Académique Documents
Professionnel Documents
Culture Documents
POSITIONNEMENT
Charte Indépendance
PLANIFICATION
PILOTAGE
Stratégie Plan d'audit Suivi Bilan
PROGRAMME
GRC
Coordination Gouvernance Gestion des risques Controle interne
PROFESSIONNALI
SME
Déontologie Ressources Formation Compétences
PERFORMANCE
Procédures Supervision Qualité
PROCESSUS D'AUDIT Approche Examen Référentiel Programme Vérification Analyse Rapport Communication
1/45
SYNTHESE DE L'EVALUATION DE L'AUDIT INTERNE DE LA BOAD
N
Non-Conformité Non-Conformité
Exigences génrales majeure mineure
O/N O/N
2/45
SYNTHESE DE L'EVALUATION DE L'AUDIT INTERNE DE LA BOAD
N
Non-Conformité Non-Conformité
Exigences génrales majeure mineure
O/N O/N
Conclusion de l'Evaluation :
3/45
POSITIONNEMENT
Conformité
Critères d'appréciation Observations
O/N
1. La Charte d'Audit : la mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement définis dans une charte d’audit interne. [1000]
1.1 Contenu de la charte d’audit interne : Cadre et positionnement [1000 – 1000 Int – 1000.A1 – 1010]
- en assurant leur cohérence avec la Définition de l’audit interne, le Code de déontologie et les
Normes ?
- en définissant le périmètre d’intervention des activités de l’audit interne ?
- en établissant son rattachement hiérarchique et fonctionnel au sein de l’organisation ?
1.2 Contenu de la charte d’audit interne : Missions [2010-2 MPA - 2060-1 MPA]
1.3 Contenu de la charte d’audit interne : Interactions [2060-1 MPA - 2120-1 MPA - 2050-3 MPA]
La charte d’audit interne précise t-elle les modalités d’interactions de l’audit interne :
- en définissant la nature de la relation entre le responsable de l'audit interne et les organes dirigeants, le
Conseil (ou le Comité d’audit), incluant la fréquence et la nature de la relation avec ces organes ?
- en spécifiant les directives de la Direction Générale et du Conseil (ou du Comité d’audit) relatives au
rôle de l’audit interne dans le processus de management des risques ?
4/45
POSITIONNEMENT
Conformité
Critères d'appréciation Observations
O/N
- en autorisant l’accès aux documents, aux personnes et aux biens nécessaires à la réalisation des
missions, incluant l'accès aux travaux des autres prestataires internes ou externes de services
d’assurance ?
1.4 Revue périodique, approbation et communication de la charte d’audit interne [1000 - 1000-1 MPA]
La charte d’audit interne est-elle réévaluée, approuvée et communiquée de manière périodique par le
responsable de l'audit interne :
- pour avis et acceptation au Conseil (ou au Comité d’audit), et pour approbation à la Direction
Générale ?
- en assurant sa communication régulière au sein de l’organisation afin d’assurer la compréhension du
rôle et du mode de fonctionnement de l’audit interne ?
2.1 Niveau et rattachement hiérarchiques du responsable de l'audit interne [1110 - 1110-1 MPA]
Le responsable de l'audit interne releve t-il d’un niveau hiérarchique suffisant au sein de
l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités, à travers :
2.2 Interactions fonctionnelles avec les organes dirigeants [1111 – 1100 Int - 1111-1 MPA]
Le responsable de l'audit interne communique et dialogue t-il directement avec la Conseil et la Direction
Générale, par :
- des relations régulières et substantielles avec les organes dirigeants et les comités de direction de
l'organisation ?
- une information régulière sur la stratégie et les projets opérationnels, et une attention aux
problématiques émergentes relatives aux risques majeurs, aux systèmes, aux processus et aux
contrôles ?
5/45
POSITIONNEMENT
Conformité
Critères d'appréciation Observations
O/N
2.3 Interactions fonctionnelles avec les organes de gouvernance [1111 - 1111-1 MPA]
Le responsable de l'audit interne rapporte t-il au Conseil (ou au Comité d'audit) afin de conforter son
indépendance au sein de l’organisation, et de permettre au service d’audit interne d’exercer ses
responsabilités :
- en participant régulière aux réunions du Conseil (ou du Comité d’audit) portant sur les responsabilités
de supervision du Conseil (ou du Comité d’audit) en matière d’audit, de communication financière, de
gouvernement d’entreprise, de gestion des risques et de contrôle ?
- en rencontrant, au moins une fois par an, avec le Président du Conseil (ou du Comité d'audit) en tête à
tête ?
2.4 Communications spécifiques aux organes dirigeants et de gouvernance [1110 – 1010 - 1110-1 Int – 1110-1 MPA]
Le responsable de l'audit interne met-il en œuvre des actions et communications spécifiques dans le
cadre de la relation avec la Direction Générale, le Conseil (Comité d'audit) :
- en présentant à ces organes pour approbation, la charte d’audit interne ; l’évaluation des risques et le
plan d’audit interne fondé sur cette approche par les risques ; le budget et les ressources prévisionnels de
l’audit interne, ainsi que les informations pertinentes pour déterminer l’adéquation du périmètre et des
ressources de l’audit interne ?
- en communiquant dans le cadre du rapport d’activité, toutes informations relatives à son activité et
aux résultats de ses travaux ?
- en confirmant par le Conseil (ou le Comité d’audit), au moins une fois par an, l’indépendance de
l’audit interne au sein de l’organisation ?
- en présentant la définition de l’audit interne, le Code de Déontologie, ainsi que les Normes à la
Direction Générale, ainsi qu'au Conseil (ou Comité d’audit) ?
Le Conseil (ou le Comité d'audit) approuve t-il les décisions relatives à la nomination, à la révocation et
à la rémunération du responsable de l'audit interne?
6/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
3. Gestion Startégique : Le responsable de l'audit interne doit piloter efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à
l’organisation. [2000]
Le responsable de l'audit interne gère t-il l’activité d’audit interne de manière efficace afin qu’elle
génère de la valeur pour l’organisation, sur la base d’une planification stratégique :
- en répondant aux objectifs et responsabilités tels que définis dans la charte d’audit interne ou dans ce
plan stratégique de l’audit interne ?
- en identifiant les facteurs de création de valeur et de protection pour l’organisation et en priorisant ses
travaux sur ces points ?
- en contribuant à l’efficience et à l’efficacité des processus relatifs au gouvernement d’entreprise de
l’organisation?
- en suivant et rendant compte sur ses indicateurs de performance liés aux buts et aux objectifs qui ont
été définis et alloués au service d’audit interne?
Le responsable de l'audit interne évalue t-il les risques propres à l’activité d’audit interne qui peuvent
potentiellement empêcher l’atteinte de ses objectifs, et définir les plans d’action de traitement de ces
risques ?
Le responsable de l'audit interne s’assure t-il que les missions de conseil réalisées par l’audit interne, de
nature formelle, informelle, à caractère exceptionnel ou dans un contexte de crise, respectent des
conditions de mise en œuvre :
- centrées sur les processus de gouvernement d’entreprise, de gestion des risques et de contrôle interne,
dans le cadre des limites agréées avec le client ?
- validées par les organes dirigeants et chaque fois que possible incluses dans le plan d’audit ?
7/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
- de couverture des risques liés aux objectifs de ces missions en portant une attention particulière à tout
autre risque qui pourrait être potentiellement significatif?
Le responsable de l'audit interne assure t-il une gestion efficace des connaissances et bonnes pratiques
au sein du service d'audit interne :
- en définissant, formalisant et communiquant sur les objectifs, les ressources et les services qui vont
permettre au service d’audit interne d’apporter de la valeur ajoutée à l’organisation ?
4.1 Plan d’audit fondé sur le système de management de risques [2010 Int – 2010-1 MPA – 2010-2 MPA]
Le responsable de l'audit interne prend t-il en compte des critères spécifiques pour établir le plan d’audit
fondé sur les risques et pour définir les objectifs généraux des missions, notamment :
- le système de management des risques défini au sein de l’organisation, ainsi que la cartographie
générale des risques ?
- la démarche pluriannuelle de couverture des risques majeurs de l’organisation ?
- l’appétence pour le risque défini par le management pour les différentes activités ?
- la propre analyse des risques par l’audit interne, s'il n'existe aucun dispositif de management des
risques ?
8/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
- les facteurs de risque tels que : (1) l’impact, la probabilité d’occurrence, la vélocité, la persistance et la
matérialité ; (2) la liquidité des actifs, la compétence du management, la qualité et le respect du contrôle
interne, le niveau de changement ou de stabilité, les dates et les résultats des dernières missions d’audit,
la complexité, les relations avec le personnel et le management ?
4.2 Analyse des risques en cohérence avec les objectifs de l’organisation [2010.A1 – 2010Int - 2010-1PA – 2010.2PA]
Le responsable de l'audit interne établit-il les missions du plan d’audit sur une évaluation des risques
documentée, réalisée au moins une fois par an, en cohérence avec les objectifs principaux et les facteurs
de création et de protection de valeur de l’organisation, à travers :
4.3 Analyse de la couverture des risques, des entités et des systèmes [2010-2 MPA]
Le responsable de l'audit interne, en démontrant que le niveau de couverture de l’univers d’audit est
adéquat, concentre t-il notamment le plan d’audit interne sur :
- les domaines spécifiques dans lesquels le risque inhérent est très élevé ?
- les domaines spécifiques dans lesquels il existe un écart considérable entre risque inhérent et risque
résiduel ?
- les dispositifs de contrôle sur lesquels l’organisation s’appuie le plus ou qui apparaissent insuffisants ?
- une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquelles le niveau
de risque est faible et qui doit être périodiquement inclus dans le plan d’audit interne afin de viser la
couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ont pas évolué ?
9/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
4.4 Prise en compte des demandes des parties prenantes [2010 Int - 2010.A1 – 2010.A2]
Le responsable de l'audit interne prend t-il en compte les points de vue de la Direction Générale, du
Conseil (ou du Comité d’audit) et des autres parties prenantes internes et externes :
5. Suivi des recommandations : Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la mise en œuvre des
actions correctives. [2500]
5.1 Responsabilités du suivi des actions correctives [2320-2 MPA - 2500.A1-1 MPA]
Le responsable de l'audit interne s’assure t-il que les responsabilités du management dans le suivi des
actions correctives sont clairement définies :
- dans l’évaluation des recommandations établies par l’audit interne ?
- dans les modifications, relatives à ces recommandations, apportées aux processus opérationnels ?
5.2 Responsabilités du suivi des actions correctives [2320-2 MPA - 2500.A1-1 MPA]
Le responsable de l'audit interne a t-il établi des procédures relatives au suivi des actions correctives,
notamment :
- le délai de réponse du management aux observations et recommandations de l’audit ?
- l’évaluation et la vérification de la réponse du management ?
- la réalisation de missions de suivi ?
- la communication, à l’attention du niveau approprié de la Direction Générale ou du Conseil (ou du
Comité d'audit), concernant les réponses/actions non satisfaisantes et l’acceptation du risque qui en
résulte ?
10/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
5.3 Nature des actions de suivi des actions correctives [2500 MPA]
Le responsable de l'audit interne définit-il la nature, la période et l’étendue du suivi sur la base de
critères spécifiques, tels que :
- importance du constat ou de la recommandation ?
- niveau d’effort et de coût pour corriger la déficience constatée ?
- impact de non-mise en œuvre de l’action corrective ?
- complexité de l’action corrective ?
- délai de mise en œuvre?
Les auditeurs internes surveillent t-ils efficacement les progrès des actions correctives :
- en collectant et en évaluant la pertinence et les délais des propositions de plans d’action du
management par rapport aux observations et recommandations de l’audit, pendant la mission ou dans
une période raisonnable après la communication des résultats ?
- en obtenant du management des mises à jour périodiques permettant d’apprécier l’état d’avancement
de ses actions pour remédier aux observations et/ou mettre en œuvre les recommandations ?
- en obtenant et en évaluant les informations en provenance d’autres entités de l’organisation ayant reçu
la responsabilité du suivi ou de la réalisation d’actions correctives ?
5.5 Conclusion sur la mise en œuvre des actions correctives [2500.A1-1 MPA]
Les auditeurs internes portent t-ils une conclusion sur la mise en œuvre des actions correctives et la
communique à la Direction Générale et au Comité d’audit :
- en évaluant le caractère approprié, l’efficacité et les délais des actions entreprises par le management,
en réponse aux observations et recommandations, y compris éventuellement celles émises par les
auditeurs externes ou d’autres intervenants ?
11/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
- en vérifiant si les actions entreprises suite aux observations et recommandations corrigent les causes
des dysfonctionnements constatés, et si ces actions sont appropriées, à valeur ajoutée et dans un délai
raisonnable ? Ces activités de suivi doivent être réalisées régulièrement et convenablement
documentées.
- en s’assurant que les résultats escomptés sont atteints ou que la Direction Générale ou le Conseil ont
accepté le risque de ne pas engager d’action ou de ne pas mettre en œuvre la recommandation?
6. Rapport global d'Evaluation et d'Activité : Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au conseil de ses
évaluations et de son activité. [2060]
Le responsable de l'audit interne communique t-il le plan d’audit pour revue et approbation à la
Direction Générale et au Conseil (ou au Comité d’audit), appuyé par des informations spécifiques,
notamment :
- un plan d’audit, couvrant la nature des missions d’audit, leur champ, leurs objectifs généraux, leur
niveau de priorité, leur échéance et le cas échéant les exclusions pertinentes qui ont pu leur être
imposées ?
- les besoins en ressources correspondants, et l’impact de toutes limitations de ressources ?
- tout changement du plan, si des missions décalées dans le temps ou supprimées présentent un niveau
de risque élevé ?
Le responsable de l'audit interne émet t-il une opinion globale dans le cadre de l’évaluation des
processus de gouvernance, de management des risques et de contrôle interne à la Direction Générale et
au Conseil (ou au Comité d’audit) fondée sur des critères objectifs :
- en prenant en compte les modalités de cette opinion définies avec la Direction Générale, le Conseil et
les autres parties prenantes ?
12/45
PLANIFICATION-PILOTAGE
Conformité
Critères d'appréciation Observations
O/N
- en s’appuyant sur une information suffisante, fiable, pertinente et utile ?
- en précisant le périmètre, y compris la période concernée par l’opinion ; le fait de prendre en compte
d’autres travaux connexes, y compris ceux des autres services donnant une assurance sur la maîtrise des
activités ?
- en spécifiant le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler
l’opinion globale ?
- en communiquant l’opinion globale, l’avis ou la conclusion donnée, et expliciter les causes de la
formulation d’une opinion globale défavorable ?
Le rapport général d’évaluation et d’activité du responsable de l'audit interne traitant des activités
d’audit, des pouvoirs et des responsabilités, donne t-il une vision complète des résultats importants :
Le responsable de l'audit interne communique t-il les résultats des programmes d’assurance et
d’amélioration de la qualité incluant les résultats des évaluations internes et externes ?
6.5 Acceptation des risques par la Direction Générale [2600 – 2060-1 MPA]
Le responsable de l'audit interne examine t-il le sujet du risque inacceptable avec la Direction Générale
et, si nécessaire, attire l’attention du Conseil (ou du Comité d’audit) afin de trouver une solution
lorsqu’il estime que le management a accepté un niveau de risque qui pourrait s’avérer inacceptable
pour l’organisation.
13/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
7. Coordination avec les fonctions de contrôle : Le responsable de l'audit interne doit partager des informations et coordonner les activités avec les autres
prestataires internes et externes d’assurance et de conseil. [2050]
Le responsable de l'audit interne coordonne t-il efficacement les activités d’audit avec les auditeurs
externes :
- en veillant à l'établissement cohérent des plans d'audit ?
- en organisant des contacts réguliers avec les auditeurs externes sur des sujets d’intérêt commun ?
Le responsable de l'audit interne a-t-il réalisé une cartographie des activités d’assurance qui prend en
compte le niveau de couverture des risques majeurs de l’organisation :
- pour comprendre où se trouvent les risques globaux et les rôles et responsabilités, et passer en revue
toutes les activités de manière globale ;
- pour s’assurer qu’il existe un processus clair de gestion des risques et d’assurance sans redondances
ou manquements ;
- pour permettre à l’organisation d’identifier et de corriger toute déficience significative dans le
processus de management des risques et d’apporter l’assurance aux parties prenantes que les risques
sont sous contrôle et que les obligations réglementaires et légales sont remplies ;
- pour s’assurer que l’information est disponible auprès du management concernant les risques majeurs
à son niveau et la manière dont ils sont pris en compte?
14/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes s’assurent-ils de la coordination entre prestataires de services d’assurance interne,
évaluent ces prestataires et s’appuient sur leurs travaux :
- en prenant en compte leur degré d’indépendance et d’objectivité lorsqu’ils envisagent de s’appuyer
sur ces travaux ou de les utiliser ?
- en évaluant les compétences et les qualifications du prestataire d’assurance ?
- en examinant les pratiques du prestataire d’assurance afin d’obtenir une assurance raisonnable que les
constats de ce dernier reposent sur des informations suffisantes, fiables, pertinentes et utiles ?
8. Evaluation de du Gouvernement d'Entreprise : L’audit interne doit évaluer et contribuer à l’amélioration des processus de gouvernement d’entreprise en
utilisant une approche systématique et méthodique. [2100 – 2110]
8.2 Processus d’évaluation du gouvernement d’entreprise [2110-1 MPA – 2110-2 MPA – 2110-3 MPA]
15/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
Le responsable de l'audit interne a-t-il établi un processus d’évaluation du gouvernement d’entreprise :
- en fondant le plan d’audit sur les processus de gouvernance à risques élevés ainsi que les processus ou
domaines de risque pour lesquels le Conseil ou la Direction Générale a requis un travail ?
- en se fondant sur des informations obtenues à partir de plusieurs missions d’audit réalisées au fil du
temps, et en tenant compte des résultats des audits de processus de gouvernement d’entreprise
spécifiques, des problèmes de gouvernement d’entreprise issus des audits non centrés sur le
gouvernement d’entreprise, et des résultats des travaux d'autres prestataires internes et externes de
services d'assurance ?
- en examinant les processus ayant permis d’aboutir à la stratégie adoptée, aux objectifs définis et aux
décisions prises par la Direction Générale et le Conseil ?
- en procédant régulièrement à l'évaluation du fonctionnement et des compétences du Conseil des
filiales et de leurs différents comités ?
16/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
L’audit interne évalue t-il si la gouvernance des systèmes d’information de l’organisation soutient la
stratégie et les objectifs de l’organisation, dans les domaines de management, opérationnels et de
support :
- évolutions planifiées du SI et intégration dans le plan stratégique de l’organisation
- urbanisme et architecture d’entreprise au service des enjeux stratégiques
- gestion du portefeuille de projets orientée création de valeur pour les "métiers"
- management des risques SI en fonction de leurs impacts "métiers"
- alignement de la fonction SI par rapport aux processus "métiers"
- maîtrise de la réalisation de projets en fonction des enjeux "métiers"
- fourniture de services informatiques conformes aux attentes clients
- pilotage des services externalisés
- contrôle de gestion informatique
- gestion prospective des compétences informatiques
- gestion et mesure de la performance du SI
- gestion de la communication générale et de crise?
- en considérant la conception, la mise en œuvre et l’efficacité des objectifs, des programmes et des
activités liés à la fraude, ainsi que la probabilité d’occurrence de fraudes et comment l’organisation gère
les risques de fraude ?
- en mettant en œuvre une identification des facteurs de risque de fraude pertinents ; une identification
et hiérarchisation des schémas de fraude potentiels en fonction du risque ; une cartographie des
contrôles existants selon les schémas de fraude et identification des écarts ; un test de l’efficacité
opérationnelle des contrôles de prévention et de détection de la fraude ; une documentation et une
communication sur l’évaluation du risque de fraude ?
17/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
9. Evaluation du Système de management des risques : L’audit interne doit évaluer par une approche systémique les processus de management des risques et
contribuer à leur amélioration. [2100 – 2120]
9.1 Objectifs de l’évaluation des systèmes de management des risques [2120 – 2120 Int]
L’audit interne évalue t-il l’efficacité des processus de management des risques et contribue t-il à leur
amélioration par des missions générales ou spécifiques, donnant les assurances définies par la Norme
que :
- les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; la direction générale
définit les objectifs à l’échelle de l’organisation sous la surveillance du Conseil ; ces objectifs sont en
phase avec la vision, la mission et la stratégie de l’organisation ; ils reflètent les choix du management
et du Conseil sur les modalités de création de valeur ?
- les risques majeurs menaçant ces objectifs sont identifiés et évalués ; le management explicite des
objectifs appropriés de telle sorte que les risques susceptibles d’en affecter la réalisation puissent être
identifiés et évalués ?
- les modalités de gestion des risques retenues sont appropriées et en adéquation avec l’appétence pour
le risque de l’organisation ?
- les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de
l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs
responsabilités ?
9.2 Démarche d’évaluation des systèmes de management des risques [2050-2 MPA]
Le responsable de l'audit interne synthétise t-il dans un bilan au moins annuel les résultats des missions
pour permettre une compréhension suffisante, en donnant une assurance raisonnable à l’échelle de
toute l’organisation sur les domaines définis par la Norme :
18/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
- le processus de suivi et de reporting des actions de maîtrise du management en réponse à ces risques ?
Le responsable de l'audit interne émet-il une opinion portant sur les principes de management des
risques, considérés comme fonctionnant conjointement au sein d’un système intégré, de sorte que :
19/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
- Le management des risques soit adapté ?
Le management des risques d’une organisation doit être adapté en fonction des ressources disponibles
ressources de personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et
externe.
- Le management des risques intègre les facteurs humains et culturels ?
Le management des risques doit reconnaitre la contribution des personnes et des facteurs culturels à la
réalisation des objectifs de l'organisation.
- Le management des risques soit transparent et participatif ?
En impliquant les parties prenantes, internes et externes, lors des processus de management des
risques, l’organisation reconnait l’importance de la communication et de la consultation lors des
étapes d’identification, d’évaluation et de traitement des risques.
10. Evaluation du système de Contrôle interne : L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son
efficacité et son efficience et en encourageant son amélioration continue. [2100 – 2130]
20/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
L'audit interne évalue t-il la conception et l'efficacité du dispositif de contrôle interne choisi pour faire
face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de
l'organisation, en couvrant les objectifs définis et reconnus que sont :
- l’atteinte des objectifs stratégiques de l’organisation ;
- la fiabilité et l’intégrité des informations financières et opérationnelles ;
- l’efficacité et l’efficience des opérations et des programmes ;
- la protection des actifs tangibles et intangibles ;
- le respect des lois, règlements, règles, procédures et contrats ?
Le responsable de l'audit interne a-t-il établi une démarche permettant de donner une opinion globale sur
la conception et l'efficacité des processus de contrôle :
- en se fondant sur des constats avérés lors de la réalisation d’audits et, quand cela est approprié, sur des
travaux d’autres fonctions d'assurance, pour recueillir des éléments probants et suffisants qui
permettront d’apprécier l’efficacité des processus de contrôle ?
- en élaborant un plan d’audit comportant des missions d’audit et/ou d’autres procédures nécessaires
pour obtenir des preuves suffisantes et pertinentes, portant sur des unités opérationnelles et fonctions
importantes à évaluer, et comportant une revue des principaux processus de contrôle en place dans
l’organisation ?
Le responsable de l'audit interne émet-il, sur la base des missions, une opinion portant sur les principes
de contrôle interne, considérés comme fonctionnant conjointement au sein d’un système intégré, qui
démontre que :
- L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques ?
21/45
PROGRAMME D'EVALUATION GOUVERNANCE RISQUES CONTRÔLE
Conformité
Critères d'appréciation Observations
O/N
- L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents ?
- L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de
contrôle interne ?
- L’organisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification
et l’évaluation des risques susceptibles d’affecter leur réalisation ?
- L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son
périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés ?
- L’organisation évalue et communique en temps voulu les faiblesses de contrôle interne aux parties
chargées de prendre des mesures correctives ?
22/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
11. Principes déontologiques : Les auditeurs internes doivent se conformer au code de déontologie et aux principes fondamentaux, et mener leurs travaux avec
objectivité. [1100 - code of ethics]
Le Code de déontologie reprend t-il les principes fondamentaux promus par le Code de référence IIA /
IFACI :
- intégrité ;
- objectivité ;
- confidentialité ;
- compétence?
- en vérifiant que les auditeurs internes disposent d’une bonne connaissance du Code de déontologie, y
adhèrent pratiquement et s’engagent à le respecter ?
- en réalisant une sensibilisation et une évaluation régulière de l’application du Code au sein du service
d’audit interne ?
23/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
- en informant de manière précise les parties concernées si l’indépendance ou l’objectivité des auditeurs
internes est compromise dans les faits ou même en apparence ?
- en veillant à ce que les auditeurs internes s'abstiennent, pendant au moins un an, de réaliser des
missions d’assurance concernant des opérations particulières dont ils étaient auparavant responsables ;
d'assurer une fonction de responsabilité dans un domaine audité pour lequel ils ont réalisé une mission
d’assurance ?
- en s’assurant que les missions d’assurance concernant des fonctions dont le responsable de l'audit
interne a la charge soient réalisées par une personne ne relevant pas de l’audit interne ?
Les auditeurs internes apportent-ils à leur travail la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement averti et compétent :
- en étant attentifs aux risques de fraude, de fautes intentionnelles, d’erreurs ou d’omissions, de manque
d’efficacité, de gaspillage et de conflits d’intérêts, ainsi qu’aux situations et activités où des irrégularités
ont le plus de chances de se produire ?
- en définissant et mettant en œuvre une approche d’audit de manière rigoureuse, systématique et
méthodique, et avec des exigences de qualité sans compromis ?
- en mettant en œuvre une compétence et une conscience professionnelle à la documentation de leurs
travaux et à l’ensemble de leurs communications ?
12. Gestion des Ressources : Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient appropriées, suffisantes et mises
en œuvre de manière efficace pour réaliser le plan d’audit approuvé. [2030]
Le responsable de l'audit interne organise t-il l’activité d’audit interne par une gestion de ressources
appropriées, suffisantes, et efficacement déployées :
- appropriées en menant une évaluation ou un recensement périodiques des compétences spécifiques
requises pour accomplir les activités de l’audit interne ?
24/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
- suffisantes en développant une analyse de planification des ressources qui inclut l’univers d’audit, les
niveaux de risques appropriés, le plan annuel d’audit, les attentes en matière de cycle de couverture, et
une estimation des activités imprévues ?
- efficacement déployées en développant une stratégie d’analyse des ressources et d’une structure
adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographique de l’organisation ?
Le responsable de l'audit interne développe t-il et maintient-il des indicateurs appropriés, qui fixe des
objectifs et un budget pour contrôler l’adéquation générale des ressources et pour analyser toute
variation significative ?
Le responsable de l'audit interne assure t-il une communication d’entreprise sur la gestion des
ressources d’audit :
- par un dialogue suivi avec la Direction Générale et le Conseil (ou le Comité d’audit) sur l’adéquation
des ressources avec le périmètre d’activité de l’audit interne ?
- par une présentation périodique d’une synthèse de l’état et de l’adéquation des ressources à la
Direction Générale et au Conseil (ou au Comité d’audit) ?
Le responsable de l'audit interne met-il en œuvre un plan de développement des auditeurs internes :
25/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
- en communiquant régulièrement avec la Direction Générale, les lignes managériales et la direction des
ressources humaines sur le potentiel de l’audit interne ; les profils, les compétences et les perspectives
des auditeurs internes ; les postes ouverts susceptibles d’être proposés aux auditeurs internes ?
13. Compétences collectives : Le service d’audit interne doit collectivement posséder, ou développer par une formation professionnelle continue les
connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. [1210 – 1230]
Le responsable de l'audit interne planifie t-il et effectue t-il le suivi d’un programme de formation
continue, établi sur la base de critères spécifiques :
- des besoins identifiés en termes de compétences collectives et individuelles, en lien avec les activités
de l’organisation ?
- des progrès accomplis et des développements en cours dans le domaine des normes, procédures et
techniques d’audit ?
- des compétences nécessaires pour la réalisation du plan d’audit visant à la couverture des risques
majeurs ?
- de la progression technique et managériale pour chaque niveau hiérarchique et fonctionnel du service
d'audit interne ?
- d’actions de formation continue, consistant en l’adhésion, la participation et le volontariat à des
associations professionnelles ; en assistant à des conférences, à des séminaires, en participant aux
actions internes de formation ; par l’achèvement du cycle d’études supérieures et d’auto-formation ;
ainsi que par la participation à des programmes de recherche ?
26/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes sont-ils encouragés à obtenir une certification attestant de leurs compétences en
audit interne ?
Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnelle continue
appropriée afin de remplir les conditions requises par la certification qui leur a été délivrée.
Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programme de formation
et/ou à étudier individuellement en vue d’obtenir une certification professionnelle.
Le responsable de l'audit interne organise t-il qualitativement les compétences collectives permettant de
couvrir, par une approche fondée sur les risques et sur une durée raisonnable, l’ensemble des activités de
l’organisation :
- en définissant les compétences relatives à chaque niveau de responsabilité hiérarchique et fonctionnel
du service d’audit interne ?
- en déterminant les compétences métiers nécessaires à l’audit des activités de l’organisation, en les
comparant aux profils du service d’audit interne et en définissant une démarche compensatoire en cas
d’écart notable ?
Le responsable de l'audit interne obtient t-il l’avis et l’assistance de personnes qualifiées si les auditeurs
internes ne possèdent pas toutes les connaissances, le savoir-faire et les autres compétences nécessaires
pour s’acquitter de tout ou partie de leur mission :
- en s’assurant que le prestataire interne ou externe possède les connaissances, le savoir-faire et les
compétences nécessaires pour accomplir sa mission ?
- en gardant la responsabilité de la surveillance de l’exécution du contrat, du respect du code de
déontologie et de la qualité de ses activités ?
- en évaluant la qualité des travaux effectués, consistant notamment, dans le cadre du programme
d’assurance et d’amélioration qualité, à s’assurer que les informations obtenues sont suffisantes pour
justifier les conclusions formulées et les solutions proposées, et en statuant sur les exceptions
significatives ou les autres points inhabituels ?
27/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
14. Capacités individuelles : Les auditeurs internes doivent posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à
l'exercice de leurs responsabilités individuelles. [1210]
Les auditeurs internes possédent-ils des connaissances, un savoir-faire et des compétences précises dans
des domaines généraux :
- sur l’application des normes, de procédures et techniques d’audit ?
- sur les principes et techniques comptables et financières, indispensable aux auditeurs internes qui
travaillent fréquemment sur des documents et rapports financiers ?
- sur les principes de management et de conduite des affaires ?
La performance des auditeurs internes est-elle évaluée après chaque mission et/ou au cours du cycle
d’audit, sur la base de plusieurs critères :
- les compétences d’audit ?
- les analyses forces-faiblesses ?
- l’évaluation des capacités potentielles personnelles ?
- le développement des objectifs et des actions de formation ?
Les auditeurs internes possédent-ils une connaissance suffisante concernant les techniques d’audit en
environnement informatisé, en ce qui concerne :
- les principaux risques et contrôles relatifs aux technologies de l’information ?
- les techniques d’audit informatique susceptibles d’être mises en œuvre dans le cadre des travaux qui
leur sont confiés ?
28/45
PROFESSIONNALISME
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes utilisent-ils effectivement des techniques d’audit en environnement informatisé et
d’autres techniques d’analyses de données :
- en ayant accès aux différents systèmes d’information implantés dans l’organisation et en étant
capables de les utiliser par leurs propres moyens ou en obtenant l’appui d’un utilisateur expert ?
- en étant capable d’utiliser des outils de gestion de données et des outils d’audit, en particulier ceux
assistés par ordinateur ?
- en utilisant ces outils de manière appropriée, fréquente et efficace ?
Les auditeurs internes possèdent-ils une connaissance suffisante en matière de gestion antifraude et
démontrent-ils leur capacité en ce domaine :
- en évaluant les risques de fraude ?
- en appréciant la façon dont ces risques sont gérés par l’organisation ?
29/45
PERFORMANCE QUALITE
Conformité
Critères d'appréciation Observations
O/N
15. Règles et Procédures : Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l’activité d’audit interne. [2040 – 2410]
- en faisant l’objet d’une diffusion et d’une formation adaptée auprès des auditeurs internes ; d’une
évaluation régulière de leur pertinence ; d’une mise à jour si nécessaire ?
Le responsable de l'audit interne contrôle t-il la diffusion des résultats à des destinataires ne faisant pas
partie de l’organisation :
- en évaluant les risques potentiels pour l’organisation ?
- en consultant la Direction Générale et/ou selon les cas un conseil juridique ?
- en maitrisant la diffusion en imposant des restrictions quant à l’utilisation des résultats ?
Le responsable de l'audit interne a-t-il défini des règles de conservation et communication des dossiers :
- en arrêtant des règles en matière de conservation des dossiers de mission, quel que soit le support
d’archivage utilisé, en cohérence avec les orientations définies par l'organisation et avec toute exigence
réglementaire ?
30/45
PERFORMANCE QUALITE
Conformité
Critères d'appréciation Observations
O/N
- en contrôlant l'accès aux dossiers de la mission, et en obtenant l'accord de la Direction Générale et/ou
l’avis d’un juriste avant de communiquer ces dossiers à des parties extérieures ?
Le département central d’audit interne assure t-il un pilotage de l’audit au sein de l’organisation :
- en coordonnant les plans d’audit des départements d’audit interne qui lui rapportent ?
- en consolidant les rapports d’audit des départements d’audit interne qui lui rapportent ?
16. Supervision : Les missions d’audit interne doivent faire l’objet d’une supervision appropriée. [2340]
Le responsable de l'audit interne assure t-il l’entière responsabilité de la supervision des missions qui
sont réalisées par ou pour le compte du service d’audit interne par des actions spécifiques :
31/45
PERFORMANCE QUALITE
Conformité
Critères d'appréciation Observations
O/N
- en donnant des instructions appropriées durant la planification de la mission et en approuvant le
programme de travail de la mission ;
- en vérifiant que le programme de travail approuvé est correctement réalisé et que les changements
sont justifiés et appliqués ?
- en contrôlant les papiers de travail, s'ils contiennent les éléments probants justifiant les constats,
conclusions et recommandations de la mission ?
- en s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans les délais fixés ?
La supervision est-elle entreprise à temps, de façon régulière, suivie des corrections nécessaires et s’est-
elle appuyée sur des modalités adaptées :
- un mémorandum précisant la nature, l’étendue et les résultats de la revue ?
- une check-list de révision des papiers de travail de la mission ?
- des revues d’évaluation et de validation dans les outils ou supports de gestion d’audit ?
17. Programme Qualité : Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les
aspects de l'audit interne et permettant un contrôle continu de son efficacité. [1300]
Le responsable de l'audit interne s’assure t-il de la mise en œuvre de processus permettant de donner aux
parties prenantes de l’audit interne l’assurance raisonnable que ce service est conforme et efficace :
- en respectant la charte d’audit interne et est conforme avec la définition de l’audit interne, le Code de
Déontologie et les Normes ?
- en fonctionnant d’une façon efficace et efficiente ?
- en identifiant les opportunités permettant une amélioration continue ?
- en contribuant à créer de la valeur ajoutée et à améliorer le fonctionnement de l’organisation ?
32/45
PERFORMANCE QUALITE
Conformité
Critères d'appréciation Observations
O/N
Une évaluation externe est-elle réalisée régulièrement par un évaluateur ou une équipe qualifiée dont les
modalités sont convenues avec le Conseil (ou le Comité d’audit), relativement :
Le responsable de l'audit interne communique t-il sur la conformité aux normes du service d’audit
interne :
- en indiquant dans son rapport que l’activité de l’audit interne et les missions sont « conduites en
conformité avec les normes internationales pour la pratique professionnelle de l’audit interne ». Il
pourra le faire seulement si les résultats du programme d’assurance et d’amélioration qualité l’ont
démontré ?
- en informant la Direction Générale et le Conseil (ou le Comité d’audit) de toute non-conformité et de
ses conséquences impactant le champ ou le fonctionnement de l’activité de l’audit interne ?
33/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
18. Objectifs et cadrage de la mission : Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission qui précise les objectifs, le champ
d’intervention, la date et la durée de la mission, ainsi que les ressources allouées. [2200]
Les auditeurs internes établissent-ils des objectifs pour chaque mission, qui définissent les attendus de la
mission au regard des risques du domaine audité :
- pour les missions planifiées, les objectifs découlent et sont conformes à ceux qui ont été initialement
identifiés lors du processus d’évaluation des risques qui a permis d’établir le plan annuel d’audit ?
- pour les missions non planifiées, les objectifs sont établis avant le début de la mission en fonction de
la problématique spécifique qui a motivé la mission ?
Le périmètre de la mission inclut-il les éléments retenus et les justifications des exclusions concernant le
domaine audité :
- les entités ;
- les processus ;
- les systèmes ;
- les enregistrements et les données ;
- le personnel et les actifs concernés, y compris ceux sous contrôle de tiers?
Les ressources sont-elles allouées sur la base d’une évaluation de la nature et de la complexité de chaque
mission, en considérant certains éléments pour déterminer le caractère approprié et suffisant des
ressources, notamment :
- le nombre d’auditeurs internes et le niveau d’expérience de l’équipe d’audit ?
- les connaissances, le savoir-faire et autres compétences des auditeurs internes pour leur affectation à
chaque mission d’audit ?
34/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- la disponibilité de ressources externes dans les cas où des connaissances ou des compétences
supplémentaires sont requises ?
- les besoins de formation des auditeurs internes pour chaque mission qui constituent un point de départ
pour satisfaire le développement des connaissances nécessaires au niveau de l’audit interne ?
Les auditeurs internes tiennent-ils des réunions avec les managements prescripteurs, responsables et
audités, résument les discussions, diffusent les comptes rendus et conclusions en résultant, et les
informent sur les modalités de la mission d’audit :
- les objectifs et le champ d’intervention de la mission d’audit planifiée ;
- les ressources et le calendrier de la mission ;
- les facteurs clés affectant les conditions de gestion et les opérations des zones auditées, y compris les
changements récents au niveau de l’environnement interne et externe ;
- les préoccupations et les demandes du management ?
Le responsable de l'audit interne détermine t-il comment, quand et à qui les résultats des missions
d’audit seront communiqués, à travers :
- une documentation de ces éléments par les auditeurs internes et une communication au management,
autant que possible, pendant la phase de planification de la mission ?
- une référence à la charte d’audit qui présente le cadre général d’intervention ?
- une communication au management par les auditeurs internes de tous les changements ultérieurs qui
affectent les délais ou la diffusion des résultats de la mission ?
19. Analyse préliminaire des activités et processus : A partir des objectifs de la mission, les auditeurs internes doivent concevoir et documenter un plan de
mission sur la base d’un examen préliminaire. [2200]
35/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes mènent-ils des travaux préliminaires pour examiner le domaine audité :
- en se familiarisant avec les activités, les risques et les contrôles, pour identifier les domaines où la
mission sera appropriée ?
- en invitant les commanditaires et prescripteurs de la mission à fournir leurs commentaires et
suggestions ?
19.2 Prise en compte des éléments de contexte [1220.A1 - 2201 - 2210.A1-1 MPA]
Les auditeurs internes documentent-ils ou mettent-ils à jour les informations concernant les activités
auditées afin de déterminer leur impact sur les objectifs et le champ de la mission :
- l’étendue du travail nécessaire pour atteindre les objectifs de la mission ;
- la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées
les procédures d’audit ;
- l’adéquation et l’efficacité des processus de gouvernement d’entreprise, de management des risques et
de contrôle ;
- la probabilité d’erreurs significatives, de fraude ou de non-conformités ;
- le coût de la mise en place des contrôles par rapport aux bénéfices escomptés ;
- les opportunités d’apporter des améliorations significatives aux processus de gouvernement
d’entreprise, de management des risques et de contrôle ?
Les auditeurs internes examinent-ils l’évaluation des risques réalisée par le management pour l’activité
auditée, notamment :
- la fiabilité de cette évaluation des risques ?
- la fonction et le processus établis par le management pour la surveillance, la diffusion d’informations
et la résolution des risques et des contrôles ?
- les comptes rendus du management sur les évènements qui ont dépassé les limites de l’appétence pour
le risque de l’organisation ainsi que les réponses du management à ces rapports ?
36/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes synthétisent-ils dans le plan de mission et portent-ils une conclusion sur (1) les
examens du domaine audité, (2) sur l’évaluation des risques effectuée par le management et (3) sur des
éléments de contexte, en vue de définir :
- les problèmes importants et les raisons pour poursuivre une étude plus approfondie ?
- les objectifs et les procédures de la mission ?
- les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillonnage ?
- les points de contrôle potentiellement délicats, les manques et/ou les excès de contrôle apparents ?
- si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significativement les
objectifs de la mission ?
20. Référentiel des Objectifs, Risques et Contrôles : Lors de la préparation de la mission, les auditeurs internes doivent comparer la conception et la pertinence
des processus de gouvernement d’entreprise, de management des risques et de contrôle par rapport au référentiel ou modèle approprié. [2201]
Les auditeurs internes prennent-ils en compte, lors de la planification de la mission, les objectifs de
l’activité auditée et la manière dont elle est maitrisée :
- en déterminant dans quelle mesure les buts et les objectifs opérationnels ont été établis et sont
conformes à ceux de l’organisation ?
- en examinant les programmes et opérations pour déterminer dans quelle mesure les résultats sont en
ligne avec les buts et les objectifs définis ?
20.2 Evaluation préliminaire des risques du domaine audité [2210.A1 - 2210.A2 – 2210-1 MPA]
Les auditeurs internes, lors de la planification de la mission, échangent-ils avec le management sur leur
propre évaluation préliminaire des risques liés à l’activité auditée :
- afin de définir plus en détail les objectifs initiaux et identifier les autres sujets d’intérêt significatif ?
37/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- afin de prendre en compte la probabilité d’erreurs significatives, de cas de fraude, de non–conformités
ou d’autres expositions aux risques ?
Les auditeurs internes sélectionnent-ils les thématiques significatives de l’activité à auditer comme
objectifs d’audit prioritaires, en partant d’une perspective générale de l’activité à auditer et en se
focalisant progressivement sur les sujets les plus critiques :
- en prenant en compte les risques majeurs de l’activité, les objectifs, ressources et opérations ainsi que
les moyens par lesquels l’impact de risque potentiel est limité à un niveau acceptable ?
- en exerçant une vigilance particulière à l’égard des risques susceptibles d’affecter les objectifs, les
opérations ou les ressources et avoir à l’esprit les circonstances et les activités qui sont susceptibles de
générer des irrégularités ?
20.4 Identification des activités de contrôle du domaine audité [2210.A3 - 2200.2 MPA]
Les auditeurs internes, lors de l’examen préliminaire et dans son prolongement, déterminent-ils dans
quelle mesure le management a défini des critères de contrôle interne adéquats permettant d’évaluer
l’atteinte des objectifs des opérations et des processus, et :
- si ces critères de contrôle sont adéquats, les utiliser dans leur évaluation ?
- si ces critères de contrôle ne sont pas adéquats, rechercher l’accord du management sur les critères de
contrôle les plus adéquats ?
38/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
Les auditeurs internes incluent-ils dans le périmètre l’ensemble des contrôles clés requis pour donner
une assurance raisonnable que les risques opérationnels sont efficacement gérés, car :
- nécessaires à la gestion des risques associés à un objectif particulièrement critique pour
l’organisation ;
- l'évaluation de la combinaison des différents contrôles clés est nécessaire, avant d’émettre une opinion
sur la gestion efficace des risques couverts par le périmètre d’audit interne ;
- les contrôles entièrement ou partiellement automatisés – qu’ils soient au niveau de l'entité ou d'un
processus métier – s’appuient généralement sur la conception adéquate et l’efficacité des contrôles
généraux informatiques ;
- l'évaluation de la conception des contrôles clés dans leur ensemble et la déterminartion du caractère
suffisant de cet ensemble est nécessaire pour gérer les risques dans les limites acceptées par
l'organisation ?
21. Elaboration du Programme d'Audit : Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs
prioritaires de la mission. [2240]
21.1 Etablissement du programme de travail fondé sur les risques et les objectifs d’audit prioritaires [2240.A1 – 2240-1 MPA - 2210.1 MPA]
Les auditeurs internes établissent-ils un programme de travail documenté définissant les actions
permettant de conclure sur les objectifs d’audit prioritaires, fondés sur les risques, en ce qui concerne :
- les procédures d’audit à mettre en œuvre pour trouver, analyser, évaluer et documenter les
informations lors de la mission ?
- le champ spécifique des procédures d’audit, incluant leur nature, leur durée, et leur
dimensionnement ?
- les méthodologies à utiliser, tels que les audits informatisés ou les techniques d’échantillonnage?
39/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
Le responsable de l'audit interne ou le superviseur approuve t-il le programme de travail avant sa mise
en œuvre ?
22. Réalisation du Programme d'Audit : Les auditeurs internes doivent compléter le programme de travail et identifier les informations suffisantes, fiables,
pertinentes et utiles pour atteindre les objectifs de la mission. [2310]
Les auditeurs internes fournissent-ils une information suffisante, factuelle, adéquate et probante
permettant à une personne prudente et informée de parvenir aux mêmes conclusions que l’auditeur après
avoir réalisé les mêmes tests ?
Les auditeurs internes obtiennent-ils des informations fiables fondées sur des procédures d’audit
appropriées :
- requêtes d’informations ?
- observation et investigation ?
- tests de cheminement ?
- réexécution de procédures ?
- procédures analytiques ?
- tests d’échantillonnage détaillés ?
- confirmation et circularisation ?
22.3 Documentation des procédures d’audit [2330 – 2330-1 MPA - ISACA S04.07]
Les auditeurs internes documentent-ils les informations pertinentes répondant aux objectifs de la
mission :
- en justifiant progressivement les résultats des travaux menés en réponse aux objectifs d’audit ?
40/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- en obtenant des preuves d’audit identifiées de manière adéquate, référencées et répertoriées ?
Les auditeurs internes étayent-ils leurs travaux par la collecte d’éléments quantitatifs :
- aidant l’organisation à atteindre ses propres objectifs quantitatifs ?
- soutenant l’évaluation des risques et des déficiences correspondantes ?
23. Analyse et Evaluation des Constats : Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des communications, analyses
et évaluations appropriées. [2320]
23.1 Démarche d’analyse des procédures d’audit [2320-1 MPA – 2120-3 MPA – 2320-4 MPA]
Les auditeurs internes conduisent-ils des analyses adaptées et concluantes sur les informations probantes
:
- par des procédures analytiques consistant à étudier et à comparer les relations entre des informations
financières et des informations non financières ?
- par analyse des sondages d’attributs, dénombrant les écarts par rapport au contrôle prescrit, formulant
une conclusion statistique et prenant une décision d’audit sur la base des aspects quantitatifs et
qualitatifs du sondage ?
- par analyse des résultats des procédures d’audit en continu afin d'identifier les accès et transactions
non conformes, de manière individualisée ou comparative (entre processus, entre entités, dans le
temps) ?
Les auditeurs internes formulent-ils des recommandations afin de traiter l’origine des déficiences,
offrant une perspective d’amélioration durable des processus métiers :
- en recourant à des techniques simples d’analyse causale pour la plupart des problèmes qu’ils ont à
traiter ?
41/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- en mettant en œuvre des techniques les plus élaborées pour les déficiences dans lesquelles le temps et
l’effort (c’est-à-dire les coûts) nécessaires pour corriger les causes sous-jacentes sont susceptibles d’être
justifiés par le niveau de risque et d’optimisation des processus pouvant être atteints ?
- en fournissant une analyse spécifique, objective, étayée et corrélée des causes sous-jacentes ?
- en recommandant, le cas échéant, que le management conduise une analyse causale, lorsque l’audit
interne ne dispose pas du temps ou des compétences nécessaires ?
Les recommandations sont-elles ciblées sur les causes explicites des insuffisances constatées, avec pour
objectif de les supprimer, et sont fondées sur des éléments adéquats :
- des critères ou référentiels : les normes, exigences ou mesures de maîtrise des risques requises
utilisées pour évaluer et/ou vérifier la situation normale ?
- des faits : les preuves factuelles identifiées par l’auditeur interne au cours de son examen de la
situation actuelle ?
- des causes : la raison de la différence entre les situations attendues et les situations observées ?
- des conséquences : le risque ou le danger encouru par l’organisation et/ou d’autres, du fait que les
situations diffèrent des critères (l’impact de la différence) ?
Pour déterminer l’importance du risque ou de l’enjeu, les auditeurs internes prennent en considération
les conséquences de leurs observations et recommandations sur le fonctionnement et les états financiers
de l’organisation.
42/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- en les informant progressivement des points et constats d'audit identifiés, afin de les valider ?
23.5 Implication des décideurs dans l’élaboration des solutions [2440-1 MPA]
Les auditeurs internes conduisent-ils des échanges constructifs, dont les éléments significatifs et les
actions envisagées sont mis en évidence, avec les interlocuteurs appropriés, notamment :
24. Rapport d'Audit : Les auditeurs internes doivent communiquer les résultats de la mission, en respectant des conditions de fond et de forme. [2410 – 2440]
La communication finale est-elle introduite par des éléments nécessaires pour donner aux parties
prenantes une vision adéquate de la portée de la mission d’audit :
- les objectifs de la mission ?
- le champ de la mission, la période sur laquelle porte l’opinion, et les limitations de périmètre ?
La communication finale présente t-elle les éléments fondés sur l’approche par les risques, nécessaires
pour exposer les résultats démontrés, les solutions préconisées et les niveaux estimés de risque résiduel
par la mission d’audit, à travers :
- les déficiences présentant les critères, les constats factuels, les causes et les conséquences ?
- les recommandations ?
- les plans d’actions correctifs fournis par les audités dans le rapport, déclinant de manière
opérationnelle les recommandations, et émis en temps utile ?
43/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- les niveaux de risques évalués restant après que le management ait pris des mesures de contrôle pour
réduire l'impact et la probabilité des déficiences ?
44/45
PROCESSUS D'AUDIT
Conformité
Critères d'appréciation Observations
O/N
- les résultats de la mission permettent au management de prendre les actions correctives appropriées en
fonction du caractère significatif de la problématique.
Le responsable de l'audit interne assure t-il la diffusion adéquate du rapport ainsi que :
- la responsabilité de la revue et de l’approbation du rapport définitif avant qu’il ne soit émis, et décide
à qui et de quelle manière il sera diffusé ?
- la communication des résultats définitifs aux destinataires à même de garantir que ces résultats
recevront l’attention nécessaire ?
45/45