître et évaluer la maté-
rialité et le caractère significatif des écarts par rapport aux bonnes pratiques des affaires.
Cette compréhension implique une capacité à appliquer des connaissances générales
aux situations susceptibles d’être rencontrées au cours des audits, de détecter les écarts
significatifs et d’être capable de procéder aux recherches nécessaires pour aboutir à
des solutions raisonnables ;

 la compréhension des notions fondamentales de la conduite des affaires telles que la

comptabilité, l’économie, le droit commercial, la fiscalité, la finance, les méthodes quan-
titatives, les technologies de l’information, le management des risques et la fraude. Cette
compréhension permet de reconnaître l’existence ou l’éventualité de problèmes et
d’identifier les recherches supplémentaires à entreprendre ou l’assistance à obtenir.
 les bonnes qualités relationnelles, de compréhension, de communication, le sens des
relations humaines et le maintien de bonnes relations avec les clients de la mission.
 la capacité de communiquer oralement et par écrit, de manière à pouvoir exposer clai-
rement et efficacement les objectifs, les appréciations, les conclusions et les recom-
mandations de la mission.
MPA 1200
2. Le responsable de l'audit interne définit des critères appropriés de formation générale et d’ex-
périence pour pourvoir les postes d’auditeurs internes, en considérant la nature des travaux
et le niveau de responsabilité. Il obtient une assurance raisonnable sur les qualifications et la
compétence des candidats.
Commentaire IFACI
Les responsables de l'audit interne doivent disposer à la fois d'une bonne connaissance de l'organisation à tous les niveaux
et/ou d'une solide expérience en audit interne.
3. Il faut que l'audit interne possède collectivement les connaissances, le savoir-faire et les autres
compétences indispensables à la pratique de la profession dans l'organisation. Une analyse
annuelle des connaissances, savoir-faire et autres compétences de l’audit interne permet
d’identifier plus facilement les points à améliorer grâce à des programmes de formation conti-
nue, à des recrutements ou par la mise en œuvre de ressources externes partagées.
Commentaire IFACI
Les compétences et le savoir-faire du management opérationnel (chef de mission et/ou superviseur) conditionnent dans les
faits en grande partie à la fois la qualité, la pertinence des missions et l'apprentissage des auditeurs internes.
L’évaluation du personnel d’encadrement vise notamment à s’assurer qu’il est en mesure d’apporter un support adéquat
aux auditeurs internes, d’effectuer les arbitrages nécessaires au bon moment et de communiquer de manière appropriée
avec les audités.
4. La formation continue est essentielle pour s’assurer que le personnel du service d’audit
interne demeure compétent.
5. Le responsable de l’audit interne peut faire appel à des experts extérieurs à son service afin
de soutenir ou de compléter les domaines dans lesquels l’audit interne ne dispose pas de
compétences suffisantes.

MPA 1210.A1-1
Recours à des prestataires externes
1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes quali-
fiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres
compétences nécessaires pour s'acquitter de tout ou partie de leur mission.
1. Chaque auditeur interne n’est pas nécessairement qualifié dans toutes les disciplines. L’audit
interne peut recourir à des prestataires externes ou à des ressources internes qualifiées dans
des disciplines telles que la comptabilité, l’audit, l’économie, la finance, les statistiques, les
technologies de l’information, l’ingénierie, la fiscalité, le droit, l’environnement et tout autre
domaine nécessaire pour pouvoir exercer ses responsabilités d’audit interne.
Commentaire IFACI
L’évaluation des compétences individuelles des auditeurs internes permet d’identifier les éventuelles insuffisances au
niveau de l’équipe d’audit interne. Ces lacunes collectives peuvent être comblées par des formations, des recrutements ou le
recours à des prestataires externes.
2. Un prestataire externe est une personne ou une entité indépendante de l’organisation qui
possède des connaissances, un savoir-faire et une expérience particuliers dans une discipline
donnée. Les prestataires externes incluent notamment les actuaires, les experts-comptables,
les conseils en évaluation, les personnes qui ont une expertise à propos de certaines cultures
ou langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, les
avocats, les ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistes
des technologies de l’information, les auditeurs externes de l’organisation et les autres cabi-
nets d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le responsable
de l'audit interne.
3. L’audit interne peut faire appel à des prestataires externes notamment dans les cas suivants :
 réalisation des objectifs de la mission selon les échéances prévues ;
 missions d’audit nécessitant un savoir-faire et des connaissances particuliers dans des
domaines tels que les technologies de l’information, les statistiques, la fiscalité ou les
langues étrangères ;
 évaluation d’actifs tels que terrains et immeubles, œuvres d’art, pierres précieuses, inves-
tissements et instruments financiers complexes ;

 détermination des quantités ou caractéristiques physiques de certains biens tels que

minerais et réserves de pétrole ;
 évaluation des travaux achevés et restant à achever dans le cadre de contrats en cours ;
 enquêtes sur la fraude et la sécurité ;
 évaluations réalisées selon des méthodes particulières telles que les calculs actuariels
concernant les engagements liés aux avantages sociaux ;
 interprétation de la législation, de la réglementation et des normes techniques ;
 évaluation du programme d’assurance et d’amélioration qualité de l’activité d'audit
interne conformément aux Normes Internationales pour la Pratique Professionnelle de l’au-
dit (Normes) ;
 fusions et acquisitions ;
MPA 1200
 conseil en matière de management des risques ou d’autres sujets.
4. Lorsqu’il prévoit de recourir à un prestataire externe et de s’appuyer sur ses travaux, le respon-
sable de l'audit interne devra évaluer sa compétence, son indépendance et son objectivité
au vu des particularités de la mission à accomplir. Il convient de procéder également à cette
évaluation si le prestataire externe est choisi par la direction générale ou par le Conseil, et si
le responsable de l'audit interne prévoit de s’appuyer sur ses travaux. Lorsque le responsable
de l'audit interne ne choisit pas lui-même le prestataire externe et si son évaluation montre
qu’il ne devrait pas s’appuyer sur les travaux de ce dernier, les résultats de cette évaluation
devront être communiqués à la direction générale ou au Conseil, selon le cas.
5. Le responsable de l'audit interne doit s’assurer que le prestataire externe possède les connais-
sances, le savoir-faire et les compétences nécessaires pour accomplir sa mission. Pour évaluer
ces compétences, le responsable de l'audit interne tiendra compte des éléments suivants :
 diplôme, agrément ou autre titre attestant de la compétence du prestataire externe
dans la discipline en question ;
 adhésion du prestataire externe à un organisme professionnel compétent et adhésion
au Code de Déontologie de cet organisme ;
 réputation du prestataire externe. La prise en compte de cet élément peut impliquer
la consultation de tiers faisant habituellement appel aux travaux du prestataire ;
 expérience du prestataire externe dans le type de travaux qu’on envisage de lui confier ;
 niveau d’études et formation du prestataire externe dans les disciplines liées à la mission
en question ;
 connaissances et expérience du prestataire externe dans le secteur d’activité de l’orga-
nisation.
Commentaire IFACI
Le responsable de l’audit interne s’assure que les compétences requises existent au sein de l’équipe de prestations externes.
Cette évaluation ne se limite pas à l’analyse des qualifications du signataire du contrat de prestation, mais concerne aussi
les membres de l’équipe qui réalisent ou qui supervisent la prestation concernée.

6. Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire
externe, l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’ob-
jectivité du prestataire externe seront garanties tout au long de la mission. Pour procéder à
cet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnel
ou personnel n’empêchera le prestataire externe de formuler un jugement et une opinion
objectifs et impartiaux lors de la réalisation de sa mission et de l’émission de ses rapports.
7. Pour apprécier l’indépendance et l’objectivité du prestataire externe, le responsable de l'audit

interne tient compte des éléments suivants :
 intérêt financier éventuel détenu par le prestataire externe dans l’organisation ;
 lien personnel ou professionnel entre le prestataire externe et le Conseil, la direction
générale ou les autres membres de l’organisation ;
 liens établis par le passé entre le prestataire externe et l’organisation ou les activités
examinées ;
 étendue des autres services récurrents exécutés par le prestataire externe pour l’orga-
nisation ;
 rémunération ou autres avantages perçus, le cas échéant, par le prestataire externe.
8. Si le prestataire externe est également auditeur externe de l’organisation et si sa mission

consiste en des travaux d’audit approfondis, le responsable de l'audit interne devrait s’assurer
que les travaux ainsi réalisés ne remettent pas en cause l’indépendance de l’auditeur externe.
L’expression « travaux d’audit approfondis » vise les services qui dépassent le cadre des normes
d’audit généralement admises par la profession d’auditeur externe.
Si la mission qui leur est confiée les amenait à agir ou à donner l’apparence d’agir comme
des membres de la direction générale, du management ou des employés de l’organisation,
alors leur indépendance serait compromise. En outre, il peut arriver que les auditeurs externes
fournissent à l’organisation d’autres services, en matière de fiscalité ou de conseil notamment.
L’indépendance devrait être appréciée eu égard à la gamme complète des services rendus à
l’organisation.
9. Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de

la mission du prestataire externe, de façon à pouvoir vérifier que ses travaux répondent aux
objectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la mission et divers
autres points dans une lettre de mission ou dans un contrat. Pour ce faire, le responsable de
l'audit interne examine les points suivants avec le prestataire externe :
 objectifs et étendue de la mission, y compris les livrables et les échéances ;
 points particuliers sensés être couverts dans les rapports remis au titre de la mission ;
 accès aux documents, aux personnes et aux biens corporels concernés ;
 informations concernant les hypothèses et les procédures à utiliser ;
 propriété et conservation des documents de travail établis dans le cadre de la mission,
le cas échéant ;

 confidentialité des informations obtenues au cours de la mission et restrictions les

concernant ;
 le cas échéant, le respect des Normes et des règles de travail du service d’audit interne.
10. Lorsqu’il évalue la revue des travaux d’un prestataire externe, le responsable de l'audit interne
veille à ce que ceux-ci soient réalisés conformément aux Normes internationales pour la
pratique professionnelle de l’audit interne (Normes). Cette évaluation consiste notamment à
s’assurer que les informations obtenues sont suffisantes pour justifier les conclusions formu-
lées et les solutions proposées et statuer sur les exceptions significatives ou les autres points
inhabituels.
MPA 1200
11. En cas de recours à un prestataire externe, le responsable de l'audit interne peut, si nécessaire,
mentionner les services ainsi fournis dans les documents ou rapports émis au titre de la
mission. Le prestataire externe est informé et, le cas échéant, son accord devrait être obtenu
avant toute mention de ses services dans ces documents.

MPA 1220-1
Conscience professionnelle
1220 – Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut
attendre d'un auditeur interne raisonnablement averti et compétent. La conscience profession-
nelle n'implique pas l'infaillibilité.
1. La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement prudent et compétent. La conscience professionnelle
tient compte de la complexité de la mission réalisée. En agissant avec la conscience profes-
sionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes
intentionnelles, d’erreurs ou d’omissions, de manque d’efficacité, de gaspillage et de conflits
d’intérêts ainsi qu’aux situations et activités où des irrégularités ont le plus de chance de se
produire. Les auditeurs internes sont également concernés par la détection de contrôles inef-
ficaces et font des recommandations visant à promouvoir le respect des procédures et
pratiques acceptables.
2. La conscience professionnelle implique la diligence et le savoir-faire raisonnables que l’on

apporte à l’exécution de ses missions et non l’infaillibilité ou des performances exception-
nelles. Cela signifie que l’auditeur interne procède à des vérifications et des contrôles raison-
nablement approfondis. En conséquence, l’auditeur interne ne peut donner une assurance
absolue qu’il n’existe aucune anomalie ou irrégularité. Néanmoins, la possibilité d’irrégularités
ou de non conformités importantes devra toujours être envisagée lorsque l’auditeur interne
entreprend une mission.

MPA 1230-1
Formation Professionnelle Continue
1230 – Formation professionnelle continue
Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences
par une formation professionnelle continue.
MPA 1200
1. Les auditeurs internes ont la responsabilité de se former de manière continue, afin de renfor-
cer et de maintenir leurs compétences. Ils devront se tenir informés des progrès accomplis
et des développements en cours dans le domaine des normes, procédures et techniques
d’audit, telles qu’elles sont explicitées dans le CRIPP (Cadre de référence international pour la
pratique professionnelle de l’audit interne). La formation continue peut s’acquérir par l’adhé-
sion, la participation et le volontariat à des associations professionnelles telles que l’IFACI ; en
assistant à des conférences, à des séminaires ; en participant aux actions internes de forma-
tion ; par l’achèvement de cycle d’études supérieures et d’auto-formation ainsi que par la
participation à des programmes de recherche.
2. Il est conseillé aux auditeurs internes d’obtenir une certification attestant de leur compétence,
telle que le titre d’auditeur interne Certifié (CIA, Certified Internal Auditor), d’autres titres déli-
vrés par l'IIA ou liés à l’audit interne.
Commentaire IFACI
L’IFACI recommande aux auditeurs internes d’obtenir le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur les
compétences fondamentales (les bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils et
techniques d’audit, la communication orale, communication écrite, système d’information, finance et comptabilité,…) de
l’auditeur interne et atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome et
professionnelle, en s’appuyant sur la démarche préconisée par les Normes.
3. Il est conseillé aux auditeurs internes de suivre une formation professionnelle continue (liée
aux activités de leur organisation et au secteur) pour entretenir leurs compétences sur les
processus de gouvernement d’entreprise, de risque et de contrôle existant dans leur organi-
sation.

4. Les auditeurs internes qui réalisent des travaux spécialisés d’audit et de conseil sur des sujets
tels que la technologie de l'information, l'impôt, l’actuariat, ou la conception de systèmes,
peuvent suivre une formation professionnelle continue spécialisée qui leur permettra de réali-
ser leurs missions d’audit interne avec les compétences nécessaires.
5. Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnelle
continue appropriée de façon à remplir les conditions requises par la certification qui leur a
été délivrée.
6. Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programme
de formation et/ou à étudier individuellement en vue d’obtenir la certification profession-
nelle.

MPA 1300
mPA SÉrIE 1300
ProgrAmmE D’ASSurANCE
Et D’AmÉlIorAtIoN quAlItÉ

MPA 1300-1
Programme d'assurance et d'amélioration qualité
1300 – Programme d'assurance et d'amélioration qualité
Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et

d'amélioration qualité portant sur tous les aspects de l'audit interne.
Interprétation :
Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :
 la conformité de l’audit interne avec la définition de l’audit interne et les Normes ;
 le respect du Code de Déontologie par les auditeurs internes.
MPA 1300
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes opportunités d’amélioration.
1. Il appartient au responsable de l'audit interne de mettre en place un service d’audit interne

dont le champ d’action couvre l’ensemble des activités mentionnées dans les Normes et
dans la définition de l’audit interne. À cette fin, la norme 1300 prévoit que le responsable de
l’audit interne élabore et tient à jour un programme d'assurance et d'amélioration qualité.
2. Le responsable de l'audit interne s’assure de la mise en œuvre de processus permettant de

donner aux diverses parties prenantes de l’audit interne l’assurance raisonnable que ce
service :
 respecte la charte d’audit interne et, en conformité avec la définition de l’audit interne,
le Code de Déontologie et les Normes ;
 fonctionne d’une façon efficace et efficiente ;
 contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à améliorer le
fonctionnement de l’organisation.
Ces processus comportent une supervision appropriée, des évaluations internes périodiques
et une surveillance permanente de l’assurance qualité, ainsi que des évaluations externes
périodiques.
3. Le programme d’assurance et d’amélioration qualité se doit d’être suffisamment détaillé pour

couvrir tous les aspects du fonctionnement et de la gestion d’un service d’audit interne, tels
qu’ils ressortent de la définition de l’audit interne, du Code de Déontologie, des Normes et
des meilleures pratiques de la profession. Le processus d’assurance et d’amélioration qualité
est mis en œuvre ou supervisé par le responsable de l’audit interne. Exception faite des

services d’audit interne de dimension modeste, le responsable de l’audit interne délègue
généralement à ses collaborateurs la plupart des tâches afférentes au programme d’assurance
et d’amélioration qualité. Dans le cadre de structures importantes ou complexes (grand
nombre d’unités et/ou de sites, par exemple), le responsable de l’audit interne met en place
une fonction « Assurance et amélioration qualité » formelle, dirigée par un manager du service
d’audit interne. Ce manager, assisté d’un certain nombre de collaborateurs, assure la gestion
et le suivi des activités nécessaires au succès du programme d’assurance et d’amélioration
qualité.
Commentaire IFACI
La qualité des activités de l’audit interne est une responsabilité collective. Cependant, le pilotage direct du programme
d’assurance et d’amélioration qualité requiert dans certains cas une structure transversale permettant un déploiement et
un suivi centralisé. Cette structure peut être nécessaire en raison de la taille ou de la complexité des activités du
département d’audit interne. Le manager en charge du programme d’assurance et d’amélioration qualité peut, selon notre
point de vue, continuer à exercer des responsabilités de conduite de missions.

MPA 1310-1
Exigences du programme d'assurance
et d'amélioration qualité
1310 – Exigences du programme d'assurance et d'amélioration qualité
Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes
qu’externes.
Commentaire IFACI
MPA 1300
La Certification IFACI est fondée sur les exigences suivantes :
• un référentiel de certification, formellement validé par un comité indépendant ;
• un comité de certification composé de directeurs opérationnels, de cadres de départements d’audit interne et d’experts
en audit interne, assurant l’équité et l’homogénéité des décisions ;
• un processus de certification normé et décliné en procédures ;
• des auditeurs certificateurs expérimentés et formés ;
• une appréciation de la qualité de l’organisation et du fonctionnement de l’audit interne fondée sur chaque exigence
générale, et non sur une appréciation d’ensemble du respect des Normes ;
• un label reconnu, pouvant faire l’objet d’une communication vers les parties prenantes de l’audit interne.
1. Un programme d’assurance et d’amélioration qualité consiste en des évaluations perma-

nentes ou périodiques de l’ensemble des prestations d’audit et de conseil effectuées par l’au-
dit interne. Ces évaluations permanentes ou périodiques reposent sur des processus
rigoureux et détaillés, une supervision continue et la vérification des prestations d’audit et
de conseil, ainsi que des validations périodiques du respect de la définition de l’audit interne,
du Code de déontologie et des Normes. Ce suivi comporte une évaluation et une analyse
continues d’indicateurs de performances (réalisation du plan d’audit interne, durée des
missions, recommandations acceptées et satisfaction des clients, par exemple). Si suite à ces
évaluations, il apparaît que des améliorations sont à apporter par l’audit interne le responsable
de l’audit interne les mettra en œuvre dans le cadre du programme d’assurance et d’amélio-
ration qualité.

2. Les évaluations donnent une opinion sur la qualité des travaux d’audit interne et aboutissent
à des recommandations en vue de leur amélioration. Les programmes qualité comportent
notamment une évaluation des points suivants :
 respect de la définition de l’audit interne, du Code de Déontologie et des Normes, et
notamment mise en œuvre, dans des délais appropriés, d’actions correctrices visant à
remédier à toute non-conformité significative ;
 caractère adéquat de la charte d’audit interne, des objectifs, des règles et des procé-
dures de l’audit interne ;
 contribution aux processus de gouvernement d’entreprise, de management des risques
et de contrôle de l’organisation ;
 respect des lois, réglementations, normes administratives ou sectorielles en vigueur ;
 efficacité des processus d’amélioration continue et adoption des meilleures pratiques ;
 contribution de l’audit interne à la création de valeur et à l’amélioration du fonctionne-
ment de l’organisation.
3. Le programme d’assurance et d’amélioration qualité inclut également le suivi des recom-

mandations relatives à la modification appropriée et opportune des ressources, des techno-
logies, des processus et des procédures.
4. Par souci de transparence, le responsable de l'audit interne communique les résultats des
évaluations externes et, si nécessaire, des évaluations internes du programme qualité, aux
diverses parties prenantes de l’audit interne, telles que la direction générale, le Conseil et les
auditeurs externes. Au moins une fois par an, le responsable de l’audit interne rend compte
à la direction générale et au Conseil de l’état d’avancement et des résultats du programme
qualité.

MPA 1311-1
Évaluations internes
1311 – Évaluations internes
Les évaluations internes doivent comporter :

 une surveillance continue de la performance de l'audit interne ;
 des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'or-
ganisation possédant une connaissance suffisante des pratiques d'audit interne.
Interprétation :
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi
MPA 1300
de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques
courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-
mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition
de l’audit interne, au Code de Déontologie et aux Normes.
Les revues périodiques sont conduites pour évaluer également la conformité du service d’audit
interne à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension
de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
1. Les processus et outils utilisés dans les évaluations internes permanentes sont notamment
les suivants :
 supervision des missions;
 utilisation de listes de contrôle et de procédures (par exemple dans un manuel d’audit
et de procédures);
 informations fournies, en retour, par les clients et les parties prenantes de l’audit interne ;
 revues de dossiers de mission effectuées par des auditeurs qui n’ont pas participé aux
missions concernées ;
 budgets par projet, systèmes de suivi des temps passés, réalisation du plan d’audit,
recouvrement des coûts ;
 analyse d’autres indicateurs de performance (par ex. durée des missions et taux de
recommandations acceptées).

2. Il convient de conclure sur la qualité des prestations et d’en effectuer un suivi afin de s’assurer
que les améliorations appropriées sont mises en œuvre.
3. Le manuel de l’IIA relatif à l’évaluation de la qualité (Quality Assessment Manual), ou un

ensemble comparable de lignes directrices et d’outils, pourront servir de base aux évaluations
internes périodiques.
Commentaire IFACI
IFACI Certification a élaboré un Référentiel Professionnel de l’Audit Interne s’appuyant sur les Normes qu’il répartit en :
• exigences de prestations ;
• exigences de moyens ;
• exigences de pilotage et de contrôle.
Ce Référentiel, conçu aux fins de certification d’une direction d’audit interne peut aussi être utilisé pour les évaluations
internes. Il est disponible auprès de l’IFACI.
4. Les évaluations internes périodiques peuvent :

 comporter des enquêtes et des entretiens plus approfondis avec les parties prenantes
de l’audit interne ;
 être réalisées par les membres de l’audit interne (auto-évaluation) ;
 être réalisées par des auditeurs internes certifiés CIA ou par d’autres professionnels de
l’audit, intervenant dans d’autres départements de l’organisation ;
 combiner auto-évaluation et préparation de documents revues ultérieurement par des
auditeurs internes certifiés CIA ou par d’autres professionnels de l’audit ;
 inclure une étude comparative des pratiques et des indicateurs de performance de
l’audit interne et des meilleures pratiques de la profession.
5. Une évaluation interne périodique, réalisée peu de temps avant une évaluation externe, peut
faciliter cette dernière et en réduire le coût. Même si l’évaluation périodique interne est effec-
tuée par des évaluateurs externes qualifiés et indépendants, les résultats de l’évaluation ne
devraient pas présumer les résultats de la revue qualité externe à venir. Le rapport peut conte-
nir des suggestions et des recommandations d’amélioration des pratiques d’audit. Si l’éva-
luation externe prend la forme d’une auto-évaluation suivie d’une validation indépendante,
l’évaluation interne périodique peut tenir lieu d’auto-évaluation dans le cadre de ce processus.
6. Il convient de conclure sur la qualité des prestations et prendre toute mesure appropriée
pour, en tant que de besoin, mettre en œuvre les améliorations et assurer la conformité aux
Normes.

7. Le responsable de l'audit interne met en place un système de diffusion des résultats des
évaluations internes permettant de préserver la crédibilité du service et de garantir son objec-
tivité. En règle générale, les personnes chargées des évaluations continues et périodiques
rendent compte au responsable de l'audit interne au cours de leurs revues et lui adressent
directement leurs résultats.
8. Le responsable de l'audit interne rend compte, au moins annuellement, à la direction générale

et au Conseil des résultats des évaluations internes, des plans d’action à mettre en œuvre et
de leur mise en œuvre effective.
Commentaire IFACI
Le responsable de l’audit interne appréciera l’opportunité et adaptera la nature de la communication des résultats pour
chaque partie prenante. La communication des résultats des revues internes aux auditeurs externes peut permettre de
favoriser un climat de confiance propice à la coopération entre audit interne et audit externe.
MPA 1300

MPA 1312-1
Évaluations externes
1312 – Évaluations externes
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne
doit s'entretenir avec le Conseil au sujet :
 du besoin d'augmenter la fréquence de ces évaluations externes ;
 des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur
indépendance y compris au regard de tout conflit d'intérêt potentiel.
Interprétation :
Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier
si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour
pouvoir mener à bien la mission d’évaluation.
apparent.
1. Les évaluations externes couvrent l’ensemble des prestations d’assurance et de conseil four-
nies par l’audit interne et ne sont pas limitées à l’évaluation de son programme d’assurance
et d’amélioration qualité. Pour obtenir tout le bénéfice d’une revue externe, l’étendue des
travaux inclut le benchmarking, l’identification et le compte-rendu des meilleures pratiques
qui pourrait rendre l’audit interne plus efficient. Cela peut être obtenu soit par une revue
entièrement externalisée, soit par une autoévaluation détaillée suivie d’une validation indé-
pendante. Ces deux approches sont réalisées par un évaluateur ou une équipe d’évaluateur
qualifiés et indépendants. Néanmoins, dans les deux cas, le responsable de l’audit interne
s’assure que le plan d’intervention spécifie clairement les livrables de la revue externe.

2. L’évaluation externe comprend une opinion sur l’ensemble des prestations d’assurance et de
conseil délivrées par l’audit interne (ou qui aurait pu être fournies sur la base de la charte
d’audit interne), notamment sur le respect de la définition de l’audit interne, du Code de
Déontologie et des Normes et, si nécessaire, des recommandations en vue d’une améliora-
tion. Hormis le respect de la définition de l’audit interne, du Code de Déontologie et des
Normes, le périmètre de l’évaluation est ajusté à la demande du responsable de l’audit interne,
de la direction générale ou du Conseil. Ces évaluations peuvent présenter un grand intérêt
pour le responsable de l'audit interne et les autres membres de l’équipe, plus particulièrement
lorsqu’il y a échange sur le benchmark et les meilleures pratiques.
3. Dès l’achèvement de la revue, un compte-rendu formel doit être adressé à la direction géné-
rale et au Conseil.
4. Il existe deux démarches d’évaluations externes. La première est une évaluation entièrement
externalisée, conduite par un évaluateur ou une équipe qualifiés, indépendants, extérieurs à
MPA 1300
l’organisation. Cette approche implique une équipe extérieure de professionnels compétents
sous la direction d'un chef de projet expérimenté et professionnel. La seconde approche
implique le recours à un évaluateur ou à une équipe externe qualifiés et indépendants pour
conduire une validation indépendante de l'auto-évaluation interne et du rapport établi par
le service d’audit interne. Les évaluateurs externes indépendants maîtrisent les meilleures
pratiques de l’audit interne.
5. Les personnes qui entreprennent l’évaluation externe, ne doivent avoir aucun intérêt dans
l’organisation dont le service d’audit interne fait l’objet de l’évaluation externe, ni aucune obli-
gation envers cette dernière ou son personnel. Lors de la sélection de l’évaluateur ou de
l’équipe d’évaluateurs externe(s) qualifié(s) et lorsqu’il consulte le Conseil à ce propos, le
responsable de l’audit interne examine des points particuliers concernant leur indépendance.
Notamment :
 Aucun cas de conflit d’intérêt réel ou supposé avec des cabinets réalisant :
- l’audit externe des états financiers ;
- des activités de conseil significatives dans les domaines du gouvernement d’entre-
prise, du management des risques, du reporting financier, du contrôle interne et dans
des domaines connexes ;
- une assistance au service d’audit interne. L’importance et le volume de travail effectué
devront être considérés lors de la sélection.
 Aucun cas de conflit d’intérêt réel ou supposé avec d’anciens employés de l’organisation
qui feraient l’évaluation. La durée pendant laquelle les personnes ont été indépendantes
de l’organisation devra être prise en considération.
 Les personnes qui procèdent à l’évaluation sont indépendantes de l’organisation dont
le service d’audit interne fait l’objet de l’évaluation et ne se trouvent pas dans un cas
de conflit d’intérêt réel ou apparent. L’expression « indépendantes de l’organisation »

signifie que ces personnes ne font pas partie de l’organisation à laquelle est rattaché le
service d’audit interne et ne sont pas placées sous son contrôle. Le choix d’un évalua-
teur externe est effectué en tenant compte de tout éventuel conflit d’intérêt, réel ou
apparent, résultant de ses relations présentes ou passées avec l’organisation ou son
service d’audit interne.
 Le personnel des autres départements de l’organisation concernée ou d’une organisa-
tion liée, bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme
étant indépendant pour la réalisation d’une évaluation externe. L’expression « organi-
sation liée » désigne les organisations mères, les sociétés apparentées d’un même
groupe, ou les entités exerçant régulièrement des fonctions de contrôle, de supervision
ou d’assurance qualité dans l’organisation dont le service d’audit interne fait l’objet de
l’évaluation externe.
 Un conflit d’intérêt réel ou supposé au cours de revues réciproques. Des revues réci-
proques peuvent être effectuées par des pairs provenant d’au moins trois organisations
différentes (au sein d’un secteur ou d’un autre groupe similaire, d’une association régio-
nale ou d’un autre groupe d’organisations, excepté les « organisations liées » telles que
définies ci-dessus) de façon à atténuer les problèmes d’indépendance, mais il faut alors
veiller à ce que la question de l’indépendance ne se pose pas. Les revues réciproques
de pairs organisées entre deux organisations ne répondent pas au critère d’indépen-
dance.
 Pour surmonter les craintes liées à l’altération apparente ou réelle de l’indépendance
dans les cas examinés au présent paragraphe, une ou plusieurs personnes indépen-
dantes peuvent faire partie de l’équipe d’évaluateurs externes, afin de valider en toute
indépendance les travaux de cette équipe.
6. L’intégrité implique que les personnes chargées de l’évaluation soient honnêtes et sincères,
dans les limites imposées par l’obligation de confidentialité. Les prestations et la confiance
ne doivent pas être subordonnées à des intérêts et gains personnels. L’objectivité est un état
d’esprit et une qualité qui renforcent la valeur d’une évaluation. Le concept d’objectivité
implique l’impartialité, l’honnêteté intellectuelle et l’absence de conflit d’intérêt.
7. La réalisation d’une évaluation externe et la communication de ses résultats nécessitent la

formulation d’un jugement professionnel. La personne chargée de l’évaluation externe
possède, par conséquent, les qualités suivantes :
 être un professionnel de l’audit interne compétent et agréé et posséder une connais-
sance approfondie des Normes ;
 avoir une bonne appréhension des meilleures pratiques de la profession ;
 avoir une expérience récente de trois ans au minimum de la pratique de l’audit interne
à un poste d’encadrement.
Les responsables de l’équipe d’évaluateurs externes et les personnes chargées de la validation
indépendante de l’auto-évaluation doivent posséder des compétences et une expérience

plus poussées : par exemple, avoir été membre d’une équipe d’évaluateurs externes de la
qualité, avoir suivi avec succès la formation de l’IIA sur l’évaluation de la qualité ou une forma-
tion similaire, et avoir acquis une expérience en tant que responsable d’un service d’audit
interne ou une expérience comparable à un poste d’encadrement dans l’audit interne.
8. Le ou les évaluateurs ont l’expertise technique requise et une expérience du secteur d’activité
concerné. Des personnes compétentes dans d’autres disciplines peuvent les assister. C'est
ainsi que des experts en matière de management des risques d’entreprise, d’audit des
systèmes d’information, d’échantillonnages statistiques, de systèmes de suivi des opérations
ou d’auto-évaluation du contrôle interne peuvent participer à certains aspects de l’évalua-
tion.
9. Le responsable de l’audit interne implique la direction générale et le Conseil dans le choix

de la démarche et dans la sélection du prestataire d’une revue qualité externe.
MPA 1300
10. L’évaluation externe consiste en un examen étendu portant notamment sur les paramètres
suivants :
 respect de la définition de l’audit interne, du Code de Déontologie, des Normes, de la
charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’audit
interne, ainsi que de la législation et réglementation en vigueur ;
 attentes du Conseil, de la direction générale et des directeurs opérationnels vis-à-vis
des prestations de l’audit interne ;
 intégration de l’audit interne dans le dispositif de gouvernement d’entreprise, y compris
au niveau des relations entre les principaux groupes impliqués dans ce dispositif ;
 outils et techniques utilisés par l’audit interne ;
 éventail des connaissances, de l’expérience et des compétences de l'équipe de l’audit
interne, y compris en ce qui concerne l’amélioration des processus ;
 valeur ajoutée apportée par l’audit interne et contribution à l’amélioration des opéra-
tions de l’organisation.
11. Les résultats préliminaires de l’évaluation sont examinés avec le responsable de l'audit interne
au cours du processus d’évaluation et à l’issue de ce dernier. Les résultats définitifs sont
communiqués au responsable d’audit interne ou au responsable qui a autorisé l’évaluation,
de préférence en adressant directement un exemplaire aux membres de la direction générale
concernés et aux membres du Conseil.
12. Les informations communiquées comportent :

 une opinion sur le respect de la définition de l’audit interne, du Code de Déontologie
et des Normes par le service d’audit interne, fondée sur un système de notation struc-
turé. Le terme « respect » signifie que les pratiques de l’audit interne, prises globalement,
satisfont aux conditions posées par la définition de l’audit interne, le Code de Déonto-

logie et les Normes. Parallèlement, le terme « non-respect » signifie que l’impact et la
gravité des anomalies constatées dans les pratiques de l’audit interne sont suffisam-
ment importants pour altérer la capacité de ce service à remplir ses responsabilités. Le
degré de respect partiel de la définition de l’audit interne, du Code de Déontologie ou
de chaque norme devrait également être mentionné, s’il influe sur l’opinion d’ensemble,
dans le rapport de l’évaluation indépendante. La formulation d’une opinion sur les résul-
tats de l’évaluation externe requiert un jugement sûr ainsi que des qualités d’intégrité
et de conscience professionnelle ;
 une évaluation de la mise en œuvre des meilleures pratiques telles qu'elles sont appa-
rues au cours de la revue ou qui pourraient s'appliquer dans l'environnement consi-
déré ;
 les recommandations, le cas échéant ;
 les réponses du responsable de l’audit interne comprenant un plan d’action et les dates
de mise en œuvre.
13. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne commu-
nique aux différentes parties prenantes de l’audit interne, telles que la direction générale, le
Conseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctrices
prévues sur les points significatifs, puis des informations concernant leur mise en œuvre.

MPA 1312-2
Évaluations externes :
auto-évaluation avec validation indépendante
une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne
doit s'entretenir avec le Conseil au sujet :
MPA 1300
Interprétation :
apparent.
1. Une évaluation externe périodique, réalisée par un évaluateur ou une équipe d’évaluateurs
compétents et indépendants peut être problématique pour les services d’audit interne de
taille modeste ou considérée comme n’étant pas vraiment appropriée ou nécessaire dans
d’autres organisations. Par exemple, le service d’audit interne peut (a) appartenir à un secteur
extrêmement régulé, (b) faire par ailleurs l’objet d’une supervision externe importante en
matière de gouvernance et de contrôle interne, (c) avoir récemment fait l’objet d’évaluations
externes et/ou de services de conseil aux cours desquels il y a eu un benchmark approfondi
avec les meilleures pratiques, ou (d) du point de vue du responsable d’audit interne, l’intérêt

pour le développement des auditeurs et le renforcement du programme d’assurance et
d’amélioration qualité surpasse actuellement l’intérêt d’une revue qualité par une équipe
externe.
2. Une auto-évaluation avec validation (externe) indépendante comporte les éléments suivants :
 un processus détaillé et parfaitement documenté d’auto-évaluation, comparable au
processus d’évaluation externe, du moins en ce qui concerne l’évaluation du respect
de la définition de l’audit interne, du Code de Déontologie et des Normes ;
 une validation sur site indépendante réalisée par un évaluateur qualifié ;
 des modalités économiques en termes de temps et de ressources, l’accent étant mis,
par exemple, sur le respect des Normes.
 les autres points, tels que l’analyse comparative, l’examen et les consultations relatifs à
l’emploi des meilleures pratiques, les entretiens avec la direction générale et les cadres
opérationnels peuvent faire l’objet d’une attention réduite. Cependant, les informations
obtenues par ces points sont parmi les plus bénéfiques lors d’une évaluation externe.
3. Les conditions et critères décrits dans la MPA 1312-1 s’appliquent en ce qui concerne :
 les considérations d’ordre général ;
 les qualifications de l’évaluateur ou de l’équipe d’évaluateurs externes ;
 l’indépendance, l’intégrité et l’objectivité, la compétence, l’approbation du choix de l’in-
tervenant par la direction générale et le Conseil, l’étendue de la mission (sauf pour des
domaines comme les outils et techniques utilisés, les autres meilleures pratiques, l’évo-
lution de carrière et les activités à valeur ajoutée) ;
 la communication des résultats (y compris des actions correctrices et de leur mise en
œuvre).
4. Le processus d’auto-évaluation est mis en œuvre et parfaitement documenté par une équipe
dirigée par le responsable de l’audit interne. Un projet de rapport similaire à celui concernant
l’évaluation externe est établi avec l’opinion du responsable du service d’audit concernant le
respect des Normes.
5. L’évaluateur ou l’équipe d’évaluateurs compétent(s) et indépendant(s) chargé(s) de la valida-

tion procèdent à des tests sur l’auto-évaluation, de façon à en valider les résultats et à formuler
une opinion sur le respect de la définition de l’audit interne, du Code de Déontologie et des
Normes. La validation indépendante suit le processus décrit dans le Manuel d’évaluation
qualité (Quality Assesment Manual) de l’IIA ou un processus comparable détaillé.
6. Au cours de la validation indépendante, qui inclut un examen rigoureux de l’évaluation du

respect de la définition de l’audit interne, du Code de Déontologie et des Normes, l’évaluateur
externe indépendant :

 examine le projet de rapport et s’efforce, le cas échéant, de résoudre les points en

suspens ;
 en cas d’accord avec l’opinion concernant le respect de la définition de l’audit interne,
du Code de Déontologie et des Normes, il complète le rapport (s’il y a lieu), afin d’ap-
prouver le processus d’auto-évaluation et l’opinion exprimée par le responsable de l’au-
dit, ainsi que les constatations, conclusions et recommandations (s’il le juge opportun) ;
 en cas de désaccord avec cette évaluation, il fait part de son désaccord dans le rapport
en précisant les points de divergence avec ce dernier et, s’il le juge opportun, avec les
constatations, conclusions et recommandations significatives qu’il contient ;
 peut également établir un rapport de validation indépendante séparé, mentionnant
son accord ou son désaccord comme indiqué ci-dessus, à joindre au rapport d’auto-
évaluation.
7. Le (s) rapport(s) final(s) de l’auto-évaluation avec validation indépendante sont ensuite

signé(s) par l’équipe chargée de l’auto-évaluation et la personne compétente responsable
MPA 1300
de la validation indépendante, puis diffusé(s) à la direction générale et au Conseil par le
responsable de l’audit interne.
8. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne commu-

nique aux différentes parties prenantes de l’audit interne, telles que la direction générale, le
Conseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctrices
prévues sur les points significatifs, puis des informations concernant leur mise en œuvre.

MPA 1312-3
Indépendance de l’équipe d’évaluation externe
dans le secteur privé
une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
apparent.
1. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’organisa-
tion évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit
d’intérêt réel ou supposé entre les membres de l’équipe d’évaluation et l’organisation et/ou
son personnel. Les éléments devant être pris en compte pour évaluer l’indépendance de
l’équipe d’évaluation comprennent ce qui suit :
 Indépendant de l’organisation signifie ne pas être sous l’influence de l’organisation dont
le service d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés
1 © IFACI - septembre 2011

Modalités Pratiques d’Application
doivent être pris en compte dans le cadre du processus de sélection d’un évaluateur
externe. Un conflit d’intérêts peut découler de relations passées, présentes ou poten-
tielles avec l’organisation ou son service d’audit interne. Les relations personnelles et/ou
d’ordre commercial doivent être prises en compte.
 Dans le secteur privé (c’est-à-dire indépendant de l’État), le personnel d’une même
organisation mais rattaché à des départements différents, ou à une organisation liée,
bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme indépendant
pour la réalisation d’une évaluation externe. L’expression « organisation liée » désigne
l’entité ou la société mère, les sociétés affiliées d’un même groupe ou une entité exer-
çant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualité
vis-à-vis de l’organisation dont le service d’audit interne fait l’objet d’une évaluation
externe.
 Des évaluations externes réciproques peuvent être effectuées par des équipes prove-
nant d’au moins trois organisations différentes de façon à satisfaire l’objectif d’indépen-
dance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas et
MPA 1300
à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonc-
tions sans contrainte de confidentialité, etc. La réalisation d’évaluations externes réci-
proques entre deux organisations ne peut pas être prise en considération en tant
qu’évaluation externe indépendante.
2. L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doit

être discutée avec le Conseil.
© IFACI - septembre 2011 2

MPA 1312-4
Indépendance de l’équipe d’évaluation externe
dans le secteur public
une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable
de l'audit interne doit s'entretenir avec le Conseil au sujet :
Interprétation :
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux
possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée.
apparent.
1. Le terme « secteur public », qui englobe tous les niveaux d’intervention de l’État, comprend
les établissements ou les entreprises (« l’entité ») détenus ou contrôlés par l’État. Dans le
secteur public, les services d’audit interne des différents niveaux d’intervention de l’État
peuvent être considérés comme indépendants pour la réalisation d’une évaluation externe.
2. Les entités parapubliques englobent des entreprises qui sont détenues ou contrôlées par
plusieurs États, des institutions ou des organisations, telles que les Nations Unies ou la

Commission européenne. En raison de leur caractère multilatéral, les organisations interna-

tionales devraient appliquer les lignes directrices destinées au secteur privé.
Commentaire IFACI
Les lignes directrices du secteur public sont généralement plus appropriées pour les organisations intergouvernementales
qui prolongent et se substituent à l’action publique étatique.
Néanmoins, la notion d’organisation liée, développée dans le §1 de la MPA 1312-3 relative au secteur privé, devra être prise
en considération pour apprécier l’indépendance du personnel d’une institution donnée en fonction du niveau de
contrôle/supervision de l’organisation dont le service d’audit interne fait l’objet d’une évaluation externe.
3. Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’entité
évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit d’in-
térêt réel ou supposé entre les membres de l’équipe d’évaluation et l’entité et/ou son person-
nel. Les éléments devant être pris en compte pour évaluer l’indépendance de l’équipe
MPA 1300
d’évaluation comprennent ce qui suit :
 Indépendant de l’entité signifie ne pas être sous l’influence de l’entité dont le service
d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés doivent
être pris en compte dans le cadre du processus de sélection d’un évaluateur externe.
Un conflit d’intérêts peut découler de relations passées, présentes ou potentielles avec
l’entité ou son service d’audit interne. Les relations personnelles et/ou d’ordre commer-
cial doivent être prises en compte.
 Dans le secteur public, le personnel rattaché à des services d’audit interne distincts
dans des entités différentes mais correspondant à un niveau d’intervention donné de
l’État (administration nationale, régionale, départementale, ou locale) peut être consi-
déré comme indépendant pour la réalisation d’une évaluation externe.
 Lorsqu’une ou plusieurs activités d’audit interne sont réalisées au même niveau d’in-
tervention de l’État et sous l’autorité du même responsable de l’audit interne, le person-
nel concerné par ces activités n’est pas considéré comme indépendant pour la
réalisation d’une évaluation externe, même s’il est rattaché à des entités différentes.
Seuls des évaluateurs indépendants de chacune de ces entités peuvent réaliser une
évaluation externe.
 Des évaluations externes réciproques peuvent être effectuées par des équipes prove-
nant d’au moins trois entités différentes de façon à satisfaire l’objectif d’indépendance.
Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce que
tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sans
contrainte de confidentialité, etc. La réalisation d’évaluations externes réciproques entre
deux entités ne peut pas être prise en considération en tant qu’évaluation externe indé-
pendante.
© IFACI - septembre 2011 2

4. L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doit
être discutée avec le Conseil.
5. Lorsqu’il sélectionne l’équipe en vue de réaliser une évaluation, le responsable de l’audit

interne doit prendre en compte le niveau d’expérience de ses membres dans le secteur
public.

MPA 1321-1
Utilisation de la mention « conforme aux Normes
internationales pour la pratique professionnelle de
l’audit interne »
1321 – utilisation de la mention « conforme aux Normes internationales

pour la pratique professionnelle de l’audit interne »
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite confor-
mément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement
si les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.
Interprétation :
Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de
la Définition de l’audit interne, du Code de déontologie et des Normes.
Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des
évaluations internes et des évaluations externes. Tout service d’audit interne disposera de
résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancien-
neté disposeront également des résultats de leurs évaluations externes.
1. La surveillance permanente ainsi que les évaluations externe et interne de l’audit interne ont
pour objet d’évaluer et formuler une opinion sur la conformité de cette activité par rapport
à la définition de l’audit interne, au Code de Déontologie et aux Normes. Ils incluent si néces-
saire des recommandations en vue d’une amélioration.
2. Des évaluations externes doivent être réalisées tous les cinq ans.
Commentaire IFACI
L’IFACI considère qu’une période de cinq ans est inadaptée dans la plupart des cas pour la réalisation d’évaluations externes.
En effet, l’audit interne est une fonction clé du dispositif de contrôle interne qui fait l’objet tous les ans d’un rapport
approuvé par le conseil d’administration. Dans ce rapport, rendu public, le Président du Conseil rend notamment compte
des procédures de contrôle interne et de gestion des risques. En tant que partie prenante directement concernée par ces
processus, l’audit interne se doit de justifier d’un professionnalisme.
Par ailleurs, l’audit interne est généralement une fonction à rotation de personnel élevée.
Pour ces raisons, la Certification IFACI prend la forme d’un audit de certification et d’audits de suivi annuel, afin de répondre

à l’engagement de progrès continu des départements d’audit interne.

Ce modèle encourage ainsi la mise en œuvre rapide et optimale des plans d’action de l’audit interne et permet d’acter les
améliorations qui y sont déployées.
Il assure également le maintien de la vigilance des auditeurs et prévient toute dérive éventuelle.
Il permet d’intégrer pro activement les évolutions des meilleures pratiques d’audit.
Il oblige à rester en alerte sur les changements de l’environnement interne et externe de l’organisation.
Il conduit à tenir compte de la vision et des besoins évolutifs des parties prenantes.
3. On peut utiliser la formule « Conforme avec les Normes » ou « En conformité avec les Normes ».
L’emploi d’une de ces expressions exige qu’une évaluation externe soit réalisée au moins une
fois tous les cinq ans, et qu’elle soit accompagnée d’une surveillance permanente et d’éva-
luations internes périodiques. Il faut également que ces activités débouchent sur la conclu-
sion que l’audit interne respecte la définition de l’audit interne, le Code de Déontologie et
les Normes. L'emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a
MPA 1300
pas démontré que l’audit interne fonctionne en conformité avec la définition de l’audit
interne, le Code de Déontologie et les Normes.
4. Le responsable de l’audit interne indique à la direction générale et au Conseil, les cas de non-
conformité qui ont une incidence sur le champ d’intervention ou le fonctionnement de l’audit
interne, y compris l’incapacité à obtenir une évaluation externe dans le délai de cinq ans.
5. Avant toute utilisation des formules ci-dessus par l’audit interne, tout cas de non-conformité
mis en évidence par une évaluation (interne ou externe) de la qualité, et de nature à altérer
la capacité de ce service à s’acquitter de ses responsabilités :
 doit être résolu de façon adéquate ;
 les actions correctrices sont documentées et notifiées à l’évaluateur (aux évaluateurs)
concerné(s), de façon à obtenir son approbation quant au caractère adéquat de la solu-
tion apportée à la non-conformité ;
 les actions correctrices ainsi que l’approbation du (des) évaluateur(s) concerné(s) sont
portées à la connaissance de la direction générale et du Conseil.

mPA SÉrIE 2000
MPA 2000
gEStIoN DE l’AuDIt INtErNE

MPA 2010-1
La prise en compte des risques et des menaces
pour l’élaboration du plan d’audit
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de
définir des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.
Pour se faire, le responsable de l’audit interne prend en compte le système de management des
risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de l’organisation. Si ce système
de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre
analyse des risques après consultation de la direction générale et du Conseil.
MPA 2000
1. En élaborant le plan d'audit, la plupart des responsables de l’audit interne choisissent d'abord
de développer ou d’actualiser l’univers d'audit. L’univers d’audit recense tous les audits
pouvant être réalisés. Le responsable de l’audit interne peut recueillir la contribution de la
direction générale et du Conseil pour constituer l’univers d’audit.
Commentaire IFACI
Pour mener à bien cette mission, il est important que l’audit interne ait une bonne compréhension du processus de
management des risques. Pour cela, il doit bien appréhender les rôles respectifs de l’audit interne, des risk managers, du
comité d’audit et du comité des risques s’ils existent. S’il apparaît que ceux-ci sont insuffisamment précis ou non
coordonnés, l’audit interne doit en informer la direction générale et lui faire part de ses recommandations en vue
d’améliorer la gestion des risques de l’organisation. Nous renvoyons à la MPA 2120-1 qui traite précisément du rôle de
l’auditeur interne dans le processus de management de risque et en l’absence d’un tel processus.
2. L’univers d’audit peut intégrer certaines composantes du plan stratégique de l’organisation,

de façon à tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, les
plans stratégiques reflètent l’attitude de l’organisation face aux risques et le degré de difficulté
que comporte la réalisation des objectifs fixés. L’univers d’audit prend généralement en
compte les résultats du processus de management des risques. En principe, le plan straté-

gique de l’organisation tient compte de l’environnement dans lequel elle opère. Les facteurs
liés à cet environnement influeront vraisemblablement l’univers d’audit et l’évaluation des
risques.
3. Le responsable de l’audit interne prépare le plan d'audit à partir de l’univers d'audit, des contri-
butions de la direction générale et du Conseil, d’une évaluation des risques et des menaces
pouvant affecter l'organisation. Les principaux objectifs d’audit visent à fournir une assurance
et des informations, notamment en ce qui concerne l’évaluation de l’efficacité de la gestion
des risques par le management, à la direction générale et au Conseil afin de les aider à attein-
dre les objectifs de l'organisation.
4. L’univers et la planification d’audit sont actualisés afin d’intégrer les changements d’orienta-
tion, d’objectifs et de priorité décidés par la direction générale. Il est conseillé d’examiner l’ap-
proche d’audit, au minimum une fois par an, afin de l’adapter aux stratégies et aux
orientations les plus récentes de l’organisation. Il peut s’avérer nécessaire, dans certains cas,
de procéder à une mise à jour plus régulière (trimestrielle, par exemple) des plans d’audit en
fonction des évolutions intervenues dans les activités commerciales, le fonctionnement, les
programmes, les systèmes et les contrôles de l’organisation.
5. Le plan des missions d’audit est établi, entre autres, sur la base d’une évaluation des princi-
paux risques et menaces. Il convient de définir des priorités de façon à affecter les ressources
en fonction du caractère significatif des risques. Le responsable de l'audit interne a, à sa dispo-
sition, divers modèles de risques pour l’aider à définir les zones d’audit prioritaires. La plupart
de ces modèles utilisent des facteurs de risque tels que l’impact, la probabilité d’occurrence,
la matérialité, la liquidité des actifs, la compétence du management, la qualité et le respect
des contrôles internes, le niveau de changement ou de stabilité, la date et les résultats de la
dernière mission d’audit, la complexité, les relations avec le personnel et l’administration, etc.
Les méthodes et les techniques utilisées dans le cadre des missions d’audit, pour effectuer
des tests et valider l’exposition aux risques, doivent tenir compte de la matérialité des risques
et de leur probabilité d’occurrence.
Commentaire IFACI
Parmi les divers modèles de risques existants, citons par exemple :

• le management des risques de l’entreprise – COSO Report II, dont la traduction a été publiée par l’IFACI ;
• les modèles présentés dans les cahiers de la recherche « Management des risques », publiés par l’IFACI ;
• le cadre de référence de la gestion des risques du Ferma (Federation of European Risk Management Association) ;
• les modèles proposés dans les séminaires de l’IFACI sur l’évaluation et la maîtrise des risques et sur la cartographie des
risques.
Bien entendu, il appartient à chaque service d’audit interne de les analyser et de se les approprier.

MPA 2010-2
Prise en compte du management des risques
dans la planification de l’audit interne
2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de
définir des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques.
Pour se faire, le responsable de l’audit interne prend en compte le système de management des
risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de l’organisation. Si ce système
de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre
analyse des risques après consultation de la direction générale et du Conseil.
MPA 2000
1. Le management des risques est une composante primordiale de la bonne gouvernance. Il
concerne toutes les activités d’une organisation. Nombre d’organisations sont en train d’adop-
ter une approche de management des risques homogène et holistique, qui, dans l’idéal, doit
être pleinement intégrée à leur management global. Le management des risques s’applique
à tous les niveaux : entreprise, fonctions et unités opérationnelles. Les managers recourent
généralement à un cadre de référence du management des risques pour réaliser l’évaluation
nécessaire et en documenter les résultats.
2. S’il est efficace, le processus de management des risques peut faciliter l’identification des
contrôles clés liés aux risques inhérents les plus importants. Le management des risques de
l’entreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of
Sponsoring Organizations of the Treadway Commission (COSO) le définit comme « un proces-
sus mis en œuvre par le Conseil d’administration, la direction générale, le management et
l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans
les limites de la tolérance au risque. Il vise à fournir une assurance raisonnable quant à l’at-
teinte des objectifs de l’organisation ». L’exécution des contrôles est l’une des méthodes utili-
sée par le management pour gérer les risques dans les limites de son appétence pour le

risque. Les auditeurs internes vérifient les contrôles clés et donnent une assurance sur le
management des risques significatifs.
3. Les Normes pour la pratique professionnelle de l’audit interne (les Normes) élaborées par l’IIA
définissent le contrôle comme « toute mesure prise par le management, le Conseil et d'autres
parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront
atteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffi-
santes pour donner une assurance raisonnable que les buts et objectifs seront atteints ».
4. Il convient de distinguer deux concepts fondamentaux : le risque inhérent et le risque résiduel

(ou risque actuel). Les auditeurs financiers/externes utilisent depuis longtemps le concept
de risque inhérent, que l’on peut considérer comme étant le fait que des informations ou des
données puissent être significativement erronées en l’absence de contrôles d’atténuation
correspondants.
D’après les Normes, les risques résiduels sont « les risques qui subsistent après les mesures
prises par le management pour réduire l'impact et la probabilité d'occurrence d'un événe-
ment défavorable et, notamment, après les dispositifs de contrôle mis en place en réponse
à un risque ». Le risque actuel est souvent défini comme le risque géré dans le cadre des acti-
vités de contrôles ou du dispositif de contrôle en place.
5. Les contrôles clés sont les contrôles ou les ensembles de contrôles qui aident à réduire le
risque à un niveau acceptable. On peut les considérer comme des processus organisationnels
visant à traiter les risques. Si le management des risques est efficace (et accompagné d’une
documentation adéquate), il est facile d’identifier les contrôles clés en examinant l’écart entre
risque inhérent et risque résiduel dans tous les dispositifs sur lesquels l’organisation s’appuie
pour réduire le niveau des risques importants. Si le risque inhérent n’a pas été identifié, l’au-
diteur interne l’estime. Lorsqu’il identifie les contrôles clés (et dans l’hypothèse où il a conclu
à la maturité et à la fiabilité du management des risques), l’auditeur interne examine :
 chaque facteur de risque correspondant à un écart significatif entre le risque inhérent
et le risque résiduel (surtout si le risque inhérent était particulièrement élevé). Cette
analyse met en lumière les contrôles importants pour l’organisation ;
 les contrôles qui servent à réduire un grand nombre de risques.
6. La planification de l’audit interne doit s’appuyer sur le processus de management des risques
de l’organisation, lorsque celui-ci a été déployé. Quand il planifie une mission, l’auditeur
interne prend en compte les risques importants liés à l’activité et les moyens par lesquels le
management ramène le risque à un niveau acceptable. Il recourt à des techniques d’évalua-
tion des risques pour établir le plan de la mission et pour définir les priorités afin d’allouer en
conséquence les ressources dédiées à la mission. L’évaluation des risques sert à fixer les prio-
rités parmi les entités pouvant être auditées et à sélectionner les domaines devant faire l’objet

d’une revue. Les entités et les domaines qui présentent la plus forte exposition aux risques
devront être intégrés dans les plans de la mission.
7. Les auditeurs internes ne sont pas toujours qualifiés pour examiner toutes les catégories de
risques et le processus de management des risques au sein de l’organisation (audits internes
portant sur l’hygiène et la sécurité au travail, audits environnementaux ou instruments finan-
ciers complexes, par exemple). Le responsable de l’audit interne veille, par conséquent, à faire
appel aux auditeurs internes qui disposent de compétences spécialisées, ou à des prestataires
extérieurs.
8. La configuration des processus et des systèmes de management des risques varie d’un pays
à l’autre et leur maturité d’une organisation à l’autre. Dans les organisations où le service de
management des risques est centralisé, celui-ci coordonne ses activités avec celles des mana-
gers, de façon à surveiller en permanence le dispositif de contrôle interne et à l’adapter en
fonction de l’évolution de l’appétence pour le risque. Les processus de management des
risques qui sont mis en œuvre dans différentes parties du monde peuvent différer par leur
philosophie, leurs structures et leur terminologie. C’est pourquoi les auditeurs internes
évaluent le processus propre à l’organisation considérée et déterminent quels éléments
peuvent servir à élaborer le plan d’audit interne ou le plan d’une mission donnée.
MPA 2000
9. Lorsque l’auditeur interne établit son plan, il doit prendre en compte un certain nombre d’élé-
ments :
 les risques inhérents – Sont-ils identifiés et évalués ?
 les risques résiduels – Sont-ils identifiés et évalués ?
 les contrôles d’atténuation, les plans de secours et le pilotage des activités– Sont-ils
associés à des événements et/ou à des risques spécifiques ?
 l’inventaire ou le registre des risques – Est-il systématique, alimenté et précis ?
 la documentation – Les risques et activités sont-ils documentés ?
De plus, l’auditeur interne coordonne ses activités avec celles des autres prestataires de
services d’assurance et planifie l’utilisation éventuelle de leurs travaux.
[Voir la Modalité pratique d’application 2050-2 : Cartographie des services donnant une assu-
rance sur les dispositifs de contrôle et de management des risques.]
10. La charte d’audit interne requiert que le service d’audit interne se concentre sur les domaines
à haut risque, qu’il s’agisse des risques inhérents ou des risques résiduels. L’audit interne doit
identifier les domaines dans lesquels il existe un risque inhérent élevé, des risques résiduels
élevés et les contrôles clés pour lesquels l’organisation a le plus d’assurance. Si l’audit interne
repère des domaines présentant un risque résiduel inacceptable, il doit en aviser le manage-
ment, afin que ce risque puisse être géré. En appliquant un processus de planification stra-

tégique, l’auditeur interne sera à même d’identifier différents types d’activités à inclure dans
le plan d’audit, tels que :
 les activités de contrôle/revues d’assurance – L’auditeur interne examine l’adéquation
et l’efficience des dispositifs de contrôle et apporte l’assurance que les contrôles fonc-
tionnent et que les risques sont gérés efficacement ;
 les demandes d’information – Le management de l’organisation estime le degré d’in-
certitude inacceptable en ce qui concerne les contrôles portant sur une activité ou un
domaine de risque identifié, et l’auditeur interne met en œuvre des procédures desti-
nées à mieux appréhender le risque résiduel ;
 les activités de conseil – L’auditeur interne conseille le management de l’organisation
sur la conception des dispositifs de contrôle destinés à ramener les risques existants à
un niveau acceptable.
Les auditeurs internes cherchent également à identifier les contrôles superflus, redondants,
excessifs ou complexes qui ne contribuent pas à la réduction efficiente du risque. Il arrive
que le contrôle ait un coût supérieur à ses bénéfices. Ce contrôle pourra être redéfini avec
davantage d’efficience.
11. L’identification des risques pertinents doit être systématique et bien documentée. Il existe
différentes formes de documentation, qui vont d’un tableur, dans les petites organisations,
au logiciel acheté à l’extérieur, dans les organisations plus sophistiquées. L’essentiel, c’est que
le processus de management des risques soit intégralement documenté.
12. La documentation du management des risques, dans une organisation, peut être effectuée
à différents niveaux inférieurs et en deça du niveau stratégique. Pour les risques non straté-
giques, nombre d’organisations ont constitué un inventaire des risques qui informe sur les
risques importants dans un domaine, ainsi que le niveau des risques inhérents et résiduels
correspondants, sur les contrôles clés et sur les mesures d’atténuation. Il est ensuite possible
de recourir à un rapprochement permettant d’établir des liens plus directs entre les « caté-
gories » de risques et les « niveaux d’exposition » décrits dans les registres des risques et, le
cas échéant, les éléments déjà inclus dans l’univers d’audit.
13. Il arrive que certaines organisations identifient plusieurs domaines dans lesquels le risque
inhérent est élevé (ou plus élevé). Bien que ces risques puissent justifier l’attention de l’audit
interne, il n’est pas toujours possible de tous les examiner. Si, d’après le registre des risques,
le risque inhérent est jugé élevé ou en augmentation dans un domaine particulier et si le
risque résiduel reste, pour une large part, inchangé et qu’aucune action n’est prévue par le
management ou par l’audit interne, le responsable de l’audit interne en rend compte au
Conseil, en détaillant l’analyse des risques et les raisons pour lesquelles certains contrôles
n’ont pas été mis en place ou sont inefficaces.

14. Une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquels le
niveau de risque est faible doit être périodiquement incluse dans le plan d’audit interne afin
de viser la couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ont
pas évolué. L’audit interne définit également une méthode de hiérarchisation des risques qui
n’ont pas encore fait l’objet d’un audit interne.
15. Un plan d’audit interne est habituellement axé sur :

 les risques actuels inacceptables, qui nécessitent une action du management. Ils
concernent des domaines dans lesquels les contrôles clés ou les mesures d’atténuation
sont limités au minimum, et que la direction générale souhaite faire auditer sans délai ;
 les dispositifs de contrôle sur lesquels l’organisation s’appuie le plus ;
 les domaines dans lesquels il existe un écart considérable entre risque inhérent et risque
résiduel ;
 les domaines dans lesquels le risque inhérent est très élevé.
16. Lorsque l’auditeur interne planifie une mission donnée, il identifie et évalue les risques liés
au domaine examiné.
MPA 2000

MPA 2020-1
Communication et approbation
2020 – Communication et approbation
Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son

plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important
susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également
signaler l'impact de toute limitation de ses ressources.
1. Le responsable de l'audit interne soumet, annuellement, pour examen et approbation, à la

direction générale et au Conseil, une synthèse du plan annuel d’audit interne, du planning
des travaux, des prévisions d’effectifs et le budget financier. Cette synthèse signalera à la direc-
tion générale et au Conseil l’étendue des missions d’audit et, le cas échéant, les limitations
qui y sont apportées. Le responsable de l'audit interne signalera également, pour information
et approbation, tout changement ultérieur significatif.
2. Le planning des travaux, les prévisions d’effectifs et le budget financier approuvés, ainsi que
tous les changements importants survenus en cours d’exercice, doivent contenir suffisam-
ment d’informations pour permettre à la direction générale et au Conseil de déterminer si
les objectifs et les plans de l’audit interne correspondent à ceux de l’organisation et du Conseil
et sont cohérents avec la charte d’audit interne.

MPA 2030-1
Gestion des ressources
2030 – gestion des ressources
Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité
soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit
approuvé.
Interprétation :
On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-
tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité
de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-
cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
1. Le responsable de l’audit interne s’assure de l’adéquation et de la gestion des ressources
MPA 2000
nécessaires à l’exercice des responsabilités de l’audit interne, telles que définies dans la charte.
Cela suppose l’existence d’une réelle communication avec la direction générale et le Conseil
sur les besoins et le profil des ressources de l’audit interne. Les ressources de l’audit interne
peuvent comprendre des salariés, des prestataires externes, des contributions financières et
des techniques d’audit informatisées. Le responsable de l’audit interne devrait assister la direc-
tion générale et le Conseil qui ont la responsabilité ultime de garantir l’adéquation des
ressources avec les besoins de l’audit interne.
2. Les compétences, le potentiel, ainsi que les connaissances techniques de l’équipe d’audit
interne doivent être appropriées par rapport aux activités programmées. Le responsable de
l’audit interne réalisera une évaluation ou un recensement périodique des compétences
spécifiques requises pour accomplir les activités de l’audit interne. L’évaluation des compé-
tences est fondée sur les besoins identifiés lors de l’évaluation des risques et dans le plan
d’audit. Cette évaluation porte sur les compétences techniques, linguistiques, de gestion, de
prévention et de détection des fraudes, ainsi que les expertises en comptabilité et en audit.
3. Il faut que les ressources de l’audit interne soient suffisantes pour permettre l’accomplisse-
ment de ses activités avec toute la justesse, la précision et la ponctualité attendues par la
direction générale et le Conseil, comme prévu dans la charte d’audit interne. Les éléments à
prendre en considération lors de la planification des ressources incluent l'univers d'audit, les
niveaux de risques appropriés, le plan annuel d'audit, les attentes en matière de couverture,
et une estimation des activités imprévues.

Commentaire IFACI
Il convient de rappeler que le budget d’un service d’audit interne, réalisé en collaboration avec la direction des ressources
humaines et la direction du contrôle de gestion, se compose de trois éléments :
• un budget d’effectifs, avec un plan de recrutement (pluriannuel) et une prévision de mobilités externes ;
• un budget financier, avec des crédits de formation, d’études, d’honoraires, de sous-traitance, de moyens coordonnés
avec les auditeurs externes, des frais de déplacement…;
• un budget logistique (outils informatiques, locaux, véhicules…).
Ce budget doit permettre d’optimiser la structure et l’organisation du service d’audit interne en fonction de la couverture
d’audit et des contraintes financières.
4. Le responsable de l’audit interne devra s’assurer que les ressources sont efficacement
déployées. Les auditeurs compétents et qualifiés sont ainsi affectés à des missions spécifiques.
Cela implique également le développement d’une démarche d’analyse des ressources, d’une
structure adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographique
de l’organisation.
5. Plus généralement, le responsable de l’audit interne prend aussi en considération le plan de

succession, l’évaluation du personnel, les programmes de développement des compétences,
ainsi que d’autres sujets de ressources humaines. Le responsable de l’audit interne s’assure
que les besoins de ressources de l’audit interne sont correctement pris en compte, et ce,
quelles que soient les compétences présentes ou non dans la fonction d’audit interne propre-
ment dite. Le responsable de l’audit interne envisage d’autres approches pour combler les
besoins de ressources, notamment le recours à des prestataires externes de service, à des
employés d’autres départements de l’organisation ou à des consultants spécialisés.
Commentaire IFACI
Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines de
l’organisation. Un bon degré de liberté du responsable de l’audit interne lui permet de sélectionner les collaborateurs les
mieux adaptés tout en prenant en considération les exigences de l’organisation telles que les redéploiements de
compétences, la grille de rémunérations…
6. En raison du caractère critique des ressources, le responsable de l’audit interne communique

régulièrement avec la direction générale et le Conseil, sur l’adéquation des ressources néces-
saires au fonctionnement de l’audit interne. Le responsable de l’audit interne présente pério-
diquement à la direction générale et au Conseil une synthèse précisant le profil et
l’adéquation des ressources. A cette fin, le responsable de l’audit interne développe des indi-
cateurs appropriés, fixe des buts et objectifs pour contrôler l’adéquation générale des

ressources. Il peut s’agir de la comparaison des ressources avec le plan annuel d’audit, de l’im-
pact d’une absence temporaire de ressources ou d’une vacance de poste, des formations et
apprentissages, de nouveaux besoins ou exigences spécifiques résultant des changements
intervenus dans les activités commerciales, le fonctionnement, les programmes, les systèmes
et les contrôles de l’organisation.
MPA 2000

MPA 2040-1
Règles et procédures
2040 – règles et procédures
Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'ac-
tivité d'audit interne.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est struc-
turé l’audit interne et de la complexité de ses travaux.
1. Le responsable de l’audit interne établit des règles et des procédures. Des manuels adminis-
tratifs et techniques peuvent ne pas être nécessaires pour toutes les entités d’audit interne.
Un petit service d’audit interne peut être dirigé d’une manière informelle. Son personnel peut
être dirigé et contrôlé au jour le jour par une supervision étroite et des notes de service qui
définissent les règles et les procédures à suivre. Par contre, dans un service d’audit interne
important, il est essentiel de disposer de règles et procédures plus formalisées et complètes
pour guider les auditeurs dans la réalisation du plan annuel d’audit.
Commentaire IFACI
Il est important d’avoir des protocoles ou procédures propres à l’audit interne qui s’inscrivent dans le cadre de conventions
régissant les rapports entre les sociétés d’un même groupe : par exemple, existence d’un audit groupe et de services d’audit
décentralisés dans les filiales.

MPA 2050-1
Coordination
2050 – Coordination
Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit
interne devrait partager des informations et coordonner les activités avec les autres prestataires
internes et externes d'assurance et de conseil.
1. La surveillance des travaux de commissariat aux comptes, y compris la coordination avec

l’audit interne, est du ressort du Conseil.
La coordination des travaux d’audit interne et externe relève du responsable de l'audit interne.
Celui-ci obtient l’appui du Conseil pour coordonner efficacement les travaux d’audit.
Commentaire IFACI
MPA 2000
Sur le plan opérationnel, la coordination audit interne/audit externe dans un certain nombre de sociétés cotées reste encore
du ressort du directeur financier. Il est souhaitable que le responsable de l’audit interne, dans le cadre de ses responsabilités
et si son rattachement lui en donne la possibilité, prenne en charge ce processus.
Commentaire IFACI
Voici les recommandations du Comité de Bâle dans son document publié en août 2001 sur « L’audit interne dans les
banques et les relations des autorités de tutelle avec les auditeurs » :
« Relations entre les auditeurs internes et les auditeurs externes
Principe n° 16
Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de façon à rendre leur
collaboration aussi réelle et efficace que possible.
64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison de leurs activités
d'audit et notamment, de leurs entretiens avec la direction générale et le Conseil d'Administration ou le Comité d'Audit,
s’il existe, ainsi que par leurs recommandations pour l'amélioration du contrôle interne.
65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et l'étendue des
procédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes en France) est seul responsable
de son opinion sur les états financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux
rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention de l'auditeur interne et
qui pourrait avoir une incidence sur son travail. De même, l’auditeur externe doit informer l'auditeur interne de tout
problème important qui pourrait le concerner.

66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec
celui des auditeurs externes. La coordination entre les services d'audit nécessite des rencontres périodiques pour
s'entretenir de questions d'intérêt commun, procéder à l'échange des rapports d'audit et des notes de la direction et
convenir de techniques, méthodes et terminologies communes. »
Commentaire IFACI
En France, le comité d’audit peut assumer la surveillance de cette coordination, selon l’IFA « Les Comités d’Audit : 100
bonnes pratiques » : « il appartient également au comité d’audit de veiller à ce que l’audit interne et l’audit externe
coordonnent leurs efforts et que leur communication soit efficace. ».
2. Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance
sur des activités comprises dans le périmètre de l’audit interne. Dans ce cas, le responsable
de l’audit interne prend les mesures nécessaires pour comprendre le travail réalisé par les
auditeurs externes, notamment :
 l’étendue, la nature du travail et l’échéancier prévus par les auditeurs externes et s’assurer
que le travail des auditeurs internes et externes répond aux exigences de la Norme
2100 ;
 l’évaluation des risques et le seuil de matérialité utilisés par les auditeurs externes ;
 les techniques, les méthodes et la terminologie employées par les auditeurs externes,
afin de permettre au responsable de l’audit interne de (1) coordonner le travail des audi-
teurs internes et externes, (2) évaluer le travail des auditeurs externes pour s’y appuyer,
(3) communiquer efficacement avec les auditeurs externes.
 l’accès aux programmes et aux documents de travail des auditeurs externes pour s’as-
surer que leur travail peut être utilisé pour atteindre les objectifs de l’audit interne. Les
auditeurs internes respectent la confidentialité de ces programmes et documents de
travail.
Commentaire IFACI
Il est donc souhaitable que le responsable de l’audit interne assiste aux réunions d’arbitrage du planning des commissaires
aux comptes et aux réunions de restitution des résultats.

3. L’auditeur externe peut se référer aux travaux de l’audit interne. Dans ce cas, il convient que
le responsable de l’audit interne fournisse suffisamment d’informations pour permettre à l’au-
diteur externe de comprendre les techniques, méthodes et terminologie employées par l’au-
dit interne et faciliter la référence à ses travaux. Les auditeurs externes ont accès aux
programmes et aux documents de travail des auditeurs internes pour s’assurer que leur travail
peut être utilisé pour atteindre les objectifs de l’audit externe.
Commentaire IFACI
La Compagnie Nationale des Commissaires aux Comptes préconise également cette coordination avec l’audit interne. Selon
la norme d’exercice professionnel 610 le commissaire peut utiliser des travaux réalisés par l’audit interne après avoir
apprécié des éléments comme :
• la place qu’occupe l’audit interne dans l’organisation de l’entité. Le commissaire aux comptes examine les règles et les
procédures mises en place dans l’entité pour assurer l’objectivité des auditeurs internes dans la réalisation de leurs
travaux et l’émission de leurs conclusions ;
• la nature et l’étendue des travaux confiés à l’audit interne ;
• les qualifications professionnelles des auditeurs internes et leur expérience acquise dans ces fonctions ;
• l’organisation de l’audit interne en termes de planification, mise en œuvre et supervision des travaux ;
• la documentation existante, y compris les programmes de travail et autres procédures écrites ;
• la prise en compte par la direction des recommandations formulées par l’audit interne et si elle met en œuvre des
MPA 2000
actions pour répondre à ces recommandations.
Commentaire IFACI
Le fait qu’un service d’audit interne dispose d’auditeur interne CIA et/ou DPAI et soit certifié, est un commencement de
preuve très fort de professionnalisme. Ce sont des préalables qui permettent ensuite aux commissaires aux comptes de se
référer aux travaux réalisés par l’audit interne.
4. L’utilisation de techniques, méthodes et terminologie similaires par les auditeurs internes et

externes, la coordination effective de leurs travaux et la référence mutuelle aux travaux
peuvent constituer une approche efficiente.
5. Les missions planifiées des auditeurs internes et externes devront être examinées pour s’as-
surer que la couverture de l’audit est coordonnée et que la duplication des travaux est mini-
misée lorsque cela est possible. Un nombre suffisant de rencontres sont programmées
pendant le processus d’audit pour assurer la coordination des travaux, l’efficacité et l'achè-
vement dans un délai raisonnable des missions, et déterminer si les observations et recom-
mandations issues des travaux déjà réalisés nécessitent de modifier le programme
d’intervention.

6. Les rapports définitifs de l'audit interne, les commentaires du management à propos de ces
rapports, et les analyses complémentaires qui en découlent sont mis à disposition des audi-
teurs externes. Ces rapports aident les auditeurs externes à déterminer et à ajuster l’étendue
et la durée de leur travail. De plus, les auditeurs internes ont besoin d’accéder aux supports
de présentation des auditeurs externes et aux documents adressés à la direction. Les points
abordés dans ces documents sont pris en considération par le responsable de l’audit interne
et utilisés comme une donnée permettant d’identifier des domaines sur lesquels il convient
de mettre l’accent dans les travaux futurs de l’audit interne. Une fois la lettre de recomman-
dation étudiée et la décision d’engager des mesures correctives prise par les personnes appro-
priées au niveau de la direction générale et du Conseil, le responsable de l’audit interne
s’assure de l’existence d’un suivi approprié et de la mise en oeuvre des actions correctives.
7. Le responsable de l’audit interne doit procéder à des évaluations régulières de la coordination

entre les auditeurs internes et externes. De telles évaluations peuvent aussi inclure des appré-
ciations sur l’efficacité et l’efficience globale des activités d’audit interne et externe y compris
sur leur coût global. Le responsable de l’audit interne communique les résultats de ces évalua-
tions, y compris les commentaires pertinents à propos de la performance des auditeurs
externes, à la direction générale et au Conseil.
Commentaire IFACI
Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu :
• de l’article 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : « (…) les commissaires
aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et
renseignements dont ils ont pu avoir connaissance à raison de leurs fonctions » ;
• des normes d’exercice professionnel ;
• du Code de déontologie de la profession de commissaire aux comptes.
Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialité de certaines informations
auxquelles ont accès les auditeurs internes sont susceptibles de constituer des limites à cette coordination.

MPA 2050-2
Cartographie des services donnant une assurance
sur les dispositifs de contrôle et de management
des risques
Commentaire IFACI
L’IFACI a publié en octobre 2008 une Prise de Position sur l’urbanisme du contrôle interne (www.ifaci.com). L’urbanisme du
MPA 2000
contrôle interne tel qu’il se pratique en France se caractérise notamment par :
• des activités de contrôle clairement identifiées dans une charte de contrôle interne ;
• un rôle de support au contrôle interne exercé de plus en plus par les services fonctionnels ;
• le rôle accru des animateurs du contrôle interne des entités ;
• une fonction d’audit interne chargée d’évaluer l’ensemble des systèmes de contrôle interne et qui sait se doter d’experts
pour aborder les activités de contrôle les plus techniques.
L’IFACI recommande, entre autres propositions :

• « que les administrateurs membres du comité d’audit ou tout autre comité équivalent disposent du temps nécessaire
pour se faire décrire en détail le dispositif de contrôle interne et de maîtrise des risques, faire les observations qui
s’imposent et en effectuer une surveillance attentive et régulière ; […]
• que la direction générale adopte un discours et une attitude dénués d’ambiguïté sur l’importance qu’elle accorde au
dispositif du contrôle interne et sur sa volonté d’exiger une attitude semblable de la part de tout le personnel ; […]
• que les rôles respectifs des différents acteurs soient clairement exposés et connus de tous ; […]
• que les entités opérationnelles et fonctionnelles désignent un coordinateur ou animateur de contrôle interne, dédié ou
non, assisté d’une équipe ou non en fonction de leur taille, et que cet agent adopte un mode de fonctionnement en
réseau pour procéder à tous échanges d’information ou d’expériences utiles ;
• que un ou plusieurs comités de coordination soient créés et animés aux niveaux pertinents à chaque organisation,
incluant non seulement les responsables opérationnels et fonctionnels mais également les responsables des activités
de contrôle permanent ou périodique ;
• qu’autant que de besoin, et au moins une fois par an, le directeur de l’audit interne présente de manière formelle, au

comité exécutif, ses observations sur le fonctionnement du contrôle interne et fasse toute préconisation pour permettre
à ce dernier de prendre les décisions aptes à optimiser son efficacité et à assurer ainsi une bonne maîtrise des
opérations ;
• qu’une présentation similaire soit faite au comité d’audit afin qu’il soit notamment tenu informé des principaux
résultats des contrôles exercés et des décisions prises pour renforcer les sécurités ;
• que l’audit interne conseille la direction générale sur l’urbanisation du contrôle interne, anime et coordonne son
déploiement et son amélioration permanente ; qu’en revanche il ne soit pas partie prenante de la définition, de la mise
en place et du fonctionnement des dispositifs opérationnels de contrôle qu’il sera appelé à auditer. »
Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrôle
interne efficient, est disponible sur le site internet de l’IFACI (www.ifaci.com).
1. L’une des principales responsabilités du Conseil consiste à s’assurer que les processus fonc-
tionnent dans le respect des instructions qu’il a émises pour la réalisation des objectifs préa-
lablement définis. Il est nécessaire de déterminer si les processus de management des risques
sont efficaces et si les principaux risques ou les risques critiques pour l’entreprise sont ramenés
à un niveau acceptable.
2. L’attention croissante portée sur les rôles et les responsabilités de la direction générale et du
Conseil pousse de nombreuses organisations à mettre davantage l’accent sur les activités
d’assurance. Le glossaire des Normes définit l’assurance comme un « examen objectif d’élé-
ments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des
processus de gouvernement d’entreprise, de management des risques et de contrôle ». Le
Conseil peut s’appuyer sur de multiples sources pour obtenir une assurance raisonnable. L’as-
surance donnée par le management est fondamentale et doit être complétée par une assu-
rance objective provenant de l’audit interne et de tiers. Les risk managers, les auditeurs
internes et le personnel chargé de la conformité se demandent : « qui fait quoi et pourquoi ? ».
Le Conseil, en particulier, commence à se demander qui donne une assurance, quelle est la
délimitation des fonctions et s’il y a des chevauchements.
3. On distingue globalement trois types de prestataires de services d’assurance. Ils se différen-

cient par les parties prenantes auxquelles ils s’adressent, par leur degré d’indépendance par
rapport aux activités pour lesquelles ils apportent une assurance et par la solidité de cette
assurance :
 prestataires rendant compte au management et/ou qui en font partie (assurance
donnée par le management), notamment ceux qui effectuent les auto-évaluations des
contrôles, les auditeurs qualité, les auditeurs environnementaux et les autres membres
du personnel d’assurance désignés par le management ;
 prestataires rendant compte au Conseil, y compris l’audit interne ;

 prestataires rendant compte à des parties prenantes extérieures (assurance émanant

de l’audit externe), rôle traditionnellement dévolu au commissaire aux comptes.
Le niveau d’assurance souhaité et le type de prestataire dépendent du risque.
4. Il existe plusieurs prestataires de services d’assurance :

 cadres opérationnels et employés (c’est la première ligne de défense vis-à-vis des risques
et des contrôles dont ils sont chargés) ;
 direction générale ;
 auditeurs internes ;
 auditeurs externes ;
 responsable de la conformité ;
 responsable qualité ;
 risk managers ;
 auditeurs environnementaux ;
 auditeurs de l’hygiène et de la sécurité au travail ;
 auditeurs de la performance dans le secteur public ;
 équipes d’évaluateurs de la communication financière ;
 sous-comités du Conseil (audit, actuariat, crédit, gouvernance, etc.) ;
 prestataires externes de services d’assurance, qui effectuent notamment des enquêtes
MPA 2000
ou des analyses spécialisées (portant, par exemple, sur l’hygiène et la sécurité).
5. L’audit interne donne habituellement une assurance à l’échelle de toute l’organisation, y

compris sur les processus de management des risques (conception et efficacité opération-
nelle), la gestion des risques « majeurs » (en particulier, l’efficacité des contrôles et des autres
modes de gestion de ces risques), la vérification de la fiabilité et de l’adéquation de l’évalua-
tion des risques, ainsi que sur le reporting de l’état des risques et des contrôles.
6. La responsabilité des activités d’assurance étant traditionnellement répartie entre le mana-

gement, l’audit interne, le risk management et les responsables de la conformité, une coor-
dination est essentielle afin de maximiser l’efficience et l’efficacité de l’utilisation des
ressources. De nombreuses organisations ont mis en place des fonctions classiques (et sépa-
rées) d’audit interne, de risk management et de conformité. On trouve souvent plusieurs enti-
tés distinctes qui réalisent des activités de management des risques, de conformité ou
d’assurance et qui opèrent indépendamment les unes des autres. Si la coordination et la
communication ne sont pas efficaces, des doubles emplois peuvent se produire ou les prin-
cipaux risques sont susceptibles d’être négligés ou mal évalués.
7. Si nombre d’organisations exercent un pilotage de l’audit interne, du risque et de la confor-

mité, toutes n’ont pas une approche holistique de ces activités. La cartographie des presta-
taires de service d’assurance consiste à mettre l’étendue des travaux d’assurance en regard

des principaux risques qui existent dans une organisation. Grâce à ce processus, une organi-
sation peut identifier toute lacune dans le management des risques et y remédier, et les
parties prenantes peuvent raisonnablement penser que les risques sont gérés et signalés, et
que les obligations réglementaires et légales sont respectées. Les organisations tireront profit
d’une approche rationnalisée, par laquelle le management dispose d’informations sur les
risques auxquels il est confronté, et sur la façon dont ces risques sont traités. La cartographie
des prestataires de service d’assurance est établie au niveau de toute l’organisation, ce qui
permet de comprendre où se situent les fonctions et les responsabilités en termes de risque
et d’assurance. Il s’agit de mettre en place un processus détaillé relatif au risque et à sa gestion,
sans doubles emplois ni lacunes potentielles.
8. Bien souvent, l’organisation a défini les catégories de risques majeurs qui constituent son
cadre de référence de management des risques. Dans ce cas, la cartographie des prestataires
de service d’assurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple,
comporter les informations suivantes :
 catégorie de risque majeur ;
 manager responsable de ce risque (propriétaire du risque) ;
 niveau du risque inhérent ;
 niveau du risque résiduel ;
 travaux d’audit externe ;
 travaux d’audit interne ;
 travaux des autres prestataires de services d’assurance.
Par exemple, le responsable de l’audit interne pourra préciser l’étendue des travaux récents
au niveau du volet « Travaux d’audit interne ». Il est fréquent que chaque risque majeur soit
affecté à un « propriétaire » ou à une personne ayant pour tâche de coordonner les activités
d’assurance pour ce risque. C’est cette personne qui fournira les éléments pour le volet «
Travaux des autres prestataires de services d’assurance ».
Dans d’autres cas, la coordination est effectuée par l’audit interne, qui conçoit et établit pour
l’organisation la cartographie des services donnant une assurance.
Chaque unité importante au sein d’une organisation peut disposer de sa propre cartographie
des prestataires d’assurance.
9. Dès lors que cette cartographie a été réalisée, il est possible d’identifier les risques majeurs
qui ne sont pas correctement couverts par les services d’assurance ou les domaines dans
lesquels ces services sont délivrés en double. La direction générale et le Conseil doivent alors
réfléchir aux changements à apporter à l’étendue des travaux d’assurance relatifs à ces risques.
De son côté, lors de l’élaboration de son plan, l’audit interne doit prendre en compte les
domaines ayant une couverture inadéquate.

10. Il appartient au responsable de l’audit interne de comprendre les besoins du Conseil et de

l’organisation en ce qui concerne une assurance indépendante, afin de définir clairement le
rôle de l’audit interne et le degré d’assurance que ce dernier apporte. Le Conseil doit être
certain que le processus d’assurance global est adéquat et suffisamment robuste pour confir-
mer que les risques de l’organisation sont bien gérés et signalés.
11. Pour chaque catégorie de risque, le Conseil doit recevoir des informations à la fois sur les acti-
vités d’assurance mises en œuvre et sur celles qui sont planifiées. L’audit interne et les autres
prestataires de service d’assurance donnent au Conseil, pour chaque catégorie concernée,
le degré d’assurance approprié à la nature et aux niveaux de risque présents dans l’organisa-
tion.
12. Dans les organisations où le responsable de l’audit interne est tenu de formuler une opinion
globale, il lui faut bien comprendre la nature, le périmètre et l’étendue de la cartographie
intégrée des services d’assurance, afin de tenir compte des travaux des autres prestataires de
service d’assurance (et de les utiliser, le cas échéant) avant de présenter un avis d’ensemble
sur les processus de gouvernement d’entreprise, de management des risques et de contrôle
de l’organisation. Le guide pratique de l’IIA intitulé « Formuler et exprimer une opinion d’audit
interne » contient des recommandations supplémentaires à ce sujet.
MPA 2000
13. Dans les cas où l’organisation n’attend pas de lui une opinion globale, le responsable de l’audit
interne peut coordonner les activités des prestataires de service d’assurance, afin qu’il n’y ait
pas de lacunes dans ces activités ou que les éventuelles lacunes soient connues et acceptées.
Le responsable de l’audit interne signale toute absence de contribution/participation/super-
vision/d’assurance à l’égard des travaux des autres prestataires de service d’assurance. S’il
estime que l’étendue des activités d’assurance est inadéquate ou inefficace, il doit en aviser
la direction générale et le Conseil.
14. Conformément à la Norme 2050, le responsable de l’audit interne doit coordonner les acti-
vités avec les autres prestataires d’assurance ; l’utilisation d’une cartographie des services
d’assurance contribue à la réalisation de cet objectif. Ces cartographies se révèlent, de plus
en plus, comme un moyen efficace de rendre compte de cette coordination.

MPA 2050-3
S’appuyer sur les travaux d’autres prestataires
de services d’assurance
Commentaire IFACI
Dans cette MPA, le rôle dévolu à « l’auditeur interne » relève du « responsable de l’audit interne ».
MPA 2000
1. Pour fournir au Conseil une assurance concernant la gouvernance, le management des
risques et le contrôle interne, l’auditeur interne peut s’appuyer sur les travaux d’autres pres-
tataires internes ou externes de services d’assurance ou utiliser leurs travaux. Les prestations
internes d’assurance peuvent, par exemple, être réalisées par les services chargés de la confor-
mité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou
par la surveillance permanente des activités exercée par le management. Les prestataires
externes d’assurance sont, par exemple, les auditeurs externes, les experts, les cabinets d’audit
ou de conseil, notamment ceux qui établissent les rapports conformément à la norme Inter-
nationale ISAE 3402 (Assurance Reports on Controls at a Service Organization).
2. Diverses raisons peuvent conduire à s’appuyer sur les travaux d’autres prestataires d’assurance.
Il peut s’agir, notamment, de traiter les domaines qui sortent du champ de compétence du
service d’audit interne, de bénéficier d’un transfert de connaissances ou d’étendre de façon
efficiente la couverture des risques au-delà du plan d’audit interne.
3. La charte d’audit interne et/ou la lettre de mission devraient préciser que l’audit interne a
accès aux travaux des autres prestataires internes et externes d’assurance.
4. Lorsque l’auditeur interne fait appel à des prestataires d’assurance, il devrait détailler dans un
contrat ou un accord écrit ses attentes. Il convient au minimum de préciser :
 la nature et la propriété des livrables ;
 les méthodes et techniques ;
© IFACI - février 2011 1

 la nature des procédures et des données ou des informations à utiliser ;
 les rapports d’étape et les modalités de supervision qui permettent de s’assurer que les
travaux sont adéquats ;
 les exigences de reporting.
5. Si le management conclut et pilote un contrat avec un prestataire d’assurance tiers, l’auditeur

interne devra s’assurer que les éléments de cadrage de la mission sont appropriés, compris
et appliqués.
6. L’auditeur interne devra prendre en compte le degré d’indépendance et d’objectivité de tout

autre prestataire d’assurance lorsqu’il envisage de s’appuyer sur ses travaux ou de les utiliser.
Dans le cas où c’est le management, plutôt que le service d’audit interne, qui engage et/ou
supervise directement un prestataire d’assurance, il convient d’évaluer l’impact de cette situa-
tion sur l’indépendance et l’objectivité dudit prestataire.
7. L’auditeur interne évalue les compétences et les qualifications du prestataire d’assurance. Il

pourra, par exemple, vérifier que ce dernier possède les qualifications et l’expérience profes-
sionnelle requises, qu’il est bien inscrit à des instituts ou à des organismes professionnels
appropriés et qu’il est réputé pour sa compétence et son intégrité dans le secteur.
8. L’auditeur interne examine les pratiques du prestataire d’assurance afin d’obtenir une assu-
rance raisonnable que les constats de ce dernier reposent sur des informations suffisantes,
fiables, pertinentes et utiles, comme l’exige la Norme 2310 : Identification des informations.
Le responsable de l’audit interne doit respecter la Norme 2310, indépendamment du niveau
d’utilisation des travaux d’autres prestataires d’assurance.
9. L’auditeur interne s’assure que la planification, la supervision, la documentation et la révision

des travaux de tout autre prestataire d’assurance sont correctement effectués. Il examine le
caractère adéquat et suffisant des preuves d’audit pour déterminer s’il peut utiliser ces travaux
et s’y fier. En fonction des résultats de cette évaluation, il se peut que des travaux supplé-
mentaires ou des tests soient nécessaires pour obtenir des preuves d’audit adéquates et suffi-
santes. Sur la base de sa connaissance de l’organisation, de l’environnement, des techniques
et des informations utilisées par le prestataire, l’auditeur interne jugera si, en définitive, les
constats de ce dernier paraissent crédibles.
10. Le niveau de confiance accordé à un autre prestataire d’assurance dépendra des facteurs
mentionnés ci-dessus : indépendance, objectivité, compétences, pratiques, pertinence des
travaux d’audit et caractère suffisant des preuves d’audit à l’appui du niveau d’assurance
apporté. Plus le risque ou l’importance de l’activité examinée par un autre prestataire d’assu-
rance augmente, plus l’auditeur interne devrait rassembler des informations sur ces facteurs.
Il peut alors avoir besoin de constituer des preuves d’audit supplémentaires pour compléter
2 © IFACI - février 2011

les travaux effectués. L’audit interne peut tester les résultats des autres prestataires d’assurance
afin de renforcer le niveau de confiance accordé à ces résultats.
11. L’auditeur interne devrait intégrer les résultats du prestataire de services d’assurance dans le
rapport global d’audit que l’auditeur interne doit communiquer au Conseil et aux autres prin-
cipales parties prenantes. Les problèmes significatifs soulevés par les autres prestataires d’as-
surance peuvent être intégrés in extenso ou de manière résumée dans les rapports d’audit
interne. Lorsque ses rapports s’appuient sur les informations données par d’autres prestataires
d’assurance, l’auditeur interne le précise.
12. Le suivi des actions de progrès est un processus par lequel les auditeurs internes évaluent
l’adéquation, l’efficacité et la réalisation, en temps opportun, des mesures prises par le mana-
gement pour faire suite aux observations et aux recommandations, y compris à celles formu-
lées par les autres prestataires d’assurance. Lors de l’examen des mesures prises pour faire
suite aux recommandations, l’auditeur interne devra déterminer si le management les a mis
en œuvre ou s’il a accepté de prendre le risque de ne pas les suivre.
13. Les constats significatifs des autres prestataires d’assurance devront être pris en compte dans
les missions et les communications de l’audit interne. En outre, les résultats des travaux des
MPA 2000
autres prestataires peuvent avoir une incidence sur l’évaluation des risques effectuée par l’au-
dit interne et, le cas échéant, modifier l’appréciation du risque et la nature des travaux d’audit
nécessaires en réponse à ce risque.
14. Pour évaluer l’efficacité des processus de management des risques et contribuer à leur
amélioration (Norme 2120 : Management des risques), l’audit interne peut examiner les
processus des prestataires internes d’assurance, notamment au niveau de la conformité, de
la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou encore
au niveau de la surveillance permanente des activités exercée par le management. Il convient
que l’audit interne couvre les domaines à risque, mais lorsqu’une assurance est fournie par
un autre service, l’audit interne peut se limiter à vérifier les résultats de ce processus au lieu
de refaire le travail déjà effectué.
15. Concernant les risques significatifs, les évaluations des autres prestataires d’assurance doivent
être communiquées aux services concernés, pour être prises en compte dans le management
des risques de l’organisation et dans la cartographie des services donnant une assurance sur
les dispositifs de contrôle interne et de management des risques (cf. MPA 2050-2 : Cartogra-
phie des services donnant une assurance sur les dispositifs de contrôle et de management
des risques).
© IFACI - février 2011 3

MPA 2060-1
Rapports à la direction générale et au Conseil
2060 – rapports à la direction générale et au Conseil
Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et

au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré
de réalisation du plan d’audit. Il doit plus particulièrement rendre compte :
 de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles
correspondants ;
 des sujets relatifs au gouvernement d’entreprise et ;
 de tout autre problème répondant à un besoin ou à une demande de la direction géné-
rale ou du Conseil.
Interprétation :
La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction
MPA 2000
générale et le Conseil et dépendent de l’importance des informations à communiquer et de l’ur-
gence des actions correctives devant être entreprises par la direction générale et le Conseil.
1. Les rapports ont pour finalité d’apporter une assurance à la direction générale et au Conseil
en ce qui concerne les processus de gouvernement d’entreprise (Norme 2110), de manage-
ment des risques (Norme 2120) et de contrôle (Norme 2130). La Norme 1111 indique : « Le
responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil ».
2. Le responsable de l’audit interne devra s’accorder avec le Conseil sur la fréquence et la nature
des rapports concernant l’application de la charte d’audit interne (missions, pouvoirs et
responsabilités, notamment) et le degré de réalisation du plan d’audit. Les rapports portant
sur le degré de réalisation du plan d’audit devraient se référer à la dernière version du plan
approuvé, afin d’informer la direction générale et le Conseil sur :
 les écarts significatifs par rapport au plan d’audit, aux prévisions de dotation en person-
nel et aux budgets financiers approuvés ;
 les raisons de ces écarts ; et
 les mesures prises ou à prendre.
La Norme 1320 indique : « Le responsable de l’audit interne doit communiquer les résultats
du programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’au
Conseil ».

3. L’exposition aux risques significatifs et les problématiques de contrôle interne sont les situa-
tions qui, selon le jugement du responsable de l’audit interne, pourraient affecter de façon
défavorable l’organisation et sa capacité à atteindre ses objectifs (stratégiques, relatifs à l’in-
formation financière, opérationnels et de conformité). Des enjeux importants peuvent induire
une exposition inacceptable à des risques internes et externes, notamment les situations
liées à des faiblesses de contrôle, à une fraude, à des irrégularités, à des actes illégaux, à des
erreurs, à l’inefficience, au gaspillage, à l’inefficacité, à des conflits d’intérêts ou à la viabilité
financière.
4. C’est à la direction générale et au Conseil qu’il revient de décider des mesures appropriées à
prendre face à des problèmes importants. Ils peuvent décider, pour des raisons de coût ou
pour d’autres raisons, de prendre le risque de ne pas remédier à la situation dont il leur a été
rendu compte. La direction générale devrait informer le Conseil des décisions portant sur
tous les enjeux importants soulevés par l’audit interne.
5. Lorsque le responsable de l’audit interne estime que la direction générale a accepté un niveau
de risque considéré inacceptable par l’organisation, il doit en discuter avec la direction géné-
rale, conformément à la Norme 2600. Le responsable de l’audit interne doit comprendre ce
qui motive la décision de la direction générale, identifier la cause de tout désaccord et déter-
miner si la direction générale a été mandatée pour accepter ce risque. Les désaccords
peuvent concerner la probabilité du risque et l’exposition potentielle, la compréhension de
l’appétence pour le risque, le coût ou le niveau de contrôle. Le responsable de l’audit interne
règlera de préférence le désaccord avec la direction générale.
6. Si le responsable de l’audit interne et la direction générale ne parviennent pas à s’entendre,

la Norme 2600 impose au responsable de l’audit interne d‘en informer le Conseil. Dans la
mesure du possible, le responsable de l’audit interne et la direction générale présenteront
conjointement leurs divergences. S’il s’agit de problèmes d’information financière, les respon-
sables de l’audit interne envisageront d’en discuter en temps opportun avec les auditeurs
externes.

mPA SÉrIE 2100

NAturE Du trAVAIl
MPA 2100

MPA 2110-1
Gouvernement d’entreprise : Définition
2110 – gouvernement d’entreprise
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recom-
mandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus
répond aux objectifs suivants :
 promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
 garantir une gestion efficace des performances de l'organisation, assortie d'une obligation
de rendre compte ;
 communiquer aux services concernés de l'organisation les informations relatives aux
risques et aux contrôles ;
 fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination de leurs activités.
1. Le rôle de l’audit interne tel qu’énoncé dans la Définition de l’audit interne inclut, dans le
cadre de sa fonction d’assurance, la responsabilité d'évaluer et d’améliorer les processus de
gouvernement d’entreprise.
MPA 2100
2. Le terme gouvernement d’entreprise correspond à un large éventail de définitions selon les
contextes structurels et culturels, ainsi que les cadres légaux. Les Normes internationales pour
la pratique professionnelle de l’audit interne (Normes) définissent le gouvernement d’entreprise
comme : « le dispositif comprenant les processus et les structures mis en place par le Conseil afin
d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objec-
tifs. » Le responsable de l’audit interne peut utiliser une définition différente aux fins de l'audit
lorsque l'organisation a adopté un référentiel ou un modèle de gouvernement d’entreprise
différent.
3. A travers le monde, divers modèles de gouvernement d'entreprise existent et ont été publiés
par d'autres organisations, des législateurs et des régulateurs. Par exemple, l’Organisation de
Coopération et de Développement Economiques (OCDE) définit le gouvernement d’entre-
prise comme « […] un ensemble de relations entre la direction d’une entreprise, son conseil d’ad-
ministration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par
laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer
une surveillance des résultats obtenus ». L’Australian Securities Exchange Corporate Governance

Council (le Conseil sur le gouvernement d’entreprise de la Bourse australienne) le définit
comme « […] le système par lequel les entreprises sont dirigées et contrôlées. Il influence la manière
dont les objectifs de l’entreprise sont déterminés et atteints, le risque est suivi et évalué et la perfor-
mance est optimisée ». Dans la plupart des cas, le gouvernement d’entreprise est désigné
comme un processus ou un système et non pas un concept statique. L'approche présentée
dans les Normes se distingue par l'accent spécifique mis sur le conseil et ses activités de
gouvernement d’entreprise.
Commentaire IFACI
Pour aller plus loin, l’IFACI et l’IFA ont pris une position1 commune sur le rôle de l’audit dans le gouvernement d’entreprise
et ont relevé les points communs entre les différentes définitions du gouvernement d’entreprise : « Ces cadres conceptuels
ont en commun :
• de proposer une définition de la gouvernance qui s’applique tant à la relation entre actionnaires, conseil et
direction générale qu’aux relations de l’entreprise avec d’autres « parties prenantes » ;
• d’être d’application volontaire : ce sont des recommandations que l‘entreprise choisit d’appliquer volontairement
ou, dans le cas des auditeurs externes, qui relèvent d’une adhésion volontaire à un code professionnel ;
• d’être internationaux, sans référence précise à un cadre légal national ; ils sont donc très généraux dans la
formulation de leurs recommandations ;
• mais ils lient clairement les objectifs stratégiques de l’entreprise, la conduite des affaires au jour le jour, le contrôle
interne, la gestion des risques et la conformité aux lois et règlements en vigueur. »
4. Les référentiels et les exigences pour le gouvernement d’entreprise varient selon les juridic-
tions réglementaires et le type d’organisation : entreprises cotées, organisations à but non
lucratif, associations, entités publiques ou parapubliques, organismes d’enseignement, entre-
prises privées, sociétés de courtage et bourses.
5. La manière, dont une organisation conçoit et met en pratique les principes d’un gouverne-
ment d’entreprise efficace, varie également selon la taille, la complexité, la maturité de l’or-
ganisation, la structure de ses parties prenantes, les exigences légales et culturelles etc.
6. Les différences de conception et de structure de gouvernement d’entreprise impliquent que

le responsable de l’audit interne détermine avec le Conseil et la direction générale la définition
du processus de gouvernement d’entreprise à retenir dans le cadre de l’audit interne.
Commentaire IFACI
Le responsable de l’audit interne devra valider avec les organes de gouvernance le périmètre du gouvernement d’entreprise
que l’audit interne devra couvrir et les responsabilités du service d’audit interne à cet égard.
1
Le rôle de l’audit interne dans le gouvernement d’entreprise, IFA/IFACI, mai 2009

7. L’audit interne fait partie intégrante du cadre de gouvernement d'entreprise de l'organisation.

Leur position unique au sein de l'organisation permet aux auditeurs internes d'observer et
d'évaluer de façon formelle la structure de gouvernement d'entreprise, sa conception et son
efficacité opérationnelle tout en restant indépendants.
8. La relation entre gouvernement d’entreprise, risques et contrôle interne est un sujet à prendre
en compte et il est traité par la MPA 2110-2. La MPA 2110-3 aborde l’évaluation du processus
de gouvernement d’entreprise.
MPA 2100

MPA 2110-2
Gouvernement d’entreprise :
Relations avec les risques et le contrôle interne
de rendre compte ;
1. Les Normes internationales pour la pratique professionnelle de l’audit interne définissent le

gouvernement d’entreprise comme « le dispositif comprenant les processus et les structures mis
en place par le Conseil afin d'informer, de diriger, de gérer et de piloter les activités de l'organisation
en vue de réaliser ses objectifs ».
2. Le processus de gouvernement d’entreprise n’existe pas comme un ensemble de processus

et de structures distincts et séparés. Au contraire, il y a des relations entre gouvernement
d’entreprise, risques et contrôle interne.
3. Un gouvernement d’entreprise efficace tient compte du risque lors de la détermination de

la stratégie. A l’inverse, le management des risques s’appuie sur un gouvernement d’entreprise
efficace (comme le principe d’exemplarité de la direction « tone at the top », l'appétence pour
le risque et la tolérance face au risque, la culture du risque et la surveillance de la gestion des
risques).
4. Un gouvernement d'entreprise efficace s’appuie sur le contrôle interne et sur la communi-

cation de l’efficacité des dispositifs de contrôle interne au Conseil.

5. Contrôle et risque sont également reliés puisque le contrôle se définit comme « toute mesure
prise par la direction générale, le conseil et d'autres parties afin de gérer les risques et d'accroître la
probabilité que les buts fixés seront atteints ».
Commentaire IFACI
En France, l’AMF a publié un nouveau cadre de référence (juillet 2010) relatifs aux dispositifs de gestion des risques et de
contrôle interne.
6. Le responsable de l’audit interne tient compte de ces relations dans la planification des
évaluations des processus de gouvernement d’entreprise :
 une mission d’audit portera sur les contrôles conçus dans les processus de gouverne-
ment d’entreprise pour prévenir ou détecter les événements qui pourraient avoir un
impact négatif sur la réalisation des stratégies, les buts et objectifs de l’organisation,
l’efficacité et l’efficience opérationnelles, les informations financières ou la conformité
avec les lois et réglementations en vigueur (cf. MPA 2110-3) ;
 les contrôles au sein des processus de gouvernement d’entreprise sont souvent impor-
tants pour le management de différents risques à travers l’organisation. Par exemple,
on peut s’appuyer sur les contrôles concernant le code de conduite pour gérer les
risques de conformité et de fraude etc. Cet effet cumulatif devrait être pris en considé-
ration lors de la définition du périmètre d'un audit des processus de gouvernement
d'entreprise ;
 si d’autres missions d’audit évaluent les contrôles dans les processus de gouvernement
MPA 2100
d’entreprise (par exemple, les contrôles relatifs à l’information financière, les processus
de management des risques ou la conformité), l’auditeur interne devrait s’appuyer sur
les résultats de ces audits.

MPA 2110-3
Gouvernement d’entreprise : Evaluations
de rendre compte ;
1. Les auditeurs internes peuvent agir à divers titres pour évaluer et contribuer à l’amélioration
des pratiques de gouvernement d'entreprise. En règle générale, les auditeurs internes four-
nissent des évaluations indépendantes et objectives de la conception et de l’efficacité opéra-
tionnelle des processus de gouvernement d’entreprise de l’organisation. Ils peuvent
également fournir des services de conseil et des avis sur les pistes d’amélioration de ces
processus. Dans certains cas, les auditeurs internes peuvent être appelés pour aider le Conseil
à auto-évaluer ses pratiques de gouvernement d'entreprise.
Commentaire IFACI
Dans la prise de position IFA/IFACI (publiée en mai 2009), Le périmètre étendu du champ d’intervention de l’audit interne
est abordé dans le paragraphe 5 et « L’IFA et l’IFACI recommandent :
• que l’audit interne évalue l’ensemble des processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ;
• que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des compétences du conseil des
filiales et de leurs différents comités ;
• que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement et la performance du
conseil de la maison mère et de ses comités du fait de l’existence d’une situation de conflit d’intérêt. »

2. Comme indiqué dans la MPA 2110-1 « Gouvernement d’entreprise : Définition », la définition

du processus de gouvernement d’entreprise dans le cadre de l'audit devrait faire l'objet d'un
accord avec le Conseil et la direction générale. De plus, l’auditeur interne comprend les
processus de gouvernement d’entreprise de l’organisation et les relations entre gouverne-
ment d’entreprise, les risques et le contrôle interne1.
3. Le plan d’audit est élaboré sur la base d’une évaluation des risques de l’organisation. Tous les
processus de gouvernement d’entreprise sont à prendre en compte dans cette évaluation
des risques. Le plan d’audit devrait comprendre les processus de gouvernement d’entreprise
à risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil ou
la direction générale a requis un travail. Le plan définit la nature du travail à réaliser, les proces-
sus de gouvernement d’entreprise à traiter et la nature des évaluations qui seront à mener.
Les évaluations peuvent être menées au niveau :
 macro, en considérant l’ensemble du cadre de gouvernement d’entreprise de l’organi-
sation, ou
 micro, en focalisant sur des risques, processus ou activités spécifiques, ou
 une combinaison des deux.
4. Lorsqu’il existe des problèmes de contrôle connus ou lorsque le processus de gouvernement

d’entreprise n’est pas mature, le responsable de l’audit interne peut améliorer les processus
de gouvernement d’entreprise ou de contrôle interne en envisageant différentes méthodes.
Il peut intervenir à travers des activités de conseil réalisées en lieu et place d’évaluations
formelles ou en complément de celles-ci.
MPA 2100
5. Les évaluations d’audit interne concernant les processus de gouvernement d’entreprise se
fondent sur des informations obtenues à partir des nombreuses missions d’audit réalisées au
fil du temps. L’auditeur interne tient compte :
 des résultats des audits de processus de gouvernement d’entreprise spécifiques (par
exemple, le dispositif d'alerte professionnelle ou « whistleblowing », le processus de
gestion stratégique) ;
 des problèmes de gouvernement d’entreprise issus des audits qui ne sont pas spécifi-
quement centrés sur le gouvernement d’entreprise (par exemple, les audits du proces-
sus de gestion des risques, du contrôle interne sur les informations financières, des
risques de fraude) ;
 des résultats des travaux d'autres prestataires internes et externes de services d'assu-
rance (par exemple, un cabinet engagé par le directeur juridique pour examiner le
processus d’investigation)2 ;
1
MPA 2110-2, Gouvernement d’entreprise : Relations avec les risques et le contrôle interne
2 Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrôle et de management
des risques

 d’autres informations sur les questions de gouvernement d’entreprise comme les inci-
dents indiquant une opportunité d’améliorer les processus de gouvernement d’entre-
prise.
Commentaire IFACI
En France, les auditeurs internes sont invités à consulter avec intérêt le site de la CNIL (www.cnil.fr) et notamment le
document d’orientation adopté le 10 novembre 2005 pour la mise en œuvre de dispositifs d’alerte professionnelle
conformes à la loi du 6 janvier 1978 modifié en août 2004, relative à l’informatique, aux fichiers et aux libertés.
6. Pendant les phases de planification, d’évaluation et de rapport, l’auditeur interne devra être
sensible à la nature et aux ramifications potentielles des résultats et s'assurer que les commu-
nications avec le Conseil et la direction générale sont appropriées. L’auditeur interne pourra
envisager de consulter un conseil juridique avant le démarrage de l’audit et avant la finalisa-
tion du rapport.
7. L’activité d’audit interne est une partie essentielle du processus de gouvernement d'entre-
prise. Pour s’assurer de son efficacité, le Conseil et la direction générale devront être en mesure
de s’appuyer sur le programme d'assurance et d'amélioration qualité de l'activité d'audit
interne y compris les évaluations externes réalisées conformément aux Normes internatio-
nales pour la pratique professionnelle de l’audit interne.

MPA 2120-1
Évaluer la pertinence des processus
de management des risques
2120 – management des risques
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.
Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes
doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-
• les informations relatives aux risques sont recensées et communiquées en temps opportun
au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil
d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
MPA 2100
différentes missions.
Commentaire IFACI
La MPA souligne avec raison la nécessité impérieuse de tests d'audit pour apprécier l'efficacité du management des risques.
Le Global Technology Audit Guide n°3 relatif à l'audit continu fournit des méthodes pour concevoir ces tests d'audit.
Pour apprécier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutôt que de faire
confiance à des théories, surtout si elles sont basées sur des hypothèses simplificatrices. De même, il faut bien envisager la
maîtrise des risques au-delà de la simple conformité.

1. La gestion des risques est une responsabilité majeure de la direction générale et du Conseil.
Pour atteindre ses objectifs, le management s’assure de la mise en place et du bon fonction-
nement de processus rigoureux de management des risques. Il incombe aux Conseils de veil-
ler à ce que des processus de management des risques appropriés, suffisants et efficaces
soient en œuvre. A cet effet, ils peuvent demander à l’audit interne de les assister en exami-
nant et évaluant les processus de management des risques mis en œuvre, en vérifiant qu’ils
sont suffisants et efficaces, puis en émettant des rapports et des recommandations en vue
de leur amélioration.
2. Le management et le Conseil sont responsables des processus de management des risques

et de contrôle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre
d’une mission de conseil, aider l’organisation à identifier, à évaluer et à mettre en place des
méthodes de management des risques et des contrôles permettant de maîtriser ces risques.
3. Dans l’hypothèse où l’organisation n’a pas mis en place de processus de management des
risques, le responsable de l’audit interne examine formellement avec la direction générale et
le comité d’audit :
 leurs responsabilités en matière de compréhension, de gestion et de surveillance des
risques dans l'organisation ;
 leur besoin d’informations sur le caractère opérationnel des processus (y compris les
processus informels) qui donnent une visibilité appropriée des risques majeurs, de leur
gestion et de leur surveillance.
4. Le responsable de l'audit interne recueille les attentes de la direction générale et du Conseil

en ce qui concerne le rôle de l’audit interne dans le processus de management des risques
de l’organisation. Ce rôle est précisé dans la charte d’audit interne ainsi que dans la charte
du Conseil. Les responsabilités de l’audit interne doivent être coordonnées avec tous les
groupes ou les personnes qui interviennent dans le processus de management des risques
de l’organisation. Le rôle de l’audit interne dans le processus de management des risques
d’une organisation peut évoluer dans le temps et revêtir les formes suivantes :
 aucune intervention ;
 audit du processus de management des risques dans le cadre du programme d’audit
interne ;
 soutien actif et continu, et participation au processus de management des risques,
notamment dans le cadre de comités de surveillance, d’activités de suivi et de rapports
officiels ;
 gestion et coordination du processus de management des risques.
5. En définitive, il incombe à la direction générale et au Conseil de déterminer le rôle de l’audit

interne dans le processus de management des risques. Leur vision dans ce domaine dépen-
dra de facteurs tels que la culture de l’organisation, la compétence de l’équipe d’audit interne,

les us et coutumes du pays. Cependant, la responsabilité dans le processus de gestion des

risques, son impact potentiel sur l'indépendance de l'audit interne nécessitent une discussion
approfondie et une approbation de la part du Conseil.
6. Les techniques utilisées par les organisations en matière de management des risques peuvent
être très différentes. Selon l’importance et la complexité des activités, les processus de mana-
gement des risques peuvent être :
 formalisés ou informels ;
 fondés sur une approche quantitative ou subjective ;
 intégrés dans les différentes unités de l’organisation ou centralisés au niveau du siège.
7. Chaque organisation conçoit des processus adaptés à sa culture, à son style de management
et à ses objectifs. A titre d’exemple, le recours à des instruments dérivés ou à d’autres instru-
ments financiers sophistiqués, pourra nécessiter la mise en œuvre d’outils quantitatifs de
management des risques. Les organisations moins complexes et de taille plus modeste pour-
ront, en revanche, analyser le profil de risque de l’organisation et prendre périodiquement
des mesures dans le cadre d’un comité des risques informel. L’auditeur interne s’assure que
la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de
l’organisation.
8. Afin de se forger une opinion sur l’adéquation des processus de management des risques,
les auditeurs internes devront disposer d’éléments suffisamment probants et appropriés pour
avoir l’assurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir
ces éléments, l’auditeur interne peut recourir aux procédures d’audit décrites ci-après :
MPA 2100
 rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évo-
lution récente et les tendances, ainsi que toute autre source d’information appropriée,
afin de déterminer les risques susceptibles d’affecter l’organisation et les procédures
de contrôle utilisées pour gérer, suivre et réévaluer ces risques ;
 examiner les règles de l’entreprise ainsi que les procès-verbaux des délibérations du
Conseil et du comité d’audit afin de déterminer les stratégies de l’organisation, son
approche du management des risques, son appétence pour le risque et son accepta-
tion des risques ;
 examiner les rapports d’évaluation des risques précédemment établis par le manage-
ment, les auditeurs internes ou externes et par tout autre intervenant ;
 organiser des entretiens avec l’encadrement opérationnel et leur direction afin de déter-
miner les objectifs de chaque branche d’activité, les risques correspondants, et les
mesures de suivi, de contrôle et d’atténuation des risques prises par le management ;
 recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du proces-
sus de suivi, de communication et d’atténuation des risques, et des activités de contrôle
correspondantes ;

 déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au
niveau hiérarchique approprié ;
 vérifier si les rapports concernant les résultats du management des risques sont diffusés
selon des modalités et dans des délais appropriés ;
 s’assurer du caractère exhaustif de l’analyse des risques effectuée par le management
et des mesures prises pour résoudre les points soulevés dans le cadre du processus de
management des risques, et proposer des améliorations ;
 apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management,
au moyen d’observations et de tests sur les procédures de suivi et de contrôle testant
l’exactitude des informations utilisées dans le cadre des opérations de suivi, et par d’au-
tres techniques appropriées ;
 examiner les signes de faiblesse éventuels du dispositif de management des risques
et, le cas échéant, les analyser avec la direction générale et le Conseil. S’il estime que le
management a accepté un niveau de risques non compatible avec la stratégie et les
procédures de l’organisation en matière de management des risques, ou jugé inaccep-
table pour l’organisation, l’auditeur se réfèrera à la Norme 2600 relative à l’acceptation
des risques par le management et aux lignes directives correspondantes pour des orien-
tations complémentaires.

MPA 2120-2
Gestion du risque lié à l’activité d’audit interne
2120 – management des risques
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer
à leur amélioration.
Interprétation :
Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes
doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-
• les informations relatives aux risques sont recensées et communiquées en temps opportun
au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil
d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de
différentes missions.
MPA 2100
1. Le rôle et l’importance de l’audit interne augmentent considérablement et les attentes des

principales parties prenantes (Conseil et direction générale, notamment) ne cessent, elles
aussi, de croître. L’audit interne dispose d’un large mandat qui couvre les aspects financiers
et opérationnels, les technologies de l’information, la conformité/la réglementation ainsi que
les risques stratégiques. Dans le même temps, nombre de services d’audit interne sont
confrontés au manque de personnel qualifié sur le marché international du travail, à la hausse
des rémunérations et à une forte demande de ressources spécialisées (dans les systèmes d’in-
formation, sur les problèmes de fraude, les instruments financiers dérivés ou la fiscalité, par
exemple). La conjonction de ces facteurs engendre un niveau élevé de risque pour l’audit
interne. C’est pourquoi les responsables de cette fonction doivent évaluer les risques liés à
leurs activités et qui sont susceptibles de compromettre la réalisation de leurs objectifs.

2. L’audit interne lui-même n’est pas à l’abri ; il doit prendre les mesures nécessaires pour gérer
ses propres risques.
3. On peut classer ces risques dans trois grandes catégories : risque d’échec de l’audit, risque
de donner une fausse assurance et risque d’atteinte à la réputation. L’analyse ci-après
met en lumière leurs principales caractéristiques et présente quelques-unes des dispositions
qu’un service d’audit interne peut envisager de mettre en œuvre pour mieux gérer ces
risques.
4. Toute organisation peut être victime de défaillances. Lorsque les contrôles sont déficients ou
qu’une fraude est commise, la question : « Mais où étaient les auditeurs internes ? », est
souvent posée. L’audit interne peut être impliqué dans ces défaillances pour les raisons
suivantes :
 les Normes internationales pour la pratique professionnelle de l’audit interne ne sont pas
respectées ;
 le programme d’assurance et d’amélioration qualité (Norme 1300) est inadéquat, en
particulier les procédures de supervision de l’indépendance et de l’objectivité des audi-
teurs ;
 il n’y a pas de processus efficace pour la définition des domaines clés de l’audit lors de
l’évaluation des risques stratégiques, ainsi que des domaines à haut risque lors de
chaque mission, ce qui empêche les auditeurs internes de réaliser les audits nécessaires
et/ou leur fait perdre du temps sur des audits inappropriés ;
 il n’y a pas de procédures d’audit interne efficaces pour l’évaluation des risques « réels
» et des contrôles appropriés ;
 il n’y a pas d’évaluation de l’adéquation et de l’efficacité des contrôles dans le cadre des
procédures d’audit interne ;
 l’équipe d’audit interne ne dispose pas des compétences appropriées, fondées sur l’ex-
périence ou la connaissance des zones à haut risque ;
 l’exercice d’un scepticisme professionnel insuffisant et l’absence de renforcement des
procédures d’audit interne à la suite de constats ou de déficiences de contrôles ;
 la supervision de l’audit interne n’est pas adéquate ;
 une mauvaise gestion des preuves de fraude : « Ce n’est probablement pas important »
ou « Nous n’avons pas le temps ni les ressources nécessaires pour nous pencher sur ce
point. » ;
 les auditeurs internes ne communiquent pas leurs soupçons aux personnes appro-
priées ;
 une communication défaillante.
5. Les défaillances de l’audit interne peuvent non seulement être embarrassantes pour cette
fonction, mais elles peuvent également exposer l’organisation à un risque significatif. Même
s’il est impossible de garantir de manière absolue l’absence d’échec de l’audit, les mesures

suivantes peuvent permettre de réduire ce risque :

 un programme d’assurance et d’amélioration qualité : toute activité d’audit interne doit
impérativement appliquer un programme efficace d’assurance et d’amélioration
qualité ;
 un examen périodique de l’univers d’audit : examiner périodiquement la méthodologie
utilisée pour vérifier l’exhaustivité de l’univers d’audit. Cette analyse doit, notamment,
s’appuyer sur une évaluation régulière du profil dynamique des risques de l’organisa-
tion ;
 un examen périodique du plan d’audit : il faut examiner le plan d’audit en cours afin
d’identifier les missions qui peuvent être les plus risquées. La direction de l’audit interne
dispose ainsi d’une meilleure visibilité sur ces missions et peut consacrer davantage de
temps à comprendre la façon dont les missions critiques sont abordées ;
 une planification efficace de l’audit : rien ne remplace une planification efficace. Un
processus de planification approfondi, qui inclut l’actualisation des informations perti-
nentes relatives au client, ainsi qu’une évaluation efficace des risques, permet de réduire
significativement le risque d’échec de l’audit. De plus, bien cerner le périmètre de la
mission et les procédures d’audit interne à mettre en œuvre constitue une étape essen-
tielle de la planification, qui réduira les risques d’échec de l’audit. Il est également fonda-
mental d’inclure dans ce processus les points de supervision qui relèvent du
management de l’audit interne et d’obtenir l’autorisation de s’écarter éventuellement
du plan convenu ;
 une conception efficace de l’audit : dans la plupart des cas, avant de commencer à véri-
fier l’efficacité d’un système de contrôle interne, l’auditeur interne consacre un certain
temps à comprendre et à analyser la conception de ce système afin de déterminer s’il
MPA 2100
permet des contrôles adéquats. Il dispose ainsi d’informations solides pour commenter
les causes des défaillances du système, lesquelles résultent parfois d’une mauvaise
conception des contrôles. Il peut ainsi remédier à ces défaillances plutôt que d’en traiter
seulement les symptômes. Ce type d’approche réduit le risque d’échec de l’audit parce
qu’il permet une identification des contrôles manquants ;
 une revue/un suivi efficace par le management et des procédures d’escalade : la parti-
cipation de l’équipe de management de l’audit interne au processus (c’est-à-dire avant
la rédaction du projet de rapport) contribue largement à atténuer le risque d’échec de
l’audit. La direction peut réviser les papiers de travail, participer à des discussions « en
temps réel » sur les constats ou à une réunion de clôture. Cette implication peut permet-
tre d’identifier et d’évaluer plus rapidement d’éventuels problèmes. De plus, le service
d’audit interne peut avoir des procédures indicatives, qui spécifient à quel moment et
quels types de problèmes faire remonter, et à quel niveau de la direction de l’audit
interne ;
 une allocation appropriée des ressources : il est essentiel de bien choisir l’équipe pour
chaque mission d’audit interne, et tout particulièrement lors de la planification d’une
mission à haut risque ou très technique. En veillant à disposer des compétences appro-

priées, on peut nettement réduire le risque d’échec d’une mission d’audit. En outre, les
membres de l’équipe doivent disposer d’un niveau d’expérience adéquat : les personnes
qui conduisent une mission d’audit interne doivent, notamment, posséder de solides
compétences en gestion de projets.
6. Une activité d’audit interne donne parfois, sans le savoir, une « fausse assurance », c’est-à-dire
un niveau de confiance ou d’assurance qui se fonde sur des perceptions ou des hypothèses
plutôt que sur des faits. Dans de nombreux cas, la simple implication de l’audit interne sur
un domaine peut aboutir à donner une fausse assurance.
7. Lorsque l’audit interne assiste l’organisation dans l’identification et l’évaluation de risques

significatifs, il doit être clairement précisé qu’il ne s’agit pas d’audit interne. Par exemple, une
unité opérationnelle demande à l’audit interne de fournir des « ressources » nécessaires à l’in-
troduction d’un nouveau système informatique dans toute l’organisation. Ces ressources sont
utilisées pour une partie des tests portant sur le nouveau système, mais, ultérieurement, une
erreur de conception de ce système a nécessité le retraitement des états financiers. Interrogée
sur ce qui s’était passé, cette unité opérationnelle affirme que l’audit interne avait participé
au processus sans déceler le problème. La participation des auditeurs internes a donc donné
ici une fausse assurance, qui n’a aucun rapport avec la nature de leur contribution réelle au
projet.
8. Même s’il n’existe aucun moyen d’atténuer l’ensemble des risques de fausse assurance, l’audit
interne peut, néanmoins, prendre les devants pour gérer ce risque, notamment grâce à une
communication claire et fréquente. C’est l’une des principales stratégies de gestion de ce
risque. Il existe également d’autres bonnes pratiques de premier plan :
 communication proactive sur le rôle et le mandat de l’audit interne au comité d’audit,
à la direction générale et aux autres parties prenantes ;
 présentation claire de ce qui est inclus dans l’évaluation des risques, le plan d’audit
interne et la mission de l’audit interne. Il convient également de préciser, de façon expli-
cite, ce qui ne fait pas partie de l’évaluation des risques et du plan d’audit interne ;
 mise en place d’un processus de « validation des projets » afin d’analyser, pour chaque
projet, le niveau de risque et la contribution de l’audit interne. Cette analyse peut
notamment porter sur le périmètre du projet, le rôle de l’audit interne, les attentes en
termes de reporting, les compétences requises et l’indépendance des auditeurs
internes ;
 si les auditeurs internes font partie d’une équipe projet, il faut définir par écrit leur rôle
et le champ de leur intervention, ainsi que les aspects relatifs à leur objectivité et à leur
indépendance, plutôt que de considérer ces auditeurs internes comme des ressources
« prêtées », ce qui risque de donner une fausse assurance.

9. L’efficacité de l’audit interne repose essentiellement sur sa crédibilité. Les services d’audit
interne qui bénéficient d’une haute estime sont susceptibles d’attirer des professionnels
talentueux et sont considérés comme créateur de valeur pour l’organisation. Leur capacité à
préserver la solidité de leur image et à contribuer au bon fonctionnement de l’organisation
est donc cruciale pour un véritable succès. Dans la plupart des cas, il faut plusieurs années
pour construire cette « marque », par un travail constant et de très grande qualité. Malheu-
reusement, un événement négatif majeur peut anéantir instantanément tous ces efforts.
10. Par exemple, un service d’audit interne peut être tenu en haute estime car plusieurs respon-
sables financiers de l’organisation sont passés dans ce service, considéré comme une excel-
lente formation pour de futurs cadres. Or, la réputation de ce service d’audit interne est
entachée à la suite d’une succession de corrections de grande ampleur des états financiers
et des enquêtes menées par les autorités de réglementation. Le comité d’audit et le Conseil
peuvent alors se demander si ce service dispose des compétences ainsi que du programme
d’assurance et d’amélioration qualité appropriés pour aider l’organisation.
11. Un autre exemple : au cours d’un audit de la fonction ressources humaines, les auditeurs
internes constatent que les vérifications des antécédents des salariés n’ont pas été correcte-
ment menées. La crédibilité du service d’audit interne peut être fortement entamée si l’on
découvre que des auditeurs internes récemment embauchés n’ont pas suivi un cursus d’étude
approprié ou que d’autres sont impliqués dans des opérations délictueuses.
12. De telles situations sont non seulement embarrassantes, mais elles portent également
atteinte à l’efficacité de l’audit interne. Protéger la réputation et l’image de ce dernier est
MPA 2100
essentiel pour les activités d’audit interne et aussi pour l’ensemble de l’organisation. Il importe,
par conséquent, que l’audit interne envisage les types de risques susceptibles d’entacher sa
réputation, ceux auxquels il est confronté et qu’il élabore des stratégies permettant d’en atté-
nuer l’impact.
13. Quelques exemples de mesures envisageables :

 mise en œuvre d’un solide programme d’assurance et d’amélioration qualité, pour tous
les processus liés à l’audit interne, notamment ceux qui concernent les ressources
humaines et l’embauche ;
 évaluation périodique des risques, afin que le service d’audit interne puisse identifier
les risques qui sont susceptibles de porter atteinte à son image ;
 renforcement du code de conduite et des règles de déontologie, en se fondant, notam-
ment, sur le Code de déontologie de l’IIA ;
 contrôle de la conformité de l’audit interne à toutes les politiques et pratiques de l’en-
treprise.

Commentaire IFACI
Un autre exemple de mesures envisageables :

• faire certifier le service d’audit interne par un organisme qualifié.
14. Si l’un des événements décrits plus haut affecte l’activité d’audit interne, le responsable de
l’audit interne doit examiner la nature de cet événement et en comprendre les causes. Cette
analyse le renseigne sur les changements qu’il faut envisager au niveau du processus d’audit
interne ou de l’environnement de contrôle, afin d’éviter qu’un tel événement ne se reproduise
à l’avenir.

MPA 2130-1
Évaluer la pertinence des processus de contrôle
2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant
son efficacité et son efficience et en encourageant son amélioration continue.
1. L’organisation met en place et maintient des processus de management des risques et de

contrôle efficaces. Les processus de contrôle ont pour but d’aider l’organisation à gérer les
risques et à atteindre les objectifs fixés et diffusés. Les processus de contrôle devraient notam-
ment permettre de s’assurer que les conditions suivantes sont remplies :
 les informations financières et opérationnelles sont fiables et intègres ;
 les opérations sont réalisées de manière efficiente et permettent d’atteindre les objectifs
fixés ;
 les actifs sont sauvegardés ;
 les actes et les décisions prises par l’organisation sont conformes aux lois, aux règle-
ments et aux contrats.
MPA 2100
2. Il incombe à la direction générale de superviser la mise en place, l’administration et l’évalua-
tion des processus de management des risques et de contrôle. Les managers ont entre autres
responsabilités celle d’évaluer les processus de contrôle dans leurs domaines respectifs. Les
auditeurs internes fournissent des niveaux divers d’assurance quant au degré d’efficacité des
processus de management des risques et de contrôle dans des activités et fonctions choisies
3. Le responsable de l’audit interne émet une opinion globale sur l'adéquation et l'efficacité
des processus de contrôle. Pour ce faire, il se fondera sur des constats avérés lors de la réali-
sation d’audits, et quand cela est approprié, sur des travaux d’autres prestataires d’audit d'as-
surance. Le responsable de l’audit interne communique son opinion à la direction générale
et au Conseil.
4. Le responsable de l'audit interne élabore un projet de plan d’audit pour recueillir des éléments
probants et suffisants qui permettront d’apprécier l’efficacité des processus de contrôle. Ce
plan comporte des missions d’audit et/ou d’autres procédures nécessaires pour obtenir des
preuves suffisantes et pertinentes à propos des unités opérationnelles et fonctions impor-

tantes à évaluer. De même, il comporte une revue des principaux processus de contrôle en
place dans l’organisation. Le plan proposé devrait être suffisamment souple pour permettre
une actualisation en cours d’année, en cas d’évolution des stratégies du management, de
l’environnement extérieur, des principaux risques, ou en cas de réajustement des prévisions
relatives à la réalisation des objectifs de l’organisation.
5. Le plan d'audit met un accent particulier sur les opérations les plus affectées par les change-
ments récents ou inattendus. Ces changements peuvent résulter, par exemple, des conditions
du marché ou d’investissements, d’acquisitions et de cessions, de restructurations, et de
nouveaux systèmes ou enjeux.
6. Afin de déterminer le périmètre d’audit par rapport au projet de plan d’audit, le responsable
de l’audit interne tient compte des travaux qui seront effectués par des tiers pour donner
une assurance à la direction générale (par exemple, le responsable de l’audit interne peut se
référer au travail des responsables de la conformité). Le plan d'audit du responsable de l’audit
interne tient compte également du travail réalisé par l'auditeur externe et des propres évalua-
tions du management concernant les processus de management des risques, les dispositifs
de contrôle et les processus d’amélioration qualité.
7. Le responsable de l'audit interne devrait évaluer l’envergure du périmètre du plan proposé

pour vérifier que le champ d’intervention est suffisant pour permettre de formuler une assu-
rance sur les processus de management des risques et de contrôle de l’organisation. Le
responsable de l'audit interne devrait informer la direction générale et le Conseil de toute
lacune du périmètre d’audit qui l’empêcherait de formuler une opinion sur les différents
aspects de ces processus.
8. L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de contrôle de
l’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations provien-
nent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuées
par le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesure
de l’avancement des missions, les auditeurs internes communiquent leurs observations aux
responsables appropriés, de telle sorte que des mesures puissent être prises rapidement afin
de remédier aux faiblesses ou anomalies constatées ou d’en atténuer les conséquences.
9. Lors de l’évaluation de l’efficacité des processus de contrôle d’une organisation, le responsable

de l’audit interne tient compte :
 du caractère significatif des anomalies ou des faiblesses mises en évidence ;
 des corrections ou améliorations apportées après les constatations ;
 du fait que les constatations et leurs conséquences potentielles induisent à conclure à
un état entraînant un niveau de risques inacceptable.

10. L’existence d’une anomalie ou d’une faiblesse significative ne signifie pas nécessairement
que cette anomalie ou faiblesse est généralisée et qu’elle entraîne un risque inacceptable.
L‘auditeur interne devra prendre en compte la nature et la portée de l’exposition aux risques
ainsi que le niveau des conséquences potentielles pour déterminer si l’efficacité des processus
de contrôle est remise en cause et s’il existe des risques inacceptables.
11. Le rapport du responsable de l’audit interne sur les processus de contrôle de l'organisation
est normalement présenté une fois par an à la direction générale et au Conseil. Ce rapport
souligne l’importance du rôle joué par les processus de contrôle dans la réalisation des objec-
tifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé par l’audit interne
ainsi que la nature et la confiance accordée à d’autres prestataires d’audit d’assurance pour
formuler cette opinion.
MPA 2100

MPA 2130.A1-1
Fiabilité et intégrité de l’information
2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes
d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :
1. Les auditeurs internes s’assurent que la direction générale et le Conseil sont conscients de la
responsabilité du management en matière de fiabilité et d’intégrité de l’information. Cette
responsabilité porte sur toutes les informations essentielles pour l’organisation, quel que soit
leur mode de conservation. La fiabilité et l’intégrité de l’information incluent l’exactitude,
l’exhaustivité et la sécurité.
Commentaire IFACI
L’accessibilité est une condition nécessaire mais non suffisante pour qu’une information soit fiable.
La cour des comptes américaine (US Governement Accountability Office) fournit à ce sujet une démarche intéressante
(cf. « assessing the reliability of computer-processed data » GAO-03-273G October 1, 2002).
2. Le responsable de l'audit interne s’assure que l’audit interne dispose ou a accès à des
ressources appropriées pour évaluer la fiabilité et l’intégrité de l’information et les risques
correspondants. Ces derniers incluent tant les risques internes que les risques externes et,
ceux afférents aux relations établies par l’organisation avec d’autres entités externes.
3. Le responsable d’audit interne s’assure que la direction générale, le Conseil et l’audit interne
seront rapidement informés de toute atteinte à la fiabilité et à l’intégrité de l’information et
de toute situation susceptible de constituer une menace pour l’organisation.
4. Les auditeurs internes évaluent, le cas échéant, l’efficacité des mesures prises, en vue de
prévenir, détecter et atténuer les attaques survenues par le passé, ainsi que tout incident ou
tentative d'attaque susceptible de se produire à l'avenir. Les auditeurs internes s’assurent que
le Conseil a bien été informé des menaces ou incidents survenus, des faiblesses exploitées
et des mesures correctives.

5. Les auditeurs internes évaluent périodiquement le dispositif de fiabilité et d’intégrité de l’in-

formation de l’organisation et recommandent, le cas échéant, des améliorations ou la mise
en place de nouveaux contrôles et de nouvelles mesures de protection. Ces évaluations
peuvent faire l’objet de missions distinctes et isolées ou être intégrées dans d’autres missions
réalisées dans le cadre du plan d’audit annuel. Le processus de communication approprié à
la direction générale et au Conseil dépendra de la nature de la mission.
MPA 2100

MPA 2130.A1-2
L’évaluation du dispositif mis en place par
l’organisation pour protéger la vie privée
2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi
pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes
d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :
1. L’incapacité à protéger des informations à caractère personnel par des contrôles appropriés,
peut avoir d’importantes conséquences pour une organisation. Une telle lacune peut nuire
à la réputation de certaines personnes et/ou de l’organisation, et exposer l’organisation à des
risques tels que la mise en jeu de sa responsabilité légale et la baisse de confiance des
consommateurs et/ou des salariés.
2. Les définitions de la vie privée varient amplement selon la culture, l’environnement politique
et le cadre juridique des pays où est implantée l’organisation. Les risques liés au caractère
personnel des informations comprennent l’intimité des personnes (sur le plan physique et
psychologique), le respect de l’espace privé (absence de surveillance), ainsi que le caractère
confidentiel de la communication (absence de contrôle) et des informations (collecte, exploi-
tation et diffusion par autrui d’informations à caractère personnel). Les informations à carac-
tère personnel correspondent généralement à des informations que l’on peut associer à un
individu donné, soit en tant que telles soit en les regroupant avec d’autres informations. Il
peut s’agir d’informations de nature objective ou subjective, enregistrées ou non, et ce quels
qu’en soient la forme ou le support. À titre d’exemple, les informations à caractère personnel
incluent notamment :
 le nom, l’adresse, les numéros d’identification, les relations familiales ;
 les dossiers des salariés, les évaluations, les commentaires, le statut social ou les mesures
disciplinaires ;
 les informations relatives aux crédits, au revenu et à la situation financière ;
 la situation médicale.

Commentaire IFACI
En France, selon l’article 8 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés « il est
interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »
3. Les bonnes pratiques en matière de protection de la vie privée constituent un élément essen-
tiel des processus de gouvernement d’entreprise, de management des risques et de contrôle.
Il incombe, en dernier ressort, au Conseil d’assurer l’identification des principaux risques
encourus par l’organisation et la mise en œuvre des processus appropriés destinés à les atté-
nuer. À ce titre, il lui appartient de doter l’organisation d’un dispositif garantissant le respect
de la vie privée et d’en piloter la mise en place.
4. L’audit interne peut contribuer à un bon gouvernement d’entreprise et au management des

risques en évaluant l’adéquation de l’identification des risques réalisée par le management
en ce qui concerne la protection de la vie privée et des contrôles mis en place pour atténuer
ces risques à un niveau acceptable. L’auditeur interne est bien placé pour évaluer le dispositif
en place dans l’organisation, identifier les risques significatifs et formuler les recommandations
appropriées en vue de leur atténuation.
5. L’audit interne examine la nature et le bien-fondé des informations à caractère personnel ou

privé recueillies par l’organisation et la méthode utilisée pour les collecter. Il vérifie également
MPA 2100
que l’organisation utilise ces informations conformément à l’usage qui en est attendu et à la
législation applicable.
6. Étant donné la nature juridique et technique très marquée que revêt cette question, l’audit
interne devra disposer des connaissances et des compétences pour procéder à l’évaluation
des risques et des contrôles du dispositif mis en place par l’organisation en matière de protec-
tion de la vie privée.
7. Pour procéder à l’évaluation du dispositif mis en place par l’organisation pour protéger la vie
privée, l’auditeur interne :
 prend en considération les lois, réglementations et règles relatives au respect de la vie
privée en vigueur dans tous les pays dans lesquels l’organisation exerce une activité ;
 se rapproche du juriste de l’organisation afin de déterminer le contenu exact des lois,
réglementations, normes ou pratiques applicables à l’organisation et au(x) pays dans
le(s)quel(s) elle exerce une activité ;
 se rapproche des spécialistes des technologies de l’information afin de s’assurer que
des contrôles concernant la sécurité des informations et la protection des données sont
en place, et que leur efficacité est régulièrement examinée et évaluée ;

 prend en considération le niveau de maturité des pratiques de l’organisation en matière
de protection de la vie privée. Le rôle de l’auditeur interne peut varier en fonction de
cette maturité. L’auditeur peut faciliter l’élaboration et la mise en œuvre d’un
programme spécifique, réaliser une évaluation des risques afin de déterminer les
besoins et l’exposition aux risques de l’organisation, ou bien il peut donner une assu-
rance sur l’efficacité des règles, des pratiques et des contrôles en place dans l’organisa-
tion. L’indépendance de l’auditeur interne peut être altérée s’il assume une
responsabilité dans le développement et la mise en place d’un programme de protec-
tion de la vie privée.
Commentaire IFACI
La protection de la vie privée et des données à caractère personnel est devenue une problématique incontournable, du fait
de la collecte incessante d'informations électroniques de ce type et de la capacité sans limite de relier ces informations entre
elles.
On consultera avec intérêt le site de la CNIL (www.cnil.fr) qui, outre des informations précises et utiles sur la conformité à
la loi, offre un espace de réflexions sur ce thème.
Par ailleurs, le GTAG n°5 « Auditer et gérer les risques relatifs à la protection de la vie privée » y est entièrement consacré.

mPA SÉrIE 2200

PlANIFICAtIoN DE lA mISSIoN
MPA 2200

MPA 2200-1
Planification de la mission
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.
1. L’auditeur interne planifie et conduit la mission qui est supervisée et approuvée. Avant le
début de la mission, l’auditeur interne prépare un programme qui :
 définit les objectifs de la mission ;
 identifie les exigences techniques, les objectifs, les risques, les processus et les transac-
tions qui doivent être examinés ;
 établit la nature et l'étendue nécessaire des tests ;
 documente les procédures utilisées par l'auditeur interne pour collecter, analyser, inter-
préter et documenter les informations pendant la mission ;
 est modifié, le cas échéant, au cours de la mission avec l’approbation du responsable
de l’audit interne ou de son représentant.
2. Le responsable de l’audit interne devrait exiger un niveau de formalisme et de documentation

adapté à l'organisation (par exemple concernant les résultats des réunions de planification,
les procédures d'évaluation des risques, le niveau de détail du programme de travail, etc.).
MPA 2200
Cette exigence devrait s’appliquer :
 lorsque le travail réalisé ou les résultats de la mission reposent sur des travaux de tiers
(par exemple, des auditeurs externes, des régulateurs, ou le management) ;
 lorsque le travail vise des aspects pouvant être associés à un litige existant ou poten-
tiel ;
 en fonction de l'expérience de l’équipe d’audit interne et du niveau de supervision
directe exigée ;
 lorsque la mission fait recours à des auditeurs associés, sélectionnés en interne ou à
des prestataires externes de services ;
 en fonction de la complexité et l’étendue de la mission ;
 en fonction de la taille du service d’audit interne ;
 en fonction de la valeur des documents (par exemple, s'ils sont susceptibles d’être utili-
sés dans les années suivantes).

3. L’auditeur interne détermine les autres exigences de la mission telles que la durée et les dates
estimées d’achèvement. L’auditeur interne considère aussi le format de la communication
finale de la mission. Une planification correcte à ce stade facilite le processus de communi-
cation à l’issue de la mission.
Commentaire IFACI
Rapport d’audit final : le terme anglais est plus général “final engagement communication“, ceci indique que le produit fini
d’une mission ne se matérialise pas nécessairement sous forme de rapport au sens traditionnel du terme. La présentation
des résultats d’une mission peut se faire sur différents supports et suivant différents formats (présentation de type power
point, rapport “classique“ …). Par contre, si le format a été défini au moment de la lettre de mission, il est impératif de s’y
conformer. La forme et le média sont laissés à l’appréciation du département d’audit interne.
4. L’auditeur interne informe le management concerné. Il tient des réunions avec le manage-
ment responsable de l'activité auditée. Il résume les discussions et diffusent les comptes
rendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans les
papiers de travail de la mission.
Commentaire IFACI
Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succès de la mission et la fiabilité des
résultats attendus, la communication préalable à la mission peut être restreinte ou soumise à un niveau de confidentialité
plus important. Dans certains cas même, le responsable de l’entité auditée peut ne pas être averti de la mission, avec
l’accord de la direction générale.
Les sujets de discussion peuvent être les suivants :

 les objectifs et le champ d'intervention de la mission d'audit planifiée ;
 les ressources et le calendrier de la mission ;
 les facteurs clés affectant les conditions de gestion et les opérations des zones auditées,
y compris les changements récents au niveau de l’environnement interne et externe ;
 les préoccupations et les demandes du management ;
 les sujets particuliers ou les préoccupations de l'auditeur interne ;
 la description des procédures de l'audit interne pour rendre compte et assurer le suivi
de la mission.
5. Le responsable de l'audit interne détermine comment, quand et à qui les résultats de l'audit
seront communiqués. L’auditeur interne documente ces éléments et les communique au
management autant que possible, pendant la phase de planification de la mission. L‘auditeur
interne communique au management les changements ultérieurs qui affectent les délais ou
la diffusion des résultats de la mission.

MPA 2200-2
Utilisation d’une approche « Top-Down »,
fondée sur les risques, pour identifier les contrôles
à évaluer dans le cadre d’une mission d’audit interne
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan
de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi
que les ressources allouées.
1. La présente modalité est complémentaire des Modalités Pratiques d’Application (MPA) 2010-
2 : Prise en compte du management des risques dans la planification de l’audit interne, 2210-
1 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planification de
la mission ainsi que du « Guide to the Assessment of IT Risk (GAIT) – for business and IT risk
(GAIT-R)1 ».
2. Cette MPA suppose que les objectifs de la mission d’audit interne aient été déterminés et les
risques identifiés dans le cadre du processus de planification. Elle fournit une ligne directrice
quant à l'utilisation d'une approche « Top-down », fondée sur les risques, qui identifie et inclut
dans le périmètre de l’audit interne (selon la Norme 2220) les contrôles clés sur lesquels la
gestion des risques s’appuie.
MPA 2200
3. L’approche « Top-down » implique de définir le périmètre d'audit sur les risques les plus signi-
ficatifs de l'organisation et non sur des risques spécifiques qui ne seraient pas significatifs à
l’échelle de l'organisation. Une approche « Top-down » garantit que l'audit interne est orienté
vers la « prise en compte du management des risques dans la planification de l’audit interne »,
conformément à la MPA 2010-2.
4. En général, un système de contrôle interne comprend à la fois des contrôles manuels et des
contrôles automatisés2. Ces deux types de contrôles doivent être évalués afin de déterminer
si les risques sont efficacement gérés. L’auditeur interne doit en particulier évaluer s'il existe
1
Ce document (guide d’évaluation relatif aux risques métiers et aux risques des systèmes d’information) n’est pas traduit en français. Il a été conçu pour
répondre aux obligations des entreprises vis-à-vis de la section 404 du Sarbanes-Oxley Act.
2
Il est à noter que ceci s’applique aux contrôles à tous les niveaux – entité, processus métier et contrôles généraux informatiques – et à tous les échelons
du cadre de contrôle ; à titre d’exemple les activités relevant de l’environnement de contrôle, du suivi ou de l’évaluation des risques peuvent être également
automatisés.

une combinaison appropriée de contrôles, y compris ceux relatifs aux technologies de l'in-
formation, afin de réduire les risques dans les limites acceptées par l'organisation. L’auditeur
interne doit envisager d'inclure ou non des procédures visant à évaluer et confirmer que les
niveaux d’acceptation des risques sont à jour et adéquats.
5. Le périmètre d’audit interne doit comprendre tous les contrôles requis pour donner l’assu-
rance raisonnable que les risques sont efficacement gérés1. Ces contrôles sont dits contrôles
clés au sens où ils sont nécessaires à la gestion des risques associés à un objectif particuliè-
rement critique pour l’organisation. Seuls les contrôles clés doivent être évalués. Toutefois,
l’auditeur interne peut choisir d’inclure une évaluation d'autres contrôles (contrôles redon-
dants ou dupliqués par exemple) s'il l’estime utile pour l'activité. Il peut également discuter
avec le management de la nécessité de ces contrôles secondaires.
6. Lorsqu’une organisation dispose d’un programme de gestion des risques efficace et mature,
les contrôles clés sur lesquels elle s’appuie pour gérer chaque risque devront être identifiés.
Dans de tels cas, l’auditeur interne doit examiner si l'identification et l'évaluation des contrôles
clés par le management sont adéquates.
7. Les contrôles clés peuvent prendre les formes suivantes :

 Les contrôles transversaux à l’entité2 peuvent être manuels, entièrement ou partielle-
ment automatisés.
 Les contrôles manuels d’un processus métier3.
 Les contrôles entièrement automatisés d’un processus métier4.
 Les contrôles partiellement automatisés d’un processus métier5, lorsqu’un contrôle
manuel s’appuie sur une fonctionnalité informatique telle qu’un état d’anomalies. Si
cette fonctionnalité est erronée, l’ensemble du contrôle peut être inefficace. Par exem-
ple, un contrôle clé visant à détecter les règlements dupliqués peut inclure l’examen
d'un état informatique. La partie manuelle du contrôle ne peut assurer que l’état est
complet. De ce fait, le périmètre d’audit doit inclure la fonctionnalité informatique qui
génère l’état.
L’auditeur interne peut utiliser d’autres méthodes ou référentiels dès lors que tous les
contrôles clés mis en place pour gérer les risques sont identifiés et évalués, y compris les
contrôles manuels, automatisés et les contrôles généraux informatiques.
8. Les contrôles entièrement ou partiellement automatisés – qu’ils soient au niveau de l'entité

ou d'un processus métier – s’appuient généralement sur la conception adéquate et l’efficacité
1
Voir les commentaires figurant ci-après au paragraphe 9.
2 Par exemple, concernant le code de conduite, les salariés sont formés puis leur bonne compréhension est vérifiée.
3
Par exemple, la réalisation d’un inventaire physique.
4
Par exemple, le rapprochement et la mise à jour des comptes dans la balance générale.
5
Egalement désignés comme des contrôles « hybrides » ou contrôles dépendants des technologies de l’information.

des contrôles généraux informatiques. Le GAIT-R explicite le processus d’identification des

contrôles généraux informatiques clés.
9. L’évaluation des contrôles clés peut être réalisée soit lors d'une seule mission d'audit interne
selon une approche intégrée, soit au cours d'une série de missions. Par exemple, une première
mission d'audit interne peut traiter des contrôles clés réalisés par les opérationnels tandis
qu'une deuxième abordera les contrôles généraux informatiques et qu’une troisième évaluera
les contrôles associés mis en place au niveau de l’entité. Cette pratique est courante lorsque
les mêmes contrôles1 sont mis en place pour plus d’un domaine de risque.
10. Comme énoncé au paragraphe 5, avant d’émettre une opinion sur la gestion efficace des
risques couverts par le périmètre d’audit interne, il est nécessaire d’évaluer la combinaison
des différents contrôles clés. Même lorsqu’une série de missions d’audit interne est réalisée,
chacune traitant de certains contrôles clés, l'auditeur interne doit inclure dans le périmètre
d'au moins une des missions d'audit interne une évaluation de la conception des contrôles
clés dans son ensemble2 et déterminer si cela est suffisant pour gérer les risques dans les
limites acceptées par l'organisation.
11. Si le périmètre d'audit interne3 n’inclut que certains contrôles clés requis pour gérer les risques
cibles, il faudra le considérer comme une limitation du périmètre et le préciser clairement
dans le rapport.
MPA 2200
1
En particulier ceux transversaux à l'entité ou encore les contrôles généraux informatiques.
2 C'est-à-dire pour toute la série de missions d'audit interne.
3
Compte tenu des autres missions d'audit interne comme mentionné au paragraphe 9.

MPA 2210-1
Objectifs de la mission
2210 – objectifs de la mission
Les objectifs doivent être précisés pour chaque mission.
1. Les auditeurs internes établissent les objectifs de la mission en fonction des risques liés à l'ac-
tivité à auditer. Concernant les missions planifiées, les objectifs découlent et sont conformes
à ceux qui ont été initialement identifiés lors du processus d’évaluation des risques qui a
permis d’établir le plan annuel d'audit. Pour les missions non planifiées, les objectifs sont
établis avant le début de la mission en fonction de la problématique spécifique qui a motivé
la mission.
2. L’évaluation des risques réalisée pendant la planification de la mission est utilisée pour mieux
préciser les objectifs initiaux et identifier d’autres zones d’intérêt significatives.
3. Après avoir identifié les risques, l'auditeur interne détermine les procédures à mettre en œuvre
et leur périmètre (nature, durée, et étendue). Les procédures mises en œuvre sur le périmètre
approprié constituent les moyens de tirer des conclusions liées aux objectifs de la mission.

MPA 2210.A1-1
Évaluation des risques dans la planification
de la mission
2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'ac-
tivité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résul-
tats de cette évaluation.
1. Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le manage-
ment pour l’activité examinée. L’auditeur interne prend aussi en compte les éléments
suivants :
 la fiabilité de cette évaluation des risques ;
 le processus établi par le management pour la surveillance, la diffusion d’informations
et la résolution des risques et des contrôles ;
 les comptes-rendus du management sur les événements qui ont dépassé les limites
de l’appétence pour le risque de l’organisation ainsi que les réponses du management
à ces rapports ;
 les risques des activités connexes et pertinentes par rapport à l’activité examinée.
2. Les auditeurs internes obtiennent et mettent à jour des informations de base sur l’activité à
auditer. Ces informations sont révisées pour déterminer leur impact sur les objectifs et le péri-
mètre de la mission.
3. Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avec
MPA 2200
les activités, les risques et les contrôles, pour identifier les domaines où la mission sera appro-
fondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions.
4. Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée par
le management, des éléments de contexte et de toute revue préliminaire. Ce résumé
comprend :
 les problèmes importants et les raisons pour poursuivre une étude plus approfondie ;
 les objectifs et les procédures de la mission;
 les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillon-
nage ;
 les points de contrôles potentiellement délicats, les manques et/ou les excès de
contrôle apparents ;
 si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significati-
vement les objectifs de la mission.
MPA 2230-1
Ressources affectées à la mission
2230 – ressources affectées à la mission
Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre
les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de
chaque mission, des contraintes de temps et des ressources disponibles.
1. Pour déterminer le caractère approprié et suffisant des ressources, les auditeurs internes consi-
dèrent les éléments suivants :
 le nombre d'auditeurs internes et le niveau d'expérience de l'équipe d'audit ;
 les connaissances, le savoir-faire et autres compétences des auditeurs internes pour
leur affectation à chaque mission d'audit ;
 la disponibilité de ressources externes dans les cas où des connaissances ou des compé-
tences supplémentaires sont requises ;
 les besoins de formation des auditeurs internes pour chaque mission constituent un
point de départ pour satisfaire le développement des connaissances nécessaires au
niveau de l’audit interne.

MPA 2240-1
Programme de travail de la mission
2240 – Programme de travail de la mission
Les auditeurs internes doivent élaborer et documenter un programme de travail permettant

d'atteindre les objectifs de la mission.
1. Les auditeurs internes élaborent les programmes de travail et en obtiennent la validation

formelle avant de commencer la mission. Le programme de travail comprend les méthodes
utilisées telles que les audits informatisés et les techniques d’échantillonnage.
Commentaire IFACI
Le programme de travail peut éventuellement être revu au cours de la phase de réalisation. En cas de modification
importante, il doit de nouveau être validé.
2. Le processus de collecte, d’analyse, d’interprétation et de documentation de l’information

est supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteints
et que l’objectivité de l’auditeur est maintenue.
MPA 2200

mPA SÉrIE 2300

ACComPlISSEmENt DE lA mISSIoN
MPA 2300

MPA 2300-1
Utilisation d’informations à caractère personnel
dans la conduite d’une mission
2300 – Accomplissement de la mission
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations néces-
saires pour atteindre les objectifs de la mission.
1. Les auditeurs internes doivent se préoccuper de la protection des informations à caractère

personnel qui sont recueillies au cours des missions d’audit, car les progrès des technologies
de l’information et des communications continuent d’induire des risques et des menaces
pour la vie privée. De nombreux pays imposent aux organisations de se doter d’un dispositif
de contrôle visant à protéger la vie privée.
2. Les informations à caractère personnel sont généralement des données associées à un indi-
vidu en particulier ou des données d’identification qui peuvent être associées à d’autres infor-
mations. Il peut s’agir d’informations factuelles ou subjectives, enregistrées ou non, sous toute
forme ou tout type de support. Les informations à caractère personnel sont notamment :
 le nom, l’adresse, les numéros d’identification, le revenu, le groupe sanguin ;
 les évaluations, le statut social, les mesures disciplinaires ;
 les fichiers du personnel et les dossiers de crédit et de prêt ;
 les données relatives à la santé et les données médicales du personnel.
3. Dans de nombreux pays, la législation impose aux organisations d’identifier, lors de la collecte
des données ou avant cette collecte, la finalité pour laquelle des informations à caractère
personnel sont recueillies. Elle interdit l’utilisation et la divulgation d’informations à caractère
MPA 2300
personnel pour une finalité autre que celle pour laquelle ces données ont été recueillies, sauf
si l’individu concerné a donné son accord ou si la législation l’impose.
4. Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives à
l’utilisation d’informations à caractère personnel dans leur pays et dans les pays où leur orga-
nisation opère.
5. Il peut être inopportun, voire illégal, d’accéder à, de rechercher, de passer en revue, de mani-
puler ou d’utiliser des informations à caractère personnel dans le cadre de certaines missions

d’audit interne. Si l’audit interne accède à de telles informations, il peut être nécessaire d’éla-
borer des procédures pour les protéger. Ainsi, dans certaines situations, l’auditeur interne
peut décider de ne pas faire figurer d’informations à caractère personnel dans les dossiers de
la mission.
6. En cas d’interrogations ou de doutes concernant l’accès à des informations à caractère

personnel, l’auditeur interne peut demander l’avis d’un juriste avant le lancement de l’audit.

MPA 2320-1
Procédures analytiques
2320 – Analyse et évaluation
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des
analyses et évaluations appropriées.
1. Les auditeurs internes peuvent recourir à des procédures analytiques pour obtenir des
preuves d’audit. Les procédures analytiques consistent à étudier et comparer les relations
entre des informations financières et des informations non financières. Leur mise en œuvre
se base sur l’hypothèse qu’en conditions normales, on peut raisonnablement s’attendre à
l’existence et à la persistance de relations entre certaines informations. Parmi les exemples
de conditions hors normes, on peut citer : les transactions ou événements inhabituels ou
non récurrents, les modifications des principes comptables, organisationnels, opérationnels,
environnementaux ou technologiques, les inefficiences, les inefficacités, les erreurs, la fraude
ou les actes illégaux.
2. Pour l’auditeur interne, les procédures analytiques constituent souvent un moyen efficient
et efficace d’obtenir des éléments probants. L’évaluation résulte de la comparaison d’une
information avec des résultats attendus ou définis par l’auditeur interne. Les procédures analy-
tiques sont utiles pour repérer :
 les écarts inattendus ;
 l’absence d’écarts attendus ;
 les erreurs potentielles ;
 une fraude ou des actes illégaux potentiels ;
 d’autres transactions ou événements inhabituels ou non récurrents.
MPA 2300
3. Les procédures analytiques consistent notamment à :

 comparer les informations relatives à la période en cours et les informations analogues
des périodes précédentes, ainsi que les budgets ou les prévisions ;
 étudier les relations entre des informations financières et des informations non finan-
cières appropriées (par exemple, les frais de personnel comptabilisés et l’évolution de
l’effectif moyen) ;
 étudier les relations entre des éléments d’information (par exemple, la fluctuation du
montant des intérêts débiteurs comptabilisés et l’évolution des dettes correspon-
dantes) ;

 comparer les informations collectées avec les prévisions fondées sur des informations
analogues d’autres unités organisationnelles et aux informations sectorielles de même
nature.
4. Les auditeurs internes peuvent mettre en œuvre les procédures analytiques en utilisant des
valeurs monétaires, des quantités physiques, des ratios ou des pourcentages. Certaines procé-
dures analytiques font intervenir des analyses de ratios, de tendances ou de régression, des
tests de vraisemblance, des comparaisons entre périodes, des comparaisons avec les budgets,
des prévisions ou des informations économiques extérieures. Les procédures analytiques
aident les auditeurs internes à identifier les conditions qui peuvent nécessiter des procédures
d’audit supplémentaires. Un auditeur interne applique des procédures analytiques lorsqu’il
planifie sa mission conformément aux lignes directrices énoncées dans la Norme 2200.
5. Les auditeurs internes peuvent recourir à des procédures analytiques pour produire des
preuves au cours de leur mission. Lorsqu’il détermine dans quelle mesure des procédures
analytiques doivent être utilisées, l’auditeur interne prend en compte :
 l’importance du secteur audité ;
 l’évaluation du management des risques dans le domaine audité ;
 l’adéquation du système de contrôle interne ;
 la disponibilité et la fiabilité des informations financières et non financières ;
 la précision attendue des résultats des procédures analytiques ;
 la disponibilité et la comparabilité d’informations ;
 la validité d’autres procédures d’audit pour l’obtention de preuves.
6. Lorsque les procédures analytiques font apparaître des résultats ou des relations inattendus,
l’auditeur interne évalue ces résultats ou ces relations. Cette évaluation consiste à déterminer
si la différence par rapport aux attentes pourrait résulter d’une fraude, d’une erreur ou de
nouvelles conditions. L’auditeur interne peut interroger le management sur les raisons de
cette différence et corroborer, ou non, l’explication du management, par exemple en modi-
fiant les objectifs et en recalculant l’écart, ou en appliquant d’autres procédures d’audit. L’au-
diteur interne se doit en particulier de vérifier que l’explication tient compte à la fois du sens
du changement (baisse des ventes, par exemple) et de l’ampleur de l’écart (baisse des ventes
de 10 %, par exemple). Les résultats ou les relations inexpliqués, qui sont obtenus au moyen
de procédures analytiques, peuvent indiquer un éventuel problème important (tel qu’une
erreur, une fraude ou un acte illégal). Les résultats ou les relations qui ne sont pas expliqués
de façon adéquate peuvent indiquer une situation dont il faudra informer la direction géné-
rale et le Conseil conformément à la Norme 2060. En fonction des circonstances, l’auditeur
interne peut recommander une action appropriée.

MPA 2330-1
Documentation des informations
2330 – Documentation des informations
Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclu-
sions et les résultats de la mission.
1. Les auditeurs internes préparent les papiers de travail qui servent à documenter les informa-
tions obtenues, les analyses faites, et qui confortent les conclusions et les résultats de la
mission. Le management du service d’audit interne révise les papiers de travail.
2. Les papiers de travail servent généralement à :

 aider à la planification, à l’exécution et à la révision des missions ;
 fournir le principal document d’appui pour les résultats de la mission ;
 documenter la réalisation des objectifs d’audit ;
 démontrer l’exactitude et l’exhaustivité du travail effectué ;
 fournir une base pour le programme d’assurance et d’amélioration qualité de l’audit
interne ;
 faciliter la revue par des tiers.
3. L’organisation, la conception et le contenu des dossiers de travail de l’audit sont fonction de

la nature de la mission ainsi que des objectifs et des besoins de l’organisation. Les dossiers
de travail comprennent tous les éléments du processus, de la planification à la communica-
tion des résultats.
4. Le responsable de l'audit interne définit les règles, adaptées à chaque type de mission, à
suivre en matière de papiers de travail. La normalisation des papiers de travail tels que les
MPA 2300
questionnaires et les programmes d’audit peut améliorer l’efficacité d’une mission et faciliter
la délégation du travail. Certains papiers de travail peuvent être considérés comme perma-
nents ou être intégrés dans des dossiers qui contiennent des informations importantes à
caractère permanent.

MPA 2330.A1-1
Contrôle des dossiers d’audit
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de
communiquer ces dossiers à des parties extérieures.
1. Les dossiers d’audit comportent, quel que soit le moyen de stockage, des rapports, des
preuves, des notes de révision et des correspondances. Les dossiers et les papiers de travail
de la mission sont la propriété de l’organisation. L’audit interne contrôle les papiers de travail
et ne les rend accessibles qu’au personnel autorisé.
2. Les auditeurs internes peuvent sensibiliser la direction générale et le Conseil au sujet de l'ac-
cès des personnes externes aux dossiers de la mission. Les règles concernant le droit d’accès
aux dossiers, les modalités de traitement des demandes d'accès, et les procédures à suivre
lorsqu’une mission d’audit est utilisée en tant que preuve pendant une enquête, devront être
revues par le Conseil.
Commentaire IFACI
En France, compte tenu des responsabilités respectives du Conseil et de la direction générale, cette revue ne peut être faite
que par la direction générale.
3. Les procédures d’audit interne précise le responsable du contrôle et de la sécurité des dossiers
du service, les équipes internes ou externes qui peuvent avoir accès aux dossiers d’audit, ainsi
que les modalités de traitement des demandes d’accès à ces dossiers. Ces procédures varie-
ront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des
prérogatives d’accès définies par la loi.
4. Le management et les autres membres de l’organisation peuvent demander l’accès au dossier

d’audit ou à des papiers de travail spécifiques. Un tel accès peut être nécessaire pour corro-
borer ou expliquer les constatations et recommandations de la mission ou à d’autres fins
professionnelles. Le responsable de l'audit interne approuve ces demandes.
5. Le responsable de l'audit interne approuve l’accès des auditeurs externes aux papiers de
travail.

6. Il y a des cas où les demandes d’accès aux papiers de travail et aux rapports sont faites par
des personnes extérieures à l’organisation, autres que les auditeurs externes. Avant de fournir
la documentation demandée, le responsable de l'audit interne obtient l’approbation de la
direction générale et/ou, le cas échéant, du conseiller juridique.
Commentaire IFACI
En France, les rapports d’audit interne sont, en tant que de besoin, à la disposition de la justice.
Pour le secteur bancaire, l’article 41 du règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus
à la disposition des Commissaires aux comptes et du secrétariat général de la Commission Bancaire.
Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et
circonspection. Nous renvoyons ici aux commentaires formulés à propos du Code de Déontologie.
7. Potentiellement, les dossiers d’audit interne qui ne sont pas spécifiquement protégés,
peuvent être consultés dans le cadre de poursuites judiciaires. Les conditions légales varient
de façon significative selon les juridictions. Lorsqu’il y a une demande spécifique de dossiers
d’audit liée à une procédure judiciaire, le responsable de l’audit interne travaille en étroite
collaboration avec le conseiller juridique pour déterminer ce qui peut être mis à disposition.
MPA 2300

MPA 2330.A1-2
Autorisation d’accès aux dossiers de la mission
2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il
doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de
communiquer ces dossiers à des parties extérieures.
Commentaire IFACI
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant
susceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente Modalité
Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux
effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le
système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel
liant l’avocat à son client.
1. Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, les
notes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé.
On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposer
à la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connais-
sance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal inter-
préter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par des
tiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuites
pénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchés
publics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer.
La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret profes-
sionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales.
Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonc-
tion du pays de l’organisation.
2. Des procédures explicites de l’audit interne peuvent permettre de renforcer le contrôle de

l’accès aux dossiers de la mission.
3. L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soit
le support d’archivage utilisé.

4. Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers de
la mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeurs
internes traiteront les notes de revue validées. Ces règles devraient également spécifier la
durée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit interne
spécifie la durée de conservation des dossiers de la mission, il devrait tenir compte des
besoins de l’organisation et de la législation.
5. Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsable
du contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accès
aux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être trai-
tées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dans
le pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courant
de l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définit
ces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéder
aux dossiers de l’audit interne.
6. La procédure qui accorde un accès aux dossiers de la mission peut également définir des
processus permettant de :
 résoudre les problèmes d’accès ;
 sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant
l’accès à leurs travaux ;
 déterminer qui pourra demander à accéder à ces travaux.
7. Le responsable de l’audit interne peut également sensibiliser la direction générale et le

Conseil aux risques d’accès aux dossiers de la mission. Le Conseil peut examiner les règles
indiquant qui peut être autorisé à accéder aux dossiers et comment ces demandes doivent
être traitées. Certaines règles dépendront de la nature de l’organisation et des droits d’accès
prévus par la législation.
8. En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne :
 ne produit que certains documents spécifiques, conformément aux indications du
juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documents
MPA 2300
couverts par le secret professionnel liant l’avocat à son client. Les documents qui révè-
lent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par le
secret professionnel et leur communication n’est pas obligatoire ;
 présente les documents sous une forme qui empêche leur modification (par exemple,
un scan de préférence à un fichier de traitement de texte). Concernant les documents
sur papier, le responsable de l’audit interne en diffuse des copies et conserve les origi-
naux ;
 appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indi-
quant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.

MPA 2330.A2-1
Conservation des dossiers
2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation
des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent
être cohérentes avec les orientations définies par l'organisation et avec toute exigence régle-
mentaire ou autre.
1. Les modalités de conservation des dossiers d’audit varient en fonction des juridictions et de
l’environnement légal.
2. Le responsable de l’audit interne rédige une politique de conservation qui répond aux
besoins de l’organisation et aux obligations légales des juridictions dans lesquelles elle opère.
3. La procédure de conservation des dossiers devra inclure des dispositions spécifiques pour la
conservation des dossiers liés aux missions réalisées par des prestataires extérieurs.

MPA 2340-1
Supervision de la mission
2340 – Supervision de la mission
Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs
sont atteints, la qualité assurée et le développement professionnel du personnel effectué.
Interprétation :
L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,
ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité
de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,
mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la
compétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être docu-
mentée et conservée dans les papiers de travail.
1. Le responsable de l'audit interne ou son représentant assurent une supervision adéquate de

la mission. La supervision est un processus qui débute avec la planification de la mission et
se poursuit sur l’ensemble de la mission. Ce processus consiste à :
 s’assurer que les auditeurs désignés possèdent collectivement les connaissances, le
savoir-faire et les autres compétences requises pour réaliser la mission ;
 donner des instructions appropriées durant la planification de la mission et approuver
le programme de travail de la mission ;
 vérifier que le programme de travail approuvé est correctement réalisé sous réserve
que les changements soient justifiés et autorisés ;
 contrôler que les papiers de travail contiennent les éléments probants justifiant les
constats, conclusions et recommandations de la mission ;
 s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans les
MPA 2300
délais fixés ;
 s’assurer que les objectifs d’audit ont été atteints ;
 saisir toutes les occasions pour développer les connaissances, le savoir-faire et les autres
compétences des auditeurs internes.
2. Le responsable de l'audit interne a la responsabilité de toutes les missions d’audit qu’elles

soient effectuées par ou pour le compte de l’audit interne. Il est aussi responsable de toutes
les opinions professionnelles significatives formulées lors de la mission. Le responsable de

l'audit interne met également en place les moyens appropriés pour assumer cette respon-
sabilité. Les moyens appropriés incluent les règles et procédures destinées à :
 minimiser le risque que des auditeurs internes ou d’autres personnes réalisant des
travaux pour l’audit interne aient des opinions professionnelles ou entreprennent des
actions qui soient en désaccord avec l’opinion professionnelle du responsable de l'audit
interne ce qui aurait un impact défavorable sur la mission ;
 régler les conflits d’opinion professionnelle entre le responsable de l'audit interne et les
auditeurs internes sur les points importants de la mission. Les moyens à utiliser peuvent
être :
- le débat sur les constats pertinents ;
- des enquêtes et recherches complémentaires ;
- la mention dans les papiers de travail de la mission, des différents points de vue, avec
documents à l’appui.
En cas de divergence de jugements professionnels sur une question d’éthique, il peut être
fait appel aux personnes qui, dans l’organisation, ont des responsabilités dans ce domaine.
3. Tous les papiers de travail sont revus afin de s’assurer qu’ils supportent le rapport d’audit et
que les procédures d’audit nécessaires ont été mises en œuvre. Cette revue est matérialisée
par l’apposition, sur chaque papier de travail revu, des initiales du superviseur et de la date.
D’autres techniques de révision qui fournissent une preuve de la revue incluent :
 une check-list de révision des papiers de travail de la mission ;
 un mémorandum précisant la nature, l’étendue et les résultats de la revue ;
 des revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail.
4. Les superviseurs peuvent préparer une liste écrite des questions (notes de revue) soulevées
au cours de la revue. Au moment de la levée des points de revue, il convient de prendre soin
de vérifier que le dossier de travail contient les éléments démontrant que les questions soule-
vées lors de la revue sont résolues. Les alternatives en ce qui concerne la conservation des
feuilles de notes, sont les suivantes :
 garder les notes de revue en tant qu'enregistrement des questions soulevées par le
superviseur et des actions entreprises pour les résoudre ainsi que les résultats de ces
actions ;
 éliminer les notes de revue après que les problèmes soulevés aient été résolus et que
les documents de travail nécessaires aient été modifiés pour fournir les informations
exigées.
5. La supervision de la mission est aussi l’occasion de former et de développer les compétences

de l’équipe et d’évaluer les performances.

mPA SÉrIE 2400

CommuNICAtIoN DES rÉSultAtS
MPA 2400

MPA 2400-1
Aspects légaux de la communication des résultats
2400 - Communication des résultats
Les auditeurs internes doivent communiquer les résultats de la mission.
Commentaire IFACI
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant
susceptible de différer de façon significative selon les pays. Les directives contenues dans la présente Modalité Pratique
d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués
pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système
juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant
l’avocat à son client.
1. L’auditeur interne doit prendre toutes les précautions nécessaires avant de communiquer
une non-conformité vis-à-vis de la législation, de la réglementation ou tout autre problème
d’ordre juridique. Il est vivement recommandé de mettre en place des règles et des procé-
dures à cet égard et de travailler en étroite collaboration avec d’autres intervenants compé-
tents (conseiller juridique, déontologue / Compliance Officer, etc.).
2. Les auditeurs internes rassemblent des preuves, émettent des jugements fondés sur des
analyses, rendent compte des résultats de leurs travaux et s’assurent que le management a
mis en place des actions correctives appropriées. Les impératifs de l’auditeur interne, qui est
tenu de constituer les dossiers d’audit, peuvent être difficiles à concilier avec ceux du conseil-
ler juridique, qui est lui soucieux de ne pas mentionner d’éléments susceptibles de compro-
mettre l’organisation sur le plan juridique. Par exemple, même si l’auditeur interne collecte
et évalue correctement les informations, les faits et les analyses divulgués peuvent avoir, d’un
point de vue juridique, une incidence négative sur l’organisation. Une planification et des
procédures appropriées (notamment la définition du rôle de chacun et des modalités de
communication) sont essentielles pour éviter qu’une révélation soudaine des faits ne
MPA 2400
provoque un désaccord entre le conseiller juridique et l’auditeur interne. Par ailleurs, l’auditeur
interne et le conseiller juridique doivent favoriser, au sein de l’organisation, une culture
éthique et une approche préventive en sensibilisant le management aux procédures établies.

3. Une communication privilégiée (relation de confiance visant à rechercher, obtenir ou appor-
ter une assistance juridique au client) est nécessaire pour protéger le secret professionnel
liant l’avocat à son client. Le secret professionnel, dont le principal objet est de protéger les
informations communiquées aux avocats, peut également s’appliquer aux informations
communiquées à des tiers travaillant avec un avocat.
4. Certains tribunaux reconnaissent un « droit d’auto-analyse critique » qui permet de préserver

la confidentialité de documents d’autocritique tels que les travaux d’audit. En règle générale,
la reconnaissance de ce droit repose sur le postulat selon lequel la confidentialité des analyses
effectuées, dans ces cas, prime sur l’intérêt général.
5. En règle générale, la protection par le secret professionnel s’applique lorsque :

 les informations protégées par le secret proviennent d’une analyse autocritique effec-
tuée par la partie qui invoque le secret ;
 la protection des informations contenues dans l’analyse critique est dictée par l’intérêt
général ;
 il s’agit d’informations dont la divulgation éventuelle aurait pour effet de restreindre le
flux d’autres informations.
6. Lorsque la demande de transmission des documents émane d’une administration publique,

il est plus difficile de faire admettre l’existence d’un droit au secret fondé sur l’auto-évaluation.
Cette attitude est vraisemblablement liée au fait que le respect du droit revêt un plus grand
intérêt pour l’État.
7. Les documents susceptibles de bénéficier de la protection par le secret professionnel devront

généralement avoir été établis :
 dans le cadre de travaux (mémos, programmes informatiques, par exemple) ;
 en prévision d’un litige ;
 par une personne travaillant selon les instructions de l’avocat.
8. Les documents établis et remis à l’avocat avant l’établissement de la relation privilégiée avec
son client ne sont généralement pas protégés par le secret professionnel.

MPA 2410-1
Contenu de la communication
2410 – Contenu de la communication
La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.
1. Le format et le contenu des rapports définitifs d’audit varient selon l’organisation et le type
de mission. Cependant, ils contiennent, au minimum, les objectifs, le périmètre et les résultats
de l’audit.
2. Les rapports définitifs d’audit peuvent comporter des informations sur le contexte et des
synthèses. Les informations sur le contexte peuvent présenter les entités et activités exami-
nées et fournir des explications. Le statut des observations, conclusions et recommandations
des rapports précédents peut aussi être repris ; on peut aussi indiquer si cet audit est une
mission inscrite au plan d’audit ou répondant à une demande particulière. Les synthèses
constituent un exposé proportionné du contenu du rapport.
3. L'exposé de l'objet de la mission décrit les objectifs de la mission et informe le lecteur des
motifs de la mission et des résultats escomptés.
4. L’exposé du périmètre de la mission précise les activités auditées et peut comporter des infor-
mations complémentaires telles que la période couverte et les activités connexes non exami-
nées afin de délimiter l’intervention. Il peut préciser la nature et l’étendue des travaux réalisés.
5. Les résultats comprennent les observations, les conclusions, les opinions, les recommanda-
tions et les plans d'actions.
6. Les observations sont des exposés pertinents des faits. L’auditeur interne communique les
observations nécessaires pour soutenir ses conclusions et recommandations, et éviter les
malentendus. L’auditeur interne peut communiquer de manière informelle les informations
MPA 2400
ou observations moins importantes.

7. Les observations et recommandations sont le résultat d’un processus de comparaison d’un
référentiel (la situation normale) et d’un fait (la situation actuelle). Qu’il y ait ou non constat
d’un écart, l’auditeur interne dispose d’éléments sur lesquels fonder son rapport. Lorsque les
situations sont conformes au référentiel, il peut être approprié de faire état dans le rapport
d’audit d’un fonctionnement satisfaisant. Les observations et recommandations sont fondées
sur les caractéristiques suivantes :
 des référentiels : les normes, mesures ou exigences requises, utilisés pour évaluer ou
vérifier (la situation normale) ;
 des faits : les preuves factuelles identifiées par l’auditeur interne au cours de son examen
(la situation actuelle) ;
 des causes : la raison de la différence entre les situations attendues et existantes;
 des conséquences : le risque ou le danger encouru par l’organisation ou d'autres, du
fait que les situations diffèrent du référentiel (l’impact de la différence). Pour déterminer
l'importance du risque ou de l'enjeu, les auditeurs internes prennent en considération
les conséquences de leurs observations et recommandations sur le fonctionnement et
les états financiers de l'organisation ;
 les observations et recommandations peuvent inclure les réalisations de l’entité auditée,
des questions connexes et des informations destinées à étayer les conclusions.
8. Les conclusions et les opinions sont les évaluations de l’auditeur interne sur les conséquences
des observations et recommandations sur les activités auditées. Habituellement, elles situent
les observations et recommandations dans la perspective de leurs implications globales. Les
conclusions de la mission sont clairement exposées dans le rapport d’audit. Elles peuvent
porter sur l'ensemble du champ audité ou sur des aspects particuliers. Elles peuvent exposer,
entre autres, dans quelle mesure les objectifs opérationnels et les programmes sont
conformes à ceux de l’organisation, si les buts et objectifs de l'organisation sont atteints, et si
l’activité examinée fonctionne comme prévu. L’opinion peut consister en une évaluation
globale des contrôles ou être limitée à des contrôles spécifiques ou certains aspects de la
mission.
9. L’auditeur interne peut communiquer des recommandations sur les améliorations et faire
état des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont
fondées sur les observations et conclusions de l’auditeur interne. Elles appellent des actions
destinées à corriger les situations existantes ou à améliorer le fonctionnement et peuvent
suggérer des approches visant à corriger ou à améliorer le fonctionnement, approches que
le management peut utiliser comme guide pour l’atteinte des résultats fixés. Les recomman-
dations peuvent être de nature générale ou spécifique. Par exemple, l’auditeur interne peut
recommander une ligne de conduite générale et des propositions spécifiques de mise en
œuvre. Dans d’autres cas, l’auditeur interne peut suggérer un examen ou une étude complé-
mentaire.

10. L’auditeur interne peut communiquer sur les réalisations de l’audité, qu'il s'agisse d'amélio-
rations apportées depuis le dernier audit, ou de la mise en place d’activités bien maîtrisées.
Cette information peut être nécessaire pour représenter fidèlement les conditions actuelles
d’exercice, offrir une perspective et assurer un équilibre dans le rapport d’audit.
11. L’auditeur interne peut communiquer les points de vue de l’audité sur les conclusions ou
recommandations de l’audit.
12. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtient
l’accord de l'audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélio-
ration des activités. Si l’auditeur interne et l’audité ne s’entendent pas sur les résultats de l’au-
dit, le rapport d'audit mentionne les deux positions ainsi que les raisons du désaccord. Les
commentaires écrits de l’audité peuvent être inclus en annexe au rapport, dans le corps du
rapport ou dans une lettre introductive.
13. Il peut ne pas être opportun de communiquer certaines informations à tous les destinataires
du rapport, notamment lorsqu’il s’agit de renseignements couverts par le secret professionnel,
protégés ou relatifs à des actes irréguliers ou illégaux. Ces informations sont alors incluses
dans un rapport distinct. Si les faits rapportés impliquent la direction générale, le rapport est
adressé au Conseil.
14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière offi-
cielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des infor-
mations nécessitant une attention immédiate, pour signaler un changement dans le champ
de la mission ou pour informer le management de l’avancement des travaux lorsque la
mission est de longue durée. L’emploi de rapports intermédiaires ne réduit ni n’élimine la
nécessité d'un rapport définitif.
15. Un rapport signé est émis à la fin des travaux. Des notes de synthèse mettant en évidence
les résultats de la mission sont recommandées pour les supérieurs hiérarchiques de l’audité ;
elles peuvent être émises séparément ou conjointement avec le rapport définitif. Le terme «
signé » signifie que l'auditeur autorisé signe manuellement ou électroniquement le rapport
ou la lettre de couverture. Le responsable de l’audit interne détermine l’auditeur interne auto-
risé à signer le rapport. Si les rapports d'audit sont diffusés par des moyens électroniques, un
exemplaire signé manuellement est archivé à l'audit interne.
MPA 2400

MPA 2420-1
Qualité de la communication
2420 – qualité de la communication
La communication doit être exacte, objective, claire, concise, constructive, complète et émise
en temps utile.
Interprétation :
Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits
sous-jacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une
évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une communication
claire est facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement
technique et fournit toute l’information significative et pertinente. Une communication concise va
droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance
ou verbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des
améliorations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit
essentiel aux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi
que les observations permettant d’étayer les recommandations et conclusions.
Une communication émise en temps utile est opportune et à propos, elle permet au management
de prendre les actions correctives appropriées en fonction du caractère significatif de la probléma-
tique.
1. Collecter, évaluer et synthétiser les données et les preuves avec soin et précision.
2. Développer et énoncer les constats, conclusions et recommandations sans préjugé, parti pris,
intérêt personnel ni influence inappropriée.
3. Améliorer la clarté en évitant l’utilisation d’un langage excessivement technique et en four-

nissant toute l’information significative et pertinente dans ce contexte.

4. Préparer des communications dont chaque élément est porteur de sens tout en étant
concises.
Commentaire IFACI
Les besoins et donc les critères de concision diffèrent selon les publics cibles.
Les audités et leur hiérarchie immédiate veulent un document complet, intégrant une argumentation détaillée et
éventuellement technique du raisonnement de l'auditeur. Ceci conditionne l’adhésion aux constats et aux
recommandations des auditeurs.
La direction générale veut être informée mais n'est pas en charge de la conduite opérationnelle de la résolution des
problèmes. Elle veut donc l'essentiel, sous forme d’une contraction de texte sans la démonstration technique détaillée.
5. Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs
Commentaire IFACI
Il est utile de donner aux audités des indications de lecture sous la forme de remarques liminaires. A titre d’exemples :
• Ce document est un rapport d'audit interne. Il vous est demandé de ne pas le diffuser car il contient des informations
confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements
pour faire développer des actions de progrès mais il n’oublie pas de noter, en quelques phrases, ce qui fonctionne
correctement.
• Il contient des recommandations. Une recommandation est une piste d’amélioration proposée au responsable habilité
à mener l'action. Celui-ci est en charge de développer et mettre en place une solution au problème soulevé : celle
proposée ou une meilleure.
6. S’assurer que la communication est cohérente avec le style et la culture de l’organisation.
7. Prévoir le délai de présentation des résultats de la mission afin d’éviter des contretemps exces-
sifs.
MPA 2400

MPA 2440-1
Diffusion des résultats de la mission
2440 – Diffusion des résultats de la mission
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Interprétation :
Le responsable de l'audit interne ou son délégué revoient et approuvent le rapport définitif avant
qu’il ne soit émis, et décident à qui et de quelle manière il sera diffusé.
1. Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveau
de management approprié avant que le responsable de l’audit interne n'émette le rapport
définitif. Ceci est habituellement effectué pendant le déroulement de la mission ou lors des
réunions postérieurs aux travaux (par exemple, les réunions de clôture).
Commentaire IFACI
Ceci sera facilité si le management audité a été considéré tout au long de la mission comme un partenaire. Ceci est le cas
notamment lorsque des échanges périodiques ont lieu au cours de la mission sur le déroulement de celle-ci.
2. Une autre technique consiste à faire revoir au management de l'activité auditée des points,
observations et recommandations envisagés. Ces discussions et révisions aident à éviter les
malentendus ou fausses interprétations des faits et offrent à l’entité auditée l’occasion de
clarifier certains points particuliers et d’exprimer son opinion sur les observations, les conclu-
sions et les recommandations.
3. Le niveau hiérarchique des participants aux discussions et aux révisions varie selon l’organi-
sation et la nature du rapport d’audit; elles impliquent généralement les personnes qui
connaissent précisément les opérations auditées et celles qui sont en mesure d’autoriser la
mise en œuvre de mesures correctrices.
4. Le responsable de l’audit interne adresse le rapport définitif au management de l’activité

auditée et aux membres de l’organisation qui peuvent s’assurer que les résultats de l’audit
recevront l’attention nécessaire et qui peuvent entreprendre les actions correctives qui s’im-
posent ou s’assurer que de telles mesures seront prises. Lorsque cela est approprié, le respon-

sable de l’audit interne peut adresser une note de synthèse aux membres de l’organisation
occupant un poste plus élevé dans la hiérarchie. Lorsque cela est prévu dans la charte d’audit
interne ou par une règle interne, le responsable de l’audit interne communique également
les résultats de la mission aux personnes intéressées ou concernées, telles que les auditeurs
externes et le Conseil.
Commentaire IFACI
C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il
convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ ou au
comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne
peuvent être communiqués à la justice.
Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à la
disposition des Commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc de
présenter les faits dont ont eu connaissance les auditeurs internes avec discernement.
MPA 2400

MPA 2440-2
Communication d’informations sensibles
dans ou en dehors de la ligne hiérarchique
2440 – Diffusion des résultats de la mission
Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
Interprétation :
Le responsable de l'audit interne ou son délégué revoient et approuvent le rapport définitif avant
qu’il ne soit émis, et décident à qui et de quelle manière il sera diffusé.
1. Les auditeurs internes entrent souvent en possession d’informations très sensibles, qui sont
importantes pour l’organisation et peuvent avoir des conséquences significatives. Ces infor-
mations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des
gaspillages, des erreurs de gestion, des activités illégales, des abus de pouvoir, une mauvaise
gestion mettant en danger la santé ou la sécurité publique, ou d’autres méfaits. Du reste, ces
différents éléments peuvent porter préjudice à la réputation de l’organisation, à son image,
sa compétitivité, sa réussite, sa viabilité, sa valeur boursière, ses investissements et ses actifs
incorporels ou ses bénéfices.
2. S’il estime que les informations nouvelles sont importantes et crédibles, l’auditeur interne les
communique en principe, dans des délais appropriés, à la direction générale et au Conseil
conformément à la Norme 2060 et à la MPA 2060-1. Cette communication suivra générale-
ment la ligne hiérarchique normale pour l’auditeur interne.
3. Si, à l’issue de ces discussions, le responsable de l’audit interne conclut que la direction géné-
rale expose l’organisation à un risque inacceptable et qu’elle ne prend pas les mesures appro-
priées, le responsable de l’audit interne doit alors présenter les informations et les divergences
d’opinions au Conseil, conformément à la Norme 2600.
4. Le scénario classique de communication par la ligne hiérarchique peut être accéléré, pour
certains types d’événements sensibles, en vertu de la législation nationale, de la réglemen-
tation ou de pratiques communément admises. Par exemple, en cas de publication d’infor-
mations financières frauduleuses par une société cotée, la réglementation locale peut prévoir
l’obligation d’informer sans délai le Conseil des circonstances entourant le risque de publica-

tion de rapports financiers erronés et ce, même si la direction générale et le responsable de

l’audit interne sont d’accord sur les mesures à prendre. Dans certains pays, la législation et la
réglementation indiquent que le Conseil devrait être informé de la découverte d’une infrac-
tion aux lois pénales, aux lois relatives aux titres de sociétés, à l’alimentation, aux stupéfiants
ou à la pollution, ou de tout autre acte illégal, tel que la corruption ou toute autre forme de
versement abusif effectué en faveur de fonctionnaires, de fournisseurs ou de clients.
5. L’auditeur interne peut, dans certaines situations, faire face à un dilemme lorsqu’il envisage
de communiquer des informations à des personnes à qui il n’est pas hiérarchiquement ratta-
ché ou même à l’extérieur de l’organisation. Cette communication est communément dési-
gnée par l’expression « whistleblowing » (« droit d’alerte »). La divulgation d’informations
négatives à une personne qui fait partie de l’organisation, mais sans passer par la ligne hiérar-
chique de l’auditeur interne relève du droit d’alerte interne, tandis que le droit d’alerte externe
consiste à communiquer des informations à une administration ou une autre instance exté-
rieure à l’organisation.
6. La majorité des personnes qui lance une alerte interne divulgue des informations sensibles.
Elles le feront d’autant plus facilement qu‘elles ont confiance dans la capacité des procédures
et des dispositifs, en place dans l’organisation, à déclencher une investigation et les mesures
appropriées en cas d’allégation d’opération illégale ou abusive. Toutefois, certaines personnes
en possession d’informations sensibles peuvent décider de les divulguer en dehors de l’or-
ganisation, en particulier si elles redoutent des représailles de la part de leur employeur ou
de collègues, si elles doutent que l’affaire sera correctement investiguée, si elles pensent
qu’elle sera dissimulée ou si elles détiennent la preuve d’une opération illégale ou abusive
mettant en péril la santé, la sécurité ou le bien-être de membres de l’organisation ou de la
communauté.
7. Lorsqu’il choisit d’utiliser le droit d’alerte interne, l’auditeur interne doit évaluer d’autres
moyens de signaler le risque à des personnes ou à des groupes qui ne font pas partie de sa
ligne hiérarchique. Étant donné les répercussions et les risques liés à ces démarches, l’auditeur
interne est tenu de peser le caractère probant et raisonnable de ses conclusions et d’examiner
les avantages et les inconvénients de chacune des actions envisageables. Une action de ce
type peut s’avérer appropriée pour l’auditeur interne si elle doit aboutir à l’adoption d’actions
sérieuses par la direction générale ou par le Conseil.
Commentaire IFACI
MPA 2400
« Dans la mesure où les règles du jeu sont dûment établies et connues de toutes les parties prenantes, le Directeur de l'audit
interne a un devoir d'alerte à l'égard du Comité d'audit pour des faits éminemment graves (délits sanctionnés par la loi
pénale), commis ou tolérés par la Direction Générale et/ou pouvant mettre en danger la continuité de l'exploitation. […]

En cas d'échec d'une telle procédure, il appartiendrait alors au Directeur de l'audit interne de prendre toutes ses
responsabilités.
L'Institut est par contre extrêmement réservé sur une permanente organisation formalisée et a fortiori institutionnalisée du
rôle d'alerte de l'audit interne vis-à-vis des [régulateurs] bancaires et des auditeurs externes. Elle aurait pour conséquence,
-grave-, de dénaturer [le rôle] l'audit interne […], [ce qui] serait susceptible d'affecter gravement [sa crédibilité à l’égard
de l’exécutif de l’entreprise]. »
Extrait de la Prise de Position sur le document consultatif du Comité de Bâle « relatif à l’audit interne dans les banques et
aux relations entre les superviseurs bancaires et les auditeurs internes et externes ».
8. De nombreux pays ont adopté une législation ou une réglementation en vertu desquelles
les fonctionnaires qui ont connaissance d’actes illégaux ou contraires à l’éthique sont tenus
d’informer un inspecteur général, un autre fonctionnaire ou un médiateur. Certaines lois natio-
nales relatives au droit d’alerte protègent les citoyens qui s’apprêtent à divulguer certains
types d’abus. Les activités énumérées dans la législation et la réglementation de ces pays
comprennent notamment :
 les infractions criminelles et les autres infractions à la loi ;
 les actes assimilés à des erreurs de justice ;
 les actes mettant en péril la santé, la sécurité ou le bien-être des personnes ;
 les actes dommageables pour l’environnement ;
 les opérations destinées à dissimuler ou à couvrir les actes ci-dessus.
D’autres pays ne proposent aucune directive ni aucun système de protection ou encore ne
protègent que les salariés du secteur public (généralement ceux qui ont le statut de fonc-
tionnaire).
9. L’auditeur interne devra avoir connaissance de la législation et de la réglementation des divers

pays dans lesquels opère l’organisation. Les juristes qui connaissent bien les aspects juridiques
du droit d’alerte peuvent aider les auditeurs internes confrontés à ce problème. L’auditeur
interne devra consulter un juriste s’il a des doutes sur les conséquences juridiques ou les
dispositions légales en vigueur concernant le droit d’alerte interne ou externe.
10. De nombreuses associations professionnelles requièrent que leurs membres divulguent les
agissements illégaux ou contraires à l’éthique. Le caractère distinctif d’une profession réside
dans le fait qu’elle accepte des responsabilités étendues vis-à-vis du public et qu’elle entend
préserver le bien commun. Outre l’examen des obligations légales, les membres de l’IIA, ainsi
que tous les auditeurs internes CIA, doivent suivre les règles du Code de déontologie de la
profession.
11. L’auditeur interne est tenu, par devoir professionnel et par la déontologie, de peser avec atten-
tion tous les éléments probants et le caractère raisonnable de ses conclusions, puis de décider

si d’autres mesures sont nécessaires pour préserver les intérêts de l’organisation, de ses parties
prenantes, de la communauté extérieure ou des institutions de la société. En outre, l’auditeur
interne tiendra compte du principe de confidentialité du Code de déontologie de la profes-
sion, respectera la valeur et la confidentialité des informations et s’abstiendra de les divulguer
sans y être dûment habilité, sauf en cas d’obligation légale ou professionnelle. L’auditeur
interne peut consulter un juriste et, le cas échéant, d’autres experts, durant ce processus
d’évaluation. Ces discussions peuvent s’avérer utiles, notamment parce qu’elles permettent
d’obtenir un autre point de vue sur les circonstances de l’affaire et de recueillir un avis sur
l’incidence et les conséquences potentielles des diverses actions envisageables. La démarche,
adoptée par l’auditeur interne pour résoudre ce type de situation complexe et sensible, peut
donner lieu à des représailles et, le cas échéant, engager sa responsabilité.
12. En définitive, l’auditeur interne prend une décision professionnelle à propos de ses obligations
vis-à-vis de son employeur. La décision de communiquer, en dehors de la ligne hiérarchique,
doit être prise en connaissance de cause. Elle est motivée par des preuves suffisantes et crédi-
bles concernant les agissements en cause, et par la nécessité de prendre d’autres mesures
en vertu d’une obligation légale, réglementaire, professionnelle ou déontologique.
Commentaire IFACI
Les organisations soumises à la section 301 de la loi américaine Sarbanes-Oxley Act (SOX), disposent d’un dispositif d’alerte
de type whistleblowing.
En France, les traitements des données concernés par un dispositif d’alerte professionnelle sont légaux s’ils répondent à une
obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les
seuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il s’agit de l’Autorisation unique N° 4
(AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-un-
fichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/dec-
mode/DISPLAYSINGLEFICHEDECL/dec-uid/4/
MPA 2400

MPA 2440.A2-1
Diffusion des résultats d’audit
en dehors de l’organisation
2440.A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable

de l’audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires
ne faisant pas partie de l’organisation :
 évaluer les risques potentiels pour l’organisation ;
 consulter la direction générale et/ou, selon les cas, un conseil juridique ;
 maîtriser la diffusion en imposant des restrictions quant à l’utilisation des résultats.
1. La charte d'audit interne et celle du Conseil, les politiques de l’organisation ou les instructions
spécifiées dans la lettre de mission peuvent contenir des lignes directrices relatives à la diffu-
sion d’informations en dehors de l’organisation. À défaut de telles directives, le responsable
de l’audit interne peut faciliter l’adoption de politiques appropriées concernant, par exem-
ple :
 l’autorisation requise pour diffuser des informations en dehors de l’organisation ;
 le processus d’autorisation pour la diffusion d’informations en dehors de l’organisation ;
 les instructions concernant la nature des informations dont la diffusion est admise ou
non ;
 les personnes extérieures autorisées à recevoir des informations et la nature des infor-
mations qui peuvent leur être communiquées ;
 les règles relatives à la confidentialité des données personnelles, les obligations régle-
mentaires et les aspects juridiques à examiner avant toute diffusion d’informations en
dehors de l’organisation ;
 la nature des conclusions, des conseils, des recommandations, des opinions, des instruc-
tions et autres informations pouvant être diffusés en dehors de l’organisation.
2. Les demandes d’information peuvent concerner des données qui existent déjà, par exemple
un rapport d’audit interne déjà diffusé, ou bien porter sur des informations qui n’ont pas
encore été produites ou définies et qui résulteront d’une future mission ou d’un nouveau
rapport d’audit interne. Pour les informations déjà existantes, l’auditeur interne examinera si
elles peuvent être diffusées en dehors de l’organisation.

3. Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un
rapport ou des informations existant(s) pour permettre une diffusion appropriée en dehors
4. Avant toute diffusion d’informations en dehors de l’organisation, il convient d’examiner les

points suivants :
 l’intérêt d’un accord écrit avec le destinataire prévu concernant les informations à diffu-
ser et les responsabilités de l’auditeur interne ;
 l’identification des fournisseurs et des canaux d’information, des signataires du rapport,
des destinataires des informations et des personnes ayant un lien avec le rapport ou
les informations diffusées ;
 l’identification des objectifs, des limites et des procédures à respecter pour produire les
informations concernées ;
 la nature du rapport ou des autres informations communiquées, notamment les
opinions, les recommandations, les réserves, les limitations et les types de certification
ou de déclaration à fournir ;
 les droits de reproduction, l’utilisation prévue des informations et les restrictions concer-
nant la diffusion ou le partage ultérieur des informations.
5. Si un auditeur interne découvre des informations censées être communiquées à la direction

générale ou au Conseil au cours d’une mission et que ces données sont soumises à une obli-
gation de communication externe, le responsable de l’audit interne doit établir une commu-
nication appropriée avec le Conseil à ce sujet.
Commentaire IFACI
Des informations délicates destinées, a priori, à la direction générale ou au comité d’audit étant susceptibles d’être connues
à l’extérieur de l’organisation, il convient de présenter les faits dont ont eu connaissance les auditeurs internes avec
intelligence, prudence et circonspection.
MPA 2400

mPA SÉrIE 2500

SurVEIllANCE DES ACtIoNS DE ProgrèS
MPA 2500

MPA 2500-1
Surveillance des actions de progrès
2500 – Surveillance des actions de progrès
Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de
surveiller la suite donnée aux résultats communiqués au management.
1. Pour être en mesure de surveiller efficacement les suites données aux résultats communiqués
au management, le responsable de l’audit interne établit des procédures couvrant les aspects
suivants :
 le délai dans lequel le management doit répondre aux observations et recommanda-
tions de l'audit ;
 l’évaluation de la réponse du management ;
 la vérification de la réponse (si nécessaire) ;
 la réalisation d’une mission de suivi (si nécessaire) ;
 un processus pour porter, à l’attention du niveau approprié de la direction générale et
du Conseil, les réponses/actions non satisfaisantes et l’acceptation du risque qui en
résulte.
2. Si certaines observations et recommandations de l'audit sont d’une importance telle qu’elles

nécessitent une action immédiate de la part du management ou du Conseil, l'audit interne
surveille la réalisation des actions entreprises jusqu’à ce que l’observation soit levée ou que
la recommandation soit mise en œuvre.
3. L’audit interne peut efficacement surveiller les progrès en :

 notifiant les observations et recommandations de l'audit aux niveaux appropriés du
management responsables d’entreprendre les actions ;
 en collectant et en évaluant les réponses du management et les propositions de plan
d’action par rapport aux observations et recommandations de l'audit, pendant la
mission ou dans un délai raisonnable après la communication des résultats de la
mission. Les réponses sont d’autant plus utiles qu’elles comportent des informations
suffisantes pour que le responsable de l’audit interne puisse en apprécier la pertinence
et le calendrier des actions proposées ;
 en obtenant du management des mises à jour périodiques permettant d’apprécier
l'état d’avancement de ses actions pour remédier aux observations et/ou mettre en
MPA 2500
œuvre les recommandations ;

 en obtenant et en évaluant les informations en provenance d’autres entités de l’orga-
nisation ayant reçu la responsabilité du suivi ou de la réalisation d’actions correctives ;
 en rendant compte à la direction générale et/ou au Conseil de l’avancement des
réponses aux observations et recommandations de l'audit.

MPA 2500.A1-1
Processus de suivi de la mission
2500.A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permet-
tant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le
management ou que la direction générale a accepté de prendre le risque de ne rien faire.
1. Les auditeurs internes déterminent si le management a entrepris les actions correctrices ou

mis en œuvre les recommandations. Ils s’assurent que les résultats escomptés sont atteints,
ou que la direction générale ou le Conseil ont accepté le risque de ne pas engager d’actions
ou de ne pas mettre en œuvre les recommandations.
2. Le suivi est un processus par lequel les auditeurs internes évaluent le caractère approprié,
effectif et opportun des actions entreprises par le management, en réponse aux observations
et recommandations, y compris celles émises par les auditeurs externes ou d'autres interve-
nants. Au cours de ce processus il convient également de déterminer si la direction générale
et le Conseil ont assumé le risque de ne pas entreprendre d’action correctrice en réponse
aux observations.
3. La charte d’audit interne devra définir la responsabilité du suivi. Le responsable de l’audit

interne fixe la nature, le calendrier et l'étendue du suivi en considérant les facteurs suivants :
 l’importance des observations et recommandations ;
 le niveau d’effort et le coût nécessaire pour corriger les situations énoncées;
 l’impact que pourrait avoir l’échec de l’action corrective ;
 la complexité de l’action corrective ;
 les délais.
4. Le responsable de l’audit interne assure la planification des activités de suivi dans le cadre de
l’élaboration des programmes de travail. La planification du suivi est fondée sur les risques
encourus et leurs impacts, ainsi que sur le niveau de difficulté et l’importance du délai de
mise en œuvre des actions correctrices.
5. Lorsque le responsable de l’audit interne juge que la réponse orale ou écrite du management
indique que l'action entreprise est suffisante par apport au niveau d’importance des obser-
vations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le
cadre de la mission suivante.
MPA 2500

6. Les auditeurs internes vérifient si les actions entreprises suite aux observations et recomman-
dations corrigent les situations sous-jacentes. Les activités suivies devront être convenable-
ment documentées.

Notes :
Notes :

Ippf 2011

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ippf 2011

Transféré par

Droits d'auteur :

Formats disponibles

Edition

L’IFACI est affilié à

Avant-propos de l’IFACI ..................................................................................................................................... 5

Dispositions obligatoires ................................................................................................................................ 13

Déﬁnition de l’audit interne .................................................................................................................................... 15

Code de déontologie .................................................................................................................................................. 17

Normes internationales .............................................................................................................................................. 23

Modalités Pratiques d’Application .............................................................................................................. 73

Inclus dans ce livret :

© IFACI - janvier 2011 3

N Nous avons le plaisir de vous présenter en français

© IFACI - janvier 2011 5

N Notre profession connaît des changements

© IFACI - janvier 2011 7

Déﬁnition La déﬁnition de l’audit interne établit l’objectif fondamental,

Code de déontologie Le Code de déontologie établit les principes et attentes régis-

sionnelle de l’audit Elles se composent de Normes de qualiﬁcation, de Normes

Les Normes sont des exigences obligatoires constituées :

Il est nécessaire de considérer le texte dans sa totalité (c’est-

8 © IFACI - janvier 2011

Modalités pratiques Les Modalités Pratiques d’Application fournissent une

processus et les procédures détaillées.

Ce sont des lignes directrices qui aident les auditeurs internes

Ces pratiques concernent notamment :

Ce sont des processus et des procédures détaillés tels que des

Les changements les plus signiﬁcatifs du à le réviser selon cette périodicité et à y

© IFACI - janvier 2011 9

10 © IFACI - janvier 2011

© IFACI - janvier 2011 11

© IFACI - janvier 2011 13

Déﬁnition de l’audit interne

© IFACI - janvier 2011 15

Pourquoi un Code de Déontologie ?

 Contribuer à la qualité des résultats de l’audit en rappelant l’exigence de conﬁdentialité et de compé-

© IFACI - janvier 2011 17

Déﬁnition de l’audit interne

Le Code de Déontologie va au-delà de la déﬁnition de l’audit interne et inclut deux composantes

Champ d’application et caractère obligatoire

18 © IFACI - janvier 2011

Les auditeurs internes :

© IFACI - janvier 2011 19

Les auditeurs internes :

20 © IFACI - janvier 2011

Les auditeurs internes :

© IFACI - janvier 2011 21

Les auditeurs internes :

22 © IFACI - janvier 2011

© IFACI - janvier 2011 23

Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne de

Les Normes ont pour objet :

Les Normes sont des principes obligatoires constituées :

© IFACI - janvier 2011 25

Les suggestions et commentaires concernant les Normes peuvent être adressés à :

The Institute of Internal Auditors

26 © IFACI - janvier 2011

© IFACI - janvier 2011 27

1000 – mission, pouvoirs et responsabilités MPA 1000-1 :

© IFACI - janvier 2011 29

1010 – reconnaissance de la déﬁnition de l’audit interne, du Code de Déontologie

30 © IFACI - janvier 2011

1100 – Indépendance et objectivité

L’indépendance de l’audit interne dépend également du rattachement hiérarchique de son responsable à la

© IFACI - janvier 2011 31