CIA Learning System ® de l'IIA

Partie 1 : Bases de l'Audit Interne

Le texte d'auto-formation du CIA Learning System de l'IIA comprend toutes les sections et thème
abordés dans le programme de l'examen CIA 2013 de l'IIA, que vous pouvez télécharger à partir du
Centre de ressources en ligne ou à partir du site web de l'IIA. Cependant, dans certains cas, le
contenu de ce système d'apprentissage a été réorganisé pour faciliter l'instruction et la
compréhension. Consultez le sommaire pour obtenir les numéros de page des sections et rubriques,
ainsi que la liste de toutes les rubriques.

Afin de tirer le meilleur parti des supports de cours, procédez dans l'ordre indiqué ci-dessous.
1. Pour commencer la formation veuillez consulter www.learncia.com.
2. Lire la présentation et revenir au menu. Sélectionnez la Partie 1 dans le menu.
3. Complétez le test préliminaire et affichez le rapport pour vous aider à concentrer vos efforts sur
certains points de formation.
4. Lisez chaque section et suivez les instructions « Étapes suivantes » incluses à la fin de chaque
section.
5. Terminez la Partie 1 comme expliqué dans la présentation en ligne.

Supports de formation
Le CIA Learning System de l'IIA inclut des outils en ligne fournis pour vous soutenir dans votre
formation. Ces outils sont accessibles à tout moment dans le menu.
Glossaire : consultez le glossaire pour connaître les définitions des termes utilisés dans les
trois parties du programme CIA de l'IIA.
Rapports : consultez les rapports pour prendre connaissance des résultats de vos tests les
plus récents et de votre progression dans le programme de formation.
Centre de ressources : consultez le centre de ressources pour accéder aux mises à jour, aux
astuces, aux cartes questions-réponses à imprimer, aux liens associés et au matériel de
référence, ainsi que pour faire part de vos commentaires à l'IIA sur le programme de
formation.
Le CIA Learning System® de l'IIA est basé sur le programme de l'examen de l'auditeur interne
certifié (CIA, « Certified Internal Auditor® » ) développé par l'IIA. Cependant, les développeurs du
programme n'ont pas accès aux questions des examens. Le programme de formation est, certes, un
outil performant, mais il ne garantit pas un score suffisant à l'examen du CIA.

Nous nous sommes assurés que les informations contenues dans le programme soient correctes et
d'actualité. Néanmoins, les lois et règlements changent et ces supports ne sont pas destinés à être
utilisés dans un cadre professionnel ou légal. Ce matériel est conforme aux Normes révisées du
cadre international de la pratique professionnelle (CRIPP) à compter du 1er Janvier 2013.

Copyright
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux.
Le fait de partager vos documents limiterait l'utilité du programme. L'IIA investit de nombreuses
ressources pour proposer à ses membres des perspectives professionnelles de qualité. En
conséquence, merci de respecter le copyright.

Remerciements
L'IIA souhaite remercier les experts qui ont partagé leur expérience et donné de leur temps pour
développer et mettre à jour le CIA Learning System de l'IIA :

Pat Adams, CIA

Terry Bingham, CIA, CISA, CCSA
Raven Catlin, CIA, CPA, CFSA
Patrick Copeland, CIA, CRMA, CISA, CPA
Don Espersen, CIA
Larry Hubbard, CIA, CCSA, CPA, CISA
Jim Key, CIA
David Mancina, CIA, CPA
Al Marcella, PhD, CISA, CCSA
Markus Mayer, CIA
Vicki A. McIntyre, CIA, CFSA, CRMA, CPA
Gary Mitten, CIA, CCSA
Lynn Morley, CIA, CGA
James Roth, PhD, CIA, CCSA
Brad Schwieger, CPA, DBA
Doug Ziegenfuss, PhD, CIA, CCSA, CPA, CMA, CFE, CISA, CGFM, CR.FA., CITP
Table of Contents

Voir le contenu sur votre liseuse électronique

Partie 1 Présentation
Section I : Directives obligatoires
Introduction

Chapitre A : Définition de l'audit interne

Introduction du chapitre
Rubrique 1 : Définir et expliquer la Définition de l'audit interne (Niveau
P)
Rubrique 2 : Définition de la fonction, des pouvoirs et des responsabilités
de l'activité d'audit interne (Niveau P)

Chapitre B : Code de d’éthique

Introduction du chapitre
Rubrique 1 : Respecter et favoriser le respect du Code de déontologie
de l'IIA (Niveau P)

Chapitre C : Normes internationales

Introduction du chapitre
Rubrique 1 : Respecter les Normes de qualification de l'IIA (Niveau P)
Rubrique 2 : Préservation de l'indépendance et de l'objectivité
(Niveau P)
Rubrique 3 : Définir la disponibilité des connaissances, du savoir faire et
des compétences nécessaires (Niveau P)
Rubrique 4 : Développer et / ou acquérir les connaissances, le savoir-
faire et les compétences nécessaires généralement requis par l'activité
d'audit interne (Niveau P)
Rubrique 5 : Remplir ses fonctions avec professionnalisme (Niveau P)
Rubrique 6 : Promotion de la formation professionnelle continue
(Niveau P)
Rubrique 7 : Assurance et amélioration qualité de l'activité d'audit
interne (Niveau P)
Voir le contenu sur votre liseuse électronique
Le contenu du CIA Learning System de l'IIA a été reformaté pour une visualisation optimale sur votre
liseuse électronique. Les images incluses dans cette version ont été affichées dans les deux
orientations portrait et paysage pour une meilleure lisibilité. A ce titre, il est recommandé de
verrouiller la rotation de votre appareil (si votre liseuse électronique possède cette option) avant de
visionner le contenu. Cela vous permettra d’utiliser l'appareil pour lire toutes les images nécessaires,
sans rotation automatique par la liseuse.

Veuillez noter: En raison de leur taille et leur niveau de détails, certaines images peuvent être mieux
visibles dans la version imprimée du document.

Certaines liseuses ont la capacité d'agrandir les images (zoom) pour augmenter la taille pour une
meilleure lisibilité. Utiliser cette fonction peut également être utile pour l'affichage des détails de
l'image.
 Partie 1 Présentation
Bienvenue dans la Partie 1 du CIA Learning System de l'IIA®.

L’audit interne est une discipline qui œuvre au nom du management, du Conseil d’administration et
des intervenants d'entités publiques et privées pour améliorer et apporter une valeur ajoutée à la
gestion du risque, aux procédures de contrôle et de gouvernance. Cette démarche est différente de
l'audit externe qui lui sert des tiers ayant besoin d'informations financières fiables basées sur des
pièces justificatives fiables. Inversement, le champ d'application des auditeurs internes est plus large
puisqu'ils doivent examiner et évaluer l'efficacité des contrôles, du fonctionnement financier, du
respect des lois et des règles et de la performance opérationnelle. À l'inverse des auditeurs externes
qui eux se concentrent simplement sur les évènements historiques, les auditeurs internes aident aussi
le Conseil et la direction à prendre des décisions axées sur l'avenir. Par exemple, on peut demander
aux auditeurs internes d’évaluer si des contrôles adéquats ont été mis en place lors d'opérations
planifiées afin d’assurer que les buts et objectifs de l'organisation soient atteints.

Pour aider à clarifier ce que l’audit interne est ou n’est pas il faut établir de plus grandes distinctions
entre auditeurs internes et externes ainsi que leurs différentes fonctions d'évaluation. Ces distinctions
sont décrites ci-dessous :

Auditeurs externes/Auditeurs financiers. Ces auditeurs fournissent une attestation basée

uniquement sur les rapports et états financiers fournis par une organisation. Ces auditeurs se
concentrent sur l’exactitude des informations reportées et ils évaluent aussi les dossiers relatifs
aux états financiers et les contrôles concernant les informations financières. Ces auditeurs se
conforment aux Normes de révision généralement admises (GAAS, « Generally Accepted
Auditing Standards ») de l'Institut américain des experts comptables (AICPA, « American Institute
of Certified Public Accountants »).

Conformité. Les évaluations de conformité servent en général à déterminer si une organisation

respecte ou non une loi applicable, règlement, norme, politique ou procédure et les résultats
apparaîtront dans les rapports. Les audits de conformité ne prennent pas en compte l’efficacité des
processus d'entreprise mais vérifient seulement si le processus est conforme ou non. En général
des personnes spécialisées (certaines ayant une expérience en droit) se chargent de ces
évaluations.

Régulateurs. Ces auditeurs travaillent pour des organismes de règlementation (par exemple
l'autorité de surveillance des marchés financiers [FINRA, « Financial Industry Regulator
Authority »], la U.S. Security and Exchange Commission [SEC], la Options Clearing Corporation
[OCC]) et évaluent la conformité aux réglementations spécifiques. Ils s’occupent des évaluations
de conformité au niveau des entreprises ou agences réglementées par une autorité de régulation
spécifique.
 Auditeurs de gouvernement. Les auditeurs de gouvernement travaillent en général pour les
départements, ministères, ou agences gouvernementales et se concentrent sur la conformité aux
exigences du programme, à la performance d’audit, aux examens budgétaires et à la gestion des
audits.

Quelques points supplémentaires de comparaison entre les professions d’audit interne et externe
viendront compléter cet aperçu d’audit interne.

Premièrement, les personnes employées dans une activité d’audit interne sont généralement des
employés d'une organisation. Cependant, il existe des arrangements alternatifs pour le personnel
audit interne d’un département notamment grâce à l’externalisation, au co-sourcing (mutualisation
des ressources) et aux accords de détachement. En revanche, les auditeurs externes sont eux des
entrepreneurs indépendants.

Les auditeurs internes s'attachent à éviter ou à détecter les erreurs, inefficacités, et irrégularités, y
compris la fraude, qui ont un impact sur la capacité d’une organisation à accomplir ses objectifs et
portent un intérêt limité à l'importance financière. Les auditeurs externes s'attachent à éviter ou à
détecter les fraudes seulement quand cela peut avoir une influence sur les états financiers; ils
s'attachent cependant également à éviter ou à détecter les fraudes en général.

Troisièmement, les auditeurs internes sont indépendants des fonctions internes des organisations
qu’ils auditent, ce qui signifie qu’ils n'ont aucune responsabilité de gestion au niveau des
domaines audités. Cependant, ils restent généralement prêts à répondre aux requêtes du Conseil et
des membres du management. En revanche, les auditeurs externes sont indépendants du Conseil et
du management en fait et au niveau intellectuel.
 Section I : Directives obligatoires
Cette section a pour objectif de vous aider à :
Identifier et appliquer des normes éthiques, pratiques et juridiques correspondant à la
pratique de l'audit, y compris le Code de déontologie de l'IIA, les Normes
internationales, les Modalités pratiques d'application et les lois applicables.
Expliquer les catégories de recommandations du cadre de référence international pour
la pratique professionnelle.
Définir l'audit interne.
Décrire le respect du Code de déontologie de l'IIA.
Expliquer comment la mission, les pouvoirs et la responsabilité de l'activité d'audit
interne sont documentés, communiqués et approuvés.
Comprendre l'importance de l'obtention de l'approbation du plan et de la charte de
l'activité d'audit interne par le Conseil.
Expliquer les notions d'indépendance et d'objectivité et comment les préserver au sein
d'une activité d'audit interne.
Identifier et décrire les connaissances, compétences et autres aptitudes requises au
sein d'une activité d'audit interne et la manière dont une organisation peut les
développer et/ou se les procurer.
Expliquer comment assurer le professionnalisme de l'activité d'audit interne.
Décrire l'importance du perfectionnement professionnel et des certifications officielles
pour les auditeurs internes.
Décrire les éléments constitutifs d'un programme d'assurance et d'amélioration qualité.

Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de
cette section représentent environ 35 % à 45 % de la totalité des questions relatives à la
partie 1. Toutes les rubriques sont traitées au niveau de compétence « P, Proficiency »,
c'est-à-dire qu'il vous incombe non seulement de comprendre et de mémoriser les
informations, mais également de les maîtriser à un niveau plus élevé, notamment par
l'application, l'analyse, la synthèse et l'évaluation.

Introduction
Le cadre de référence internationale pour la pratique
professionnelle de l'IIA
L’Institute of Internal Auditors (IIA) fournit à ses membres un Cadre international de la pratique
professionnelle (CRIPP) pour les guider dans leur pratique professionnelle et assurer des résultats
d'audit interne de haute qualité au niveau d'environnements largement variés.

Selon l’IIA même, « l’objectif du . . CRIPP est d’organiser . . d’une manière plus claire et plus
opportune, les lignes directrices approuvées par l’IIA. De ce fait, la position de l’IIA en tant
qu'organe normalisateur de la profession d’audit interne est renforcée au niveau mondial ». En
prenant en compte la pratique actuelle de l’audit interne ainsi que son développement
futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier à être sensible à la
demande croissante de services d’audit interne d’excellente qualité ».

Le CRIPP (cadre international de la pratique professionnelle) se constitue :

De la Définition de l'audit interne.
Du Code de déontologie.
Des Normes internationales pour la pratique professionnelle de l'audit interne (les Normes).
Des Modalités pratiques d'application (MPA).
Des Guides pratiques.
Des exposés de principes.

La Définition de l'audit interne, le Code de déontologie et les Normes sont disponibles à la lecture ou
au téléchargement à partir du site internet de l'IIA (www.theiia.org); vous y trouverez aussi d’autres
documents utiles pour les auditeurs internes, qu’ils soient ou non membres de l’IIA. (Parmi le
matériel supplémentaire disponible au public pour la lecture ou le téléchargement à partir du site
internet figurent une newsletter mensuelle, l'ITAudit, et le Global Technology Audit Guide qui évolue
constamment. Ces documents sont cités comme sources autorisées dans ces matériels d’étude.) Ces
documents visent à améliorer la connaissance et les compétences des auditeurs internes.

Les Modalités pratiques d'application sont destinées aux membres de l'IIA et sont protégées par mot
de passe. Le Cadre international de la pratique professionnelle (International Professional Practices
Framework) est disponible en intégral en version imprimable et est aussi appelé, par ceux qui l'ont
déjà consulté, « Red Book (Livre Rouge) » Cet ouvrage peut être commandé en ligne. Tandis que le
livre inclut tous les aspects du Cadre—la Définition de l'audit interne, le Code de déontologie, les
Normes et les Modalités pratiques d'application—il n’est pas nécessairement actualisé au contraire
de la version en ligne, laquelle est sujette à révision continuelle et additions. Les auditeurs internes
doivent s'assurer d'avoir pris connaissance de la version la plus récente du cadre disponible sur le
site Web de l'IIA. Comme l’environnement d’audit évolue, les Modalités pratiques d'application
évoluent aussi, et, à vitesse plus rigoureuse, les Normes. Par exemple, les changements de Normes au
1er Janvier 2013 ont intégré un nouveau langage pour souligner l’importance d'évaluer les
réalisations des objectifs stratégiques d’une organisation, et refléter la continuité d’orientation d’une
profession vers l’évaluation de gouvernance et la gestion du risque (en addition aux contrôles), ceci
pour certaines normes qui n’avaient pas encore adopté ce langage.

De nouvelles rubriques seront ajoutées, comme par exemple on peut trouver dans l'édition 2011 du
CRIPP (mis-à-jour pour 2012) la norme 2010.A2, « Le plan de mission de l’activité d’audit interne
doit être basé sur une évaluation à risque documentée, effectuée au minimum une fois par an. Les
attentes de la direction générale et du Conseil doivent être prises en compte dans ce processus ».
Pour conclure, certaines normes seront supprimées (comme par exemple 2130.A2 et 2130.A3) dans
l’édition mentionnée ci-dessus. Ce système d’apprentissage est conforme à la révision des Normes en
effet depuis le 1er janvier 2013 et accessibles sur le lien suivant : global.theiia.org/standards-
guidance/mandatory-guidance/Pages/Standards.aspx.

Dispositions officielles du CRIPP

Le CRIPP est un « cadre conceptuel qui organise les dispositions officielles promulguées par l’IIA ».
Ces dispositions se classent en deux catégories : (1) obligatoires et (2) approuvées et fortement
recommandées

La Définition de l'audit interne, le Code de déontologie, les Normes constituent le principe

fondamental du CRIPP et les membres de l’IIA, les professionnels pratiquant les audits internes et les
Auditeurs Internes Certifiés doivent s'y souscrire. Le caractère obligatoire des Normes est renforcé
par l’utilisation des termes « must» et « should ». Le Glossaire des Normes du CRIPP définit ces
termes comme suit :
Le mot must indique une exigence impérative.
Le mot should est utilisé dans les Normes lorsque le respect de la disposition est recommandé
sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les
circonstances.

L’introduction aux Normes a pour but de clarifier le contenu des orientations à caractère obligatoire :
« Les Normes s’appliquent aux auditeurs internes individuels et aux activités d’audit interne. Tous les
auditeurs internes ont la responsabilité de se conformer aux Normes relatives à l’objectivité
individuelle, la compétence et la conscience professionnelle. De plus, il est de leur responsabilité de
se conformer aux Normes correspondant à la performance de leurs responsabilités professionnelles.
Les responsables d'audit interne sont tenus de se conformer aux Normes ».

(Remarque : Si la mention « se conformer aux Normes » est utilisée dans le cadre de l'activité, le
respect des Normes est donc obligatoire, même pour ceux qui n'occupent pas un poste de RAI ou qui
ne sont pas membres de l’IIA).

Les dispositions fortement recommandées du CRIPP soutiennent le principe fondamental. Chaque

norme est, par exemple, généralement soutenue par une ou plusieurs modalité(s) pratique(s)
d'application Dans certains cas, il existe également des liens vers la collection croissante de Guides
pratiques et d'exposés de principes. Contrairement aux Normes, au Code de déontologie et à la
Définition de l'audit interne, les Modalités pratiques d'application, les Guides pratiques et les
Exposés de principes sont en option et ne sont pas obligatoires. Les Modalités pratiques
d'application et les Guides pratiques constituent la version des « meilleures pratiques » de l'IIA. Les
Exposés de principes sont des déclarations de l'IIA qui permettent d’intervenir auprès d’un large
panel de parties intéressées.

Ces types de dispositions fortement recommandées sont approuvées par l’IIA et furent développées
grâce à l'utilisation d'une procédure régulière par un comité et/ou institut technique international de
l’IIA. Plutôt que de fournir des réponses fermes, les dispositions fortement recommandées guident
l'auditeur et contiennent un large panel de solutions possibles et de méthodes pour mettre en pratique
les orientations à caractère obligatoire.

La définition de l’audit interne de l’IIA est couverte dans le Chapitre A Rubrique 1 de cette section.
Elle est aussi disponible sur le site internet de l’IIA. Le Code de déontologie est discuté en détail
dans le Chapitre B Rubrique 1. Ensuite vous trouverez une introduction globale des autres sections du
cadre – Normes, Modalités pratiques d'application, Guides pratiques et Exposés de principes – ainsi
qu'une mention brève de certaines démarches supplémentaires.

Normes
Les Normes sont des dispositions basées sur le principe plutôt qu’un énoncé de règles et
règlementations. Certaines Normes incluent une « interprétation » pour expliquer ces dispositions
plus en détail Veuillez aussi ne pas négliger ce texte en italique car il fait partie des Normes.

L'objectif des Normes peut être détaillé comme suit :

Délimiter les principes de base de la pratique d’audit interne.
Fournir un cadre pour appliquer et promouvoir une large gamme d'audit interne à valeur ajoutée.
Etablir une base pour l'évaluation des performances d'audit interne ;
Favoriser des opérations et processus organisationnels améliorés.

Les Normes emploient des termes ayant une signification très particulière. Le « Livre Rouge (Red
Book) » du CRIPP contient un bref Glossaire des Normes. Les termes définis dans ce système
d’apprentissage proviennent du Glossaire des Normes.

Il y a trois types de Normes : Les Normes de qualification, les Normes de fonctionnement et les
Normes de mise en œuvre.

Normes de qualification
Les Normes de qualification définissent les caractéristiques des organisations et des parties chargées
des activités d'audit interne. Les Normes de qualification s'appliquent à tous les services d'audit
interne et aux auditeurs internes individuellement.

Les Normes de qualification sont numérotées à partir de 1000. Les principales sections des Normes
de qualification sont les suivantes :
Les exemples suivants représentent deux de ces Normes de qualification.

Norme de qualification 1000—« Mission, pouvoir et responsabilité » La mission, le pouvoir et

la responsabilité de l'audit interne doivent être formellement définis dans une charte d’audit
interne et être cohérents avec la Définition de l’audit interne, le Code de Déontologie ainsi
qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte
d’audit interne et la soumettre à l’approbation de la direction générale et du Conseil.

Norme de qualification 1100—« Indépendance et objectivité » L'activité d'audit interne doit

être indépendante et les auditeurs internes doivent être objectifs dans l'exercice de leur travail.

Chacune des sections des Normes de qualification peut contenir plusieurs sous-sections. Par
exemple, les sous-sections de la norme 1100 (1110, 1120, etc) traitent de certains aspects de
l'indépendance et de l'objectivité. De même, la norme 1300 sur l'assurance et l'amélioration qualité
contient une sous-section 1310 intitulée « Exigences des programmes d'assurance et d'amélioration
qualité », qui à son tour contient deux sous-sections, 1311 « Évaluations internes », et 1312 «
Évaluations externes ». Le système de numérotation permet d'ajouter d'autres normes ultérieurement
ce qui indique que les normes continueront d'évoluer.

Normes de performance
Les Normes de performance décrivent la nature de l'audit interne et fournissent des critères de qualité
pour évaluer la performance de l'audit. Similaires aux Normes de qualification, les Normes de
performance s'appliquent à tous les services d'audit interne ainsi qu'aux auditeurs internes.

Les Normes de performance sont numérotées à partir de 2000. Les sections principales des Normes
de performance sont les suivantes :

Les exemples suivants représentent deux de ces normes de fonctionnement.

Normes de performance 2000—« Gestion de l'audit interne » Le responsable de l’audit interne

doit gérer efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à
l’organisation.
 Norme de performance 2100—« Nature du travail » L'audit interne doit évaluer les processus
de gouvernement d'entreprise, de manage​ment des risques et de contrôle, et contribuer à leur
amélioration sur la base d’une approche systématique et méthodique.

Comme on peut le noter, les Normes de performance au plus haut niveau abordent des sujets de
portée générale; de 2200 à 2500 on peut suivre les diverses étapes d'un audit bien mené. Les Normes
de performance ont également des sous-sections plus détaillées qui sont ajoutées au fur et à mesure
que le cadre évolue.

Normes de mise en œuvre

Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de performance
en indiquant les exigences applicables pour la mise en œuvre des Normes de qualification et des
Normes de performance selon qu'il s'agit d'une mission d'assurance (A) ou de conseil (C). Le
glossaire des Normes définit la mission comme « une mission d'audit interne spécifique, tâche ou
activité de révision particulière telle qu'un audit interne, une auto-évaluation des contrôles ou un
contrôle de la fraude ou une mission de conseil ». Les deux types de missions d'audit sont décrits
dans l'introduction des normes comme suit :

Assurance
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective de la preuve en vue de formuler en toute
indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet.
La nature et le périmètre de la mission d'assurance sont déterminés par l'auditeur interne. Trois parties sont généralement impliquées
dans les activités d'assurance : (1) la personne ou le groupe qui fait directement partie de l'exploitation, la fonction, un processus, un
système, ou tout autre domaine (le responsable de processus), (2) la personne ou le groupe en charge de l'évaluation (l'auditeur
interne) et (3) la personne ou le groupe qui met l'évaluation à profit (l'utilisateur).

Conseil
Les services de conseil sont de nature consultative et sont généralement réalisés à la demande spécifique d'un client de la mission. La
nature et le périmètre de la mission de conseil sont sujets à un accord avec le client de la mission. Les services de conseil impliquent
généralement deux parties : (1) la personne ou le groupe offre des conseil (l'auditeur interne) et (2) la personne ou le groupe qui
demande et obtient des conseils (client de la mission). Lors de l'exécution des services de conseil l'auditeur interne doit rester objectif
et ne pas assumer sa responsabilité en matière de gestion.

L'assurance et le conseil ne s'excluent pas mutuellement donc une activité d'audit peut contenir à la
fois des éléments de conseil et d'assurance. Une mission mixte peut ainsi combiner des activités de
conseil et d'assurance. Dans d'autres cas, les éléments individuels de la mission peuvent être
spécifiés comme étant « assurance » ou « conseil ».

Les auditeurs internes peuvent fournir des services de conseil dans le cadre de leurs activités
normales ou habituelles ou en réponse aux demandes du management. Une organisation doit définir
les types d'activités de conseil qui devront être menées et élaborer des politiques ou procédures
nécessaires pour chaque type. Voici quelques exemples d'activités de conseil :
Missions de conseil officielles. Ces missions sont planifiées et sont soumises à un accord écrit
Missions de conseil informelles. Ces missions représentent des activités de routine comme la
participation aux comités permanents, aux projets à durée de vie limitée, aux réunions ad-hoc et à
l’échange régulier d’informations.
Missions de conseil spécialisées. Rejoindre l'équipe de fusion ou d'acquisition ou de conversion
 des systèmes.
Missions de conseil d'urgence. Rejoindre l'équipe chargée de la reprise ou de la gestion des
opérations après un désastre ou tout autre évènement extraordinaire ayant un impact sur les
affaires, ou rejoindre l'équipe mise en place pour fournir une aide temporaire afin de répondre à
une demande particulière ou respecter des délais exceptionnels.

Dans tous les cas, une mission de conseil ne doit pas être menée dans le but d'éviter les exigences de
la mission d'assurance comme par exemple la nécessité de fournir un avis en fin de mission. Ceci est
conforme au Code de déontologie de l'IIA. En revanche et si cela s'avère opportun, les services
auparavant offerts sous la forme de mission d'assurance peuvent être fournis comme mission conseil.
Cependant, selon la Norme 2050 intitulée « Coordination », de telles activités de conseils doivent
être réalisées en étroite collaboration avec d’autres activités d’assurance d’audit interne ou externe
pour minimiser toute redondance.

Le format de numérotation des Normes de mise en œuvre indique leur classification (assurance ou
conseil). Par exemple, les normes de mise en œuvre 1000.A1 et 1000.C1 sont liées à la Norme de
qualification 1000, «Mission, pouvoir et responsabilité», dans laquelle A indique une norme de
mission d'assurance et C indique une norme de mission de conseil. La norme de mise en œuvre
1000.A1 explique que : « La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d’audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur
de l'organisation, leur nature doit également être définie dans la Charte ». La norme de mise en œuvre
1000.C1, précise en des termes similaires, « La nature des services de conseil doivent être définis
dans la charte de l'audit interne ».

Exceptions aux orientations à caractère obligatoire des Normes

Lorsque la législation ou la réglementation empêchent les auditeurs internes de respecter certaines
dispositions des Normes, il est nécessaire de procéder à une communication appropriée Les
auditeurs internes doivent se conformer aux autres dispositions des Normes.

Modalités pratiques d'application

Le Professional Issues Committee (Comité professionnel) de l'IIA fournit des directives non
obligatoires sous la forme de Modalités pratiques d'application pour aider les auditeurs internes à
mettre en pratique les Normes à caractère obligatoire. Les Modalités pratiques d'application sont
approuvées par l’IIA et fournissent des conseils concis et ciblés pour aider les auditeurs internes à
interpréter et à appliquer le Code de déontologie et les Normes et à promouvoir l'adoption de
meilleures pratiques. Les Modalités pratiques d'application comprennent les pratiques relatives aux
questions internationales, nationales ou spécifiques à l'industrie ainsi que les différents types
spécifiques de mission et les questions juridiques ou réglementaires. Certaines Modalités pratiques
d'application s'appliquent à tous les auditeurs internes, d'autres répondent aux besoins d'une industrie
spécifique, d'une spécialité d'audit ou d'une zone géographique.

Les Modalités pratiques d'application traitent de l'approche, la méthodologie et des considérations

mais ne se concentrent pas sur les processus et les procédures en détail.

Tous les auditeurs internes et les autres parties intéressées sont invités à soumettre des suggestions au
Professional Issues Committee (Comité professionnel) de l'IIA pour permettre le développement
continu de ces modalités. Les Modalités pratiques d'application sont régulièrement mises à jour pour
fournir d'autres meilleures pratiques et se conformer ainsi aux exigences des Normes. Toutes les
Modalités pratiques d'application sont soumises à un processus d'examen formel par le Professional
Issues Committee (Comité professionnel) ou par tout autre groupe désigné par le Conseil
professionnel des Modalités pratiques d'application. Vous retrouverez les modalités les plus récentes
ainsi que d'autres sections du cadre sur le site de l'IIA (www.theiia.org).

Les Modalités pratiques d'application sont destinées aux membres de l'IIA et sont protégées par mot
de passe sur le site internet de l'IIA.

Les Modalités pratiques d'application constituent la base de la présentation de nombreuses rubriques

de ce cours.

La Norme 1110, « Indépendance organisationnelle » est un exemple de la manière dont les Modalités
pratiques d'application fonctionnent. La norme contient le mandat suivant : « Le responsable d'audit
interne doit être rattaché à un niveau hiérarchique de l'organisation qui permette à l'activité d'audit
interne de remplir ses obligations. Au moins une fois par an, le responsable d'audit interne doit
confirmer au Conseil l'indépendance organisationnelle de l'activité d'audit interne. » Cette mise en
pratique n'est pas forcément évidente pour le responsable d'audit interne de l'organisation. Pour
obtenir plus de précisions, le RAI peut consulter la section « Contenu » du cadre en ligne (en
supposant qu'il est membre de l'IIA), aller à la section Liste des Modalités pratiques d'application,
rechercher l'entrée Modalité pratique d'application 1110-1, « Indépendance organisationnelle » et
suivre les différents conseils fournis à cet effet.

Même s'il suit ces conseils relatifs aux Modalités pratiques d'application, l'auditeur se retrouvera
probablement dans des situations difficiles qui n'auront pas spécifiquement été couvertes dans cette
section. Dans ce cas il est de la responsabilité de l'auditeur d'agir en suivant les principes directeurs
basés sur les Normes et Règles de conduite spécifiées dans le Code de déontologie. Pour les
membres de l'IIA, ces principes et leur dynamisme ne peuvent pas être dérogés par les instructions
d'un manager ou les pratiques contraires, les politiques ou la culture d'une organisation. Seul la
législation l'emporte sur le Code et les Normes.

Guides pratiques.
Les Guides pratiques fournissent d'autres recommandations de l'IIA pour aider les auditeurs internes
à intégrer les Normes dans le cadre de l'activité. Selon la préface du CRIPP les Guides pratiques
fournissent des « recommandations détaillées pour la conduite d'activités d'audit interne » et incluent
« des processus et procédures détaillés, tels que des outils, techniques, programmes et approches
progressives, y compris des exemples d'éléments livrables ».
Au même titre que les Modalités pratiques d'application, ces supports sont répertoriés uniquement
dans les sections du site Web de l'IIA nécessitant un mot de passe pour y accéder.

Exposés de principes.
Les Exposés de principes sont des communications de l'IIA destinées à aider toutes sortes de parties,
y compris celles extérieures à la profession d'audit interne, à comprendre les grands problèmes de
gouvernance, de gestion des risques et de contrôle et à définir les rôles et responsabilités associés à
la profession d'audit interne. Les Exposés de principes sont disponibles sur le site de l'IIA; vous
pourrez y accéder sans mot de passe.

Démarches complémentaires
Pour aider à la mise en œuvre du CRIPP, les auditeurs internes effectuent des évaluations internes de
qualité régulièrement et doivent se soumettre à des évaluations externes de qualité indépendantes
pour démontrer la conformité aux normes. Ils peuvent aussi obtenir des certifications d'auditeur à titre
individuel.

Vous pourrez obtenir une certification officielle de l'IIA sous certaines conditions. Qu'il s'agisse du
titre reconnu d'audit interne (Auditeur interne certifié [CIA, « Certified Internal Auditor® »]) ou l'une
des trois certifications professionnelles spécialisées, l'obtention d'une telle certification est synonyme
de professionnalisme. Le CIA Learning System de l'IIA, que vous êtes en train de lire, est un exemple
de matériels pédagogiques de préparation pour la certification de l'IIA.

Associées les unes aux autres, toutes ces démarches professionnelles participent à la réussite
commune des auditeurs et de leurs organisations.
 Chapitre A : Définition de l'audit interne
Introduction du chapitre
La profession d’audit est empreinte d'un passé chargé d'histoire. L'audit le plus ancien nous vient de
Mésopotamie lorsque l'on utilisait des marques pour enregistrer les cargos et vérifier leurs
transactions financières. Dans la Rome antique, le terme d’audit provenait du mot latin auditus
(audition) qui fait référence à l'examen d'une preuve orale lorsqu'un responsable devait vérifier et
comparer les registres.

L’audit interne a évolué au cours des années et a obtenu la reconnaissance des dirigeants et leaders
d’organisations en changeant l'accent placé sur les efforts d'audit interne pour répondre à l'évolution
des besoins de l’environnent mondial. La profession s'est longtemps concentrée sur un domaine
particulier : informations financières, évaluations de conformité, technologies de l'information,
processus opérationnels, risques et contrôles.

Aujourd’hui, l'audit interne se concentre sur les audits intégrés pour lesquels les auditeurs fournissent
une assurance associée à toute combinaison de types de mission suivants :

Assurance financière. Offre d'assurance liée à l'atteinte des objectifs d’une ou plusieurs
affirmations financières (existence ou survenance, exhaustivité, évaluation et allocation, droits et
obligations, présentation, divulgation).

Assurance des contrôles. Offre d'assurance liée à la création et à l'exécution des activités de
contrôles clés; les contrôles peuvent être opérationnels, financiers ou liés à la conformité.

Technologies de l’information (TI). Offre d'assurance liée à la conception et au fonctionnement

des activités de contrôles généraux TI ou des activités spécifiques de contrôle des applications.

Conformité. Offre d'assurance liée à la conception et à la réalisation d'activités et de procédures

de contrôle mises en place pour garantir la conformité avec les lois, les règlements, les politiques,
etc.

Opérations. Offre d'assurance liée à l’efficacité des opérations d’une organisation y compris la
performance, les objectifs de rentabilité, et la protection des ressources contre les pertes.

Les audits intégrés incluent souvent des audits opérationnels, financiers, IT et de conformité.

À travers les siècles, les auditeurs se sont efforcés à rechercher la vérité, effectuer le contrôle des
transactions et éviter ou détecter les actes de fraude. Aujourd’hui, les audits internes sont
indépendants, impartiaux et ont pour objectif de fournir des informations vérifiables au conseil
d'administration (en particulier son comité d’audit), au management, ou à tout autre organisme
externe. (D’après l'IIA, le Conseil est « un organe de direction du plus haut niveau directement
responsable de gérer et/ou superviser les activités de gestion d’une organisation. En général, il peut
s’agir d'un groupe indépendant de directeurs [par exemple un conseil de directeurs, un conseil de
surveillance, et un conseil de gouverneurs ou d'administrateurs]. Si un tel groupe n’existe pas, le «
Conseil » peut le signaler au responsable de l'organisation. Le « Conseil » peut s'adresser à un
comité d’audits lorsque certaines fonctions lui ont été déléguées par un organe de direction ».)

La première partie du chapitre définit l’audit interne et mentionne certains termes clés intégrés dans
la définition et établit la façon dont le terme a évolué au fil du temps. La seconde rubrique se
concentre sur trois éléments clés de l’activité d’audit interne : sa mission, son pouvoir et ses
responsabilités.

Rubrique 1 : Définir et expliquer la Définition de

l'audit interne (Niveau P)
Définition de l'audit interne
Suivant la définition d’audit Interne de l'IIA, « L’audit interne est une activité indépendante et
objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide une
organisation à atteindre ses objectifs en apportant une approche systématique et rigoureuse pour
évaluer et améliorer l'efficacité des processus de gestion des risques, contrôle et gouvernance ».

Comme défini dans le Glossaire des Normes, l'activité d’audit interne est « un département, une
division, une équipe de consultants ou tout autre professionnel qui fournit une assurance
indépendante, objective et des services de conseils qui apportent de la valeur et améliorent les
opérations d'une organisation ». Les activités d’audit interne sont souvent désignées par l’acronyme
GRC (gouvernance, risque et contrôle).

L’audit interne est mené par des professionnels ayant une connaissance approfondie de la culture, des
systèmes, et des processus d'affaires. Les activités d’audit interne peuvent être effectuées par des
personnes internes ou extérieures à l’organisation.

Les auditeurs internes sont la conscience et les conseillers d’une organisation et permettent de
favoriser l’efficacité des opérations, le contrôle interne et la gestion des risques. Ils informent la
direction et le conseil d'administration (et/ou d'autres structures de surveillance de gouvernance) et
leur soumettent des recommandations dans le but d'aider l'organisation à atteindre ses objectifs. Pour
remplir ces responsabilités, les auditeurs internes doivent faire preuve de professionnalisme,
objectivité, connaissance, intégrité et leadership.

Le texte suivant définit et explique les termes clés de la définition d’audit Interne.
Indépendance organisationnelle et objectif individuel
La première partie définit l'audit interne comme étant une «. . . assurance indépen​dante et objective et
une activité de conseil. . . . » L'indépendance et l'objectivité individuelle de l'organisation constituent
la base même de l'audit interne; toute confiance des parties prenantes dans le travail des auditeurs
repose sur ce fondement.

La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation ». (Le Glossaire des Normes définit le
RAI comme « occupant un poste de direction chargé de gérer efficacement l'activité d'audit interne
conformément à la charte de l'audit interne et à la Définition de l'audit interne, au Code de
déontologie et aux Normes ».) Que représente l'indépendance organisationnelle pour un auditeur
interne qui lui est après tout généralement un employé ? L'indépendance organisationnelle existe
lorsque le RAI :
Communique son rapport au Conseil sur le plan fonctionnel.
A un accès direct et non restreint au Conseil
Communique son rapport sur le plan administratif au directeur général ou tout autre responsable
de l'organisation ou à un autre niveau de l'organisation à partir du moment où l'activité d'audit
interne contrôle sans ingérence la portée et la performance de travail et la communication des
résultats.

Les parties prenantes doivent être bien conscientes que les auditeurs internes peuvent examiner tous
les domaines de l'organisation tout en restant impartiaux et sans se laisser influencer par d'autres.

L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts qu'ils soient évidents ou
apparents, ce qui signifie que si une situation pourrait être perçue comme un conflit d'intérêt cela
pourrait nuire à la crédibilité de l'auditeur interne.

L'indépendance et l'objectivité sont examinées plus en détail au chapitre C, Rubrique 2, de cette

section.

Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999 seulement, mais il reflète
le rôle croissant de l’audit interne au niveau des conseils à valeur ajoutée et des suggestions liées aux
décisions axées sur l'avenir. Les auditeurs peuvent participer au niveau décisionnel car les processus
sont en cours d’évolution pour que les contrôles adéquats soient mis en place dans le cadre de
nouveaux projets ou processus et ce depuis leur création. À partir du moment où les auditeurs
internes indiquent clairement qu’ils ne prennent aucune décision d'eux-mêmes, cela ne compromet pas
l’indépendance lorsque ces derniers donnent un conseil ou proposent des suggestions.

Évaluer et améliorer l’efficacité de gestion des risques, du contrôle et de

la gouvernance.
La dernière partie de la définition d'audit interne traite de l’évaluation et de l’efficacité de la gestion
des risques, du contrôle et de la gouvernance. Tandis que la définition originale de l'audit interne ne
mentionne que le contrôle, si la direction générale et le Conseil le souhaitent, l’audit interne peut et
doit fournir une évaluation plus complète de la gestion des risques et du processus de gouvernance de
l’organisation.

Les auditeurs internes étaient et sont souvent les premiers à établir une évaluation complète de la
gestion des risques d’une entreprise et la plupart d’entre eux ont participé à la mise en place de cette
fonction au sein d'une organisation. Pour éviter toute perte d’indépendance ou d’objectivité, certaines
organisations ont nommé un auditeur interne au poste de responsable de la gestion des risques tandis
que d’autres organisations déterminent ces activités de gestion des risques dans le cadre de missions
de conseil.

Le glossaire des Normes définit la gouvernance comme étant « un dispositif comprenant les
processus et les structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de
piloter les activités de l'organisation en vue de réaliser ses objectifs ». On remarque que les
organisations impliquées dans les scandales financiers du début des années 2000 et au-delà avaient
souvent des processus de gestion des risques sophistiqués et matures mais aussi des structures de
gouvernance qui n'ont pas pris en compte les évaluations des risques en faveur de profits élevés
réalisés en acceptant des risques élevés. Les auditeurs internes, s'ils sont autorisés à le faire, peuvent
aider à faire en sorte que l'organisation « donne le ton au niveau de la direction », encourage une
bonne gestion, une méthodologie opérationnelle, éthique et intégrité. Les auditeurs internes peuvent
également veiller à ce que la prise de risque soit conforme à l'appétence de l'entreprise pour le
risque à la fois en termes de capacité de l'organisation à prendre des risques (par exemple des
réserves de liquidités et un flux de trésorerie suffisants) et la volonté exprimée par le conseil
d'administration à assumer les risques au niveau de domaines spécifiques.

Interconnexion des risques, du contrôle et de la gouvernance

Les risques, le contrôle et la gouvernance définissent les activités d'une entreprise. Les organisations
qui réussissent ne privilégient aucun de ces trois éléments, mais reconnaissent la puissante interaction
et les avantages des trois.

Ensembles, le risque, le contrôle et la gouvernance déterminent largement la capacité d'une

organisation à réussir sur son marché. Lorsqu'elles sont mises en places correctement et bien
exécutées, ces trois activités prennent également en charge des interactions enrichissantes avec les
parties prenantes de l'organisation.

Les auditeurs internes doivent être compétents dans chacune des trois activités. D'après les exigences
de la norme 2100, « Nature du travail » : La mise en œuvre du Cadre des pratiques professionnelles
(deuxième édition) résume succinctement la façon dont les auditeurs internes doivent évaluer et
contribuer à l'amélioration de la gestion des risques, du contrôle et des systèmes de gouvernance. Ces
points sont présentés dans l'illustration I-1.
 Illustration I-1 : La nature du travail de l'audit interne

L'activité d'audit interne doit déterminer la meilleure façon de réaliser les activités dans les trois
domaines. Des facteurs tels que la culture organisationnelle, le rôle du groupe d'audit interne dans
l'organisation et les attentes des intervenants aideront à forger les pratiques spécifiques d'audit
interne.

La section II de cette partie examine exactement ce qui constitue une gestion efficace des risques et du
contrôle, tandis que la partie 3 de ce système d'apprentissage aborde le concept de gouvernance
efficace, conformément à la partie 3 du programme de l'examen l'IIA.

Vision de « l'audit interne moderne » par l'IIA

Le cadre de l'IIA contient et intègre implicitement la définition de la profession de l'audit interne de
l'Institut. La définition indique clairement que l'IIA s'engage à favoriser une vue d'ensemble de l'audit
interne qui inclut les conseils ainsi que l'assurance et qui vise à aider le management à répondre aux
objectifs de l'organisation plutôt que de se concentrer plus étroitement sur ​les questions
traditionnelles telles que attester de l'exactitude des états financiers et veiller au respect des lois et
règlements.

Comme l'indique Sawyer, et al, dans l'Audit interne selon Sawyer (Sawyer’s Internal Auditing)
(publié par l'IIA) : « Les questions financières ne représentent que l'un des aspects des compétences
de l'audit interne. Autrefois tenus pour adversaires du client, les auditeurs internes affichent
désormais des relations de travail coopératives et productives avec les clients par le biais d'activités
à valeur ajoutée ».

Sawyer qualifie précisément cette vision de la profession « d'audit interne moderne ».

Rubrique 2 : Définition de la fonction, des pouvoirs

et des responsabilités de l'activité d'audit interne
(Niveau P)
Le site Web de l'IIA indique qu'une activité d'audit interne efficace est une ressource précieuse pour
le management, le Conseil ou son équivalent et le comité d'audit en raison de sa connaissance de
l'organisation et de sa culture, des opérations et du profil de risque. L'objectivité, les compétences et
les connaissances des auditeurs internes peuvent apporter une très forte valeur ajoutée aux processus
de contrôle interne, de gestion des risques et de gouvernance d'une organisation. De même, une
activité d'audit interne efficace offre une assurance aux autres parties prenantes, telles que les
régulateurs, employés, acteurs financiers et actionnaires.

Les auditeurs internes ont besoin d'explications claires pour qu'il leur soit conféré le pouvoir
nécessaire afin de prendre en charge leur indépendance et leur objectivité et offrir de la valeur pour
l'organisation. Pour que l'activité d'audit interne puisse soutenir l'encadrement supérieur et le Conseil
d'administration dans le cadre de l'accomplissement des buts et objectifs généraux de l'organisation et
le renforcement des contrôles internes et la gouvernance d'entreprise il est important de comprendre
les principes de mission, pouvoir et responsabilité relatifs à l'activité d'audit interne.

L'illustration I-2 passe en revue les principaux éléments caractérisant la mission, le pouvoir et la
responsabilité de l'activité d'audit interne.

Illustration I-2 : Mission, pouvoir et responsabilité de l'activité de l'audit interne

D’autres aspects de la mission, du pouvoir et de la responsabilité de l’audit interne sont couverts
dans le chapitre C, Rubrique 1, plus bas dans cette section.
 Chapitre B : Code de d’éthique
Introduction du chapitre
Il est peu probable que des professionnels de divers secteurs ou organisations soient en désaccord
avec les points présentés dans le Code de déontologie. Dès lors qu'ils sont correctement élaborés, les
codes de déontologie contribuent à encourager un comportement conforme à l'éthique, à prévenir les
agissements contraires à l'éthique et à faire face aux dilemmes éthiques.

Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des normes de conduite
généralement acceptées et profitables à une organisation comme à ses clients. Il établit une approche
uniforme pour orienter les comportements. La conduite éthique dépend bien sûr d'un engagement à
« bien agir », mais elle requiert également une vision claire de ce qu'est la bonne action. Avoir une
vision nette des questions éthiques peut parfois être difficile. Les conflits d'intérêt soulevés presque
inévitablement par toute profession ayant plusieurs responsabilités (envers la profession elle-même,
envers les collègues, envers les clients, envers les employeurs et envers la communauté) jettent
parfois une ombre sur la ligne séparant la bonne action de l'action habituelle, de l'action facile ou de
l'action rentable.

Rubrique 1 : Respecter et favoriser le respect du

Code de déontologie de l'IIA (Niveau P)
Code de déontologie de l'IIA
L’IIA met en œuvre son Code de déontologie « pour promouvoir une culture éthique chez les
auditeurs internes professionnels ». Le Code « établit les principes fondamentaux pertinents pour la
profession et pour la pratique de l’audit interne. Il décrit les règles de conduite décrivant les normes
de comportement attendues des auditeurs internes ».

Le glossaire des Normes définit le Code de déontologie de l’IIA comme « une mise en œuvre
pratique des principes fondamentaux de l'audit interne et a pour but de guider la conduite éthique des
auditeurs internes. Le Code de déontologie s’applique aux parties et entités qui fournissent des
services d’audit interne ».

L’IIA fonde son Code de déontologie sur 4 principes fondamentaux de conduite professionnelle : la
confidentialité, l’objectivité, la compétence et l’intégrité. Le Code interprète chacun de ces quatre
principes en décrivant ce que chacun signifie et en spécifiant les Règles de conduites
correspondantes, lesquelles fournissent un guide de mise en pratique des principes proposés en
théorie.
Le Code fait plus qu’exiger une conduite déontologique, il définit cette conduite en détail.

Tous les RAI (quelque soit leur état de service actuel) doivent se soumettre au Code de déontologie
de l’IIA, tel que montré dans l’illustration I-3 plus bas.

Domaines dans lesquels des conflits d’intérêts potentiels

peuvent survenir
Il n’est pas difficile de repérer les potentiels conflits d’intérêts soulevés dans le Code. Par exemple,
selon le premier principe, à savoir l'intégrité, l'auditeur doit divulguer les informations appropriées
dès que la loi ou la profession l'exige. Sous le sceau de la confidentialité, l’auditeur est chargé de
respecter la confidentialité de l’information à moins qu’il soit légalement ou professionnellement
obligé de la révéler.

Illustration I-3 : Le code de déontologie de l'IIA adopté par le Conseilde l'IIA le 17 juin 2000

Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services d’audit interne.

Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de certifications professionnelles de l’IIA
ou des candidats à celles-ci, fera l’objet d’une évaluation et sera traitée en accord avec les statuts de l’Institut et ses
directives administratives. Le fait qu’un comportement donné ne figure pas dans les règles de conduite ne l’empêche pas
d’être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la personne qui s’en est
rendu coupable.

Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
Intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement.

Objectivité
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant
les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous
les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui.

Confidentialité
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent; ils ne divulguent ces
informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le
faire.

Compétence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation
de leurs travaux.

Règles de conduite
1. Intégrité
Les auditeurs internes :
1,1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.
1,2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession.
1,3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la
profession d’audit interne ou leur organisation.
1,4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
2. Objectivité
Les auditeurs internes :
2,1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient compromettre ou risquer de
compromettre le caractère impartial de leur jugement. Ce principe vaut également pour les activités ou relations d’affaires
qui pourraient entrer en conflit avec les intérêts de leur organisation.
2,2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel.
2,3. Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas révélés, auraient pour
conséquence de fausser le rapport sur les activités examinées.

3. Confidentialité
Les auditeurs internes :
3,1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités.
3,2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une manière qui contreviendrait aux
dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation.

4. Compétence
Les auditeurs internes :
4,1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience
nécessaires.
4,2. Doivent exercer des services d'audit interne en accord avec les Normes internationales pour la pratique professionnelle
de l'audit interne.
4,3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux.

L'objectivité peut être compromise si l'auditeur interne doit auditer un département dans lequel il a
travaillé au cours des 12 derniers mois, ou prévoit d'y travailler dans un futur proche. La norme
1130.A1, « Atteinte à l'indépendance et à l'objectivité », donne des conseils spécifiques sur ce type
de conflit et indique, « Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières
dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée
lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de
l’année précédente ».

Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut être difficile, en début
de mission, de déterminer si une personne est ou n'est pas compétente pour ladite mission, surtout
lorsque la fierté professionnelle ou l'éventualité d'une promotion semble être en jeu. L'aveu « Je ne
peux pas le faire » ne suscite généralement que très peu de soutien. Cependant, les principes du Code
et Règles de conduite sont à appliquer obligatoirement seulement lorsque ceux-ci sont compatibles
avec les principes législatifs.

Ces situations de conflits d'intérêts font de la conduite éthique un défi - c'est pour cela que les codes
de conduites sont nécessaires. Dans une situation qui n'est pas couverte par les Règles de conduite,
l'auditeur doit appliquer les principes pour déterminer l'attitude éthique. Il peut être aussi utile de
demander conseil à ceux qui peuvent avoir une plus grande objectivité ou plus d'expérience.

Applications pratiques
Le Code de déontologie ajouté conjointement au reste du Cadre des pratiques professionnelles
internationales de l'IIA et toute autre déclaration pertinentes de l'Institut, offrent des conseils aux
auditeurs internes dans le cadre de l'exercice de leurs fonctions.
L'illustration I-4 identifie les applications pratiques des quatre principes du Code de déontologie de
l'IIA.

Illustration I-4 : Exemples de principes du code de déontologie de l'IIA

 Chapitre C : Normes internationales
Introduction du chapitre
La portée internationale des Normes de l'IIA
L'IIA reconnait qu'il est difficile de définir un système de normes internationales pour une profession
pratiquée dans divers environnements. L'introduction des Normes établit : « L’audit interne est exercé
dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la
taille, la complexité et la structure sont divers ». Toutefois, l'Introduction poursuit, « il est essentiel
de se conformer aux Normes internationales pour la pratique professionnelle de l'audit interne
(Normes) de l’IIA ». . . . Lorsque la législation ou la réglementation empêchent les auditeurs internes
ou l’audit interne de respecter certaines dispositions des Normes, il est nécessaire d’en respecter les
autres dispositions et de procéder à une communication appropriée.

Les Normes, comme nous l'avons vu, constituent un projet en constante évolution. Le Conseil
international des normes d'audit de l'IIA (IIASB, International Internal Auditing Standards Board), est
responsable de l'émission et de la publication des Normes. Il établit toute nouvelle norme au moyen
de consultations avec des autorités à travers le monde et les membres sélectionnés font partie du
conseil d'administration international de l'IIA, et sont aussi des représentants d'organisations
majeures, ou des régulateurs externes à l'IIA. Le Cadre des pratiques professionnelles internationales
dans don ensemble, incorpore l'idée selon laquelle l'audit interne est vraiment une profession
internationale. L'IIASB a pour but de proposer des changements au niveau des Normes afin
d'améliorer considérablement la pratique de l'audit interne. L'IIASB est un groupe de professionnels
indépendant du groupe de certification de l'IIA et du système d'apprentissage CIA de l'IIA.

La plupart des fonctions d'audit interne ont adopté les Normes dans leurs chartes (conforme avec le
libellé de la norme de qualification 1000, décrite ci-dessus). La Treadway Comission a accordé
l'imprimatur aux Normes et établit dans le Rapport de la Treadway Comission : « Le
professionnalisme des auditeurs internes s'est amélioré ces dernières années, grâce aux efforts de
l'Institute of Internal Auditors (IIA), l'organisation professionnelle pour les auditeurs internes. Les
Normes de l'IIA constituent d'excellentes recommandations pour un audit interne efficace et reflètent
l'une des pensées les plus avancées sur la prévention et la détection des fraudes. La commission
encourage les entreprises publiques qui ne l'ont pas encore fait à envisager d'adopter les Normes de
l'IIA ».

Les Normes peuvent être intégrées dans les chartes d'audit d'organisations privées, à but non lucratif
et gouvernementales aussi bien que dans celles des compagnies publiques.

Les rubriques de ce chapitre présentent des méthodes qui favorisent le respect et la mise en œuvre
des Normes de qualification et les normes qui établissent les caractéristiques des organisations et des
parties responsables des activités d'audit interne. Les rubriques suivantes présentent les sections
importantes des Normes de qualification :

La rubrique 1 porte sur la norme de qualification 1000 et ses sous-sections. La rubrique 2 porte sur la
norme de qualification 1100 et ses sous-sections. Les rubriques 3, 4, 5 et 6 proposent des méthodes
qui permettent d'assurer efficacité et professionnalisme comme décrit dans la Norme de qualification
1200 et ses sous-sections. Enfin, la rubrique 7 porte sur la Norme de qualification 1300 et ses sous-
sections.

Rubrique 1 : Respecter les Normes de qualification

de l'IIA (Niveau P)
Mission, pouvoir et responsabilités de l'audit interne
Une activité d'audit interne se révèle très utile seulement si les clients considèrent la mission de
manière favorable et sont disposés à accepter les résultats. Le comité d'audit d'une organisation, le
directeur général et l'équipe de la direction générale doivent établir un « ton de la direction » qui
renforce la crédibilité de la fonction d'audit interne. Sans ce soutien fourni « en haut lieu », l'activité
d'audit interne peut devenir vulnérable à la subjectivité, à l'attitude défensive des clients et aux
erreurs humaines. La principale façon de faire est de documenter officiellement, d'obtenir
l'approbation du Conseil et l'accord du management pour développer une charte d'audit interne. La
charte d'audit interne et plusieurs autres documents doivent être en place pour favoriser la mission, le
pouvoir et la responsabilité du département d'audit interne ainsi que des activités d'audit interne.

Normes associées et Modalités pratiques d'application

Les Normes et Modalités pratiques d'application associées au rôle de la charte d'audit interne dans la
définition de la mission, du pouvoir et de la responsabilité de l'activité d'audit interne sont
répertoriés dans l'illustration I-5.

Illustration I-5 : Mission, pouvoir et responsabilité Normes et Modalités pratiques d'application

Charte d'audit interne
Suivant le glossaire des Normes, la charte d'audit interne est « un document officiel qui précise la
mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit
interne dans l'organisation; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à
la réalisation des missions ; définit le champ des activités d'audit interne ».

La charte d'audit interne définit ce que le Conseil et la direction générale peuvent attendre de
l'activité d'audit et oriente le personnel dans son travail d'audit interne. Le RAI développe une charte
qui définit la nature des services pour les missions d'assurance et de conseil et doit soumettre la
charte pour acceptation à la direction générale et approbation par le Conseil. Une charte écrite peut
aussi être distribuée aux autres parties prenantes concernées tels que des responsables et des tiers
(fournisseurs et partenaires de coentreprises) pour qu'ils soient conscients du type de travail que les
auditeurs internes fournissent.

La charte d'audit doit être cohérente avec les Normes.

La charte d'audit interne sert de schéma type pour l'activité d'audit interne. Les éléments typiques
décrivent :
La mission et le périmètre d'action du service d'audit interne.
La responsabilité du RAI par rapport au management et au comité d'audit dans l'accomplissement
des fonctions qui lui incombent.
L'indépendance de la fonction d'audit interne.
 Les responsabilités du RAI et des auditeurs internes.
Les pouvoirs du RAI et des auditeurs internes.
Les normes de la pratique d'audit doivent être respectées ou dépassées.
Le libre accès à l'information, aux personnes et aux systèmes.

La modalité pratique d'application 1000-1, « Charte d'audit interne », indique : « L’existence d’une
charte d’audit interne formalisée est essentielle pour la gestion du service d’audit interne. La charte
est un document officiel soumis pour avis et acceptation à la direction générale, et approuvée par le
comité d’audit, comme cela a été documenté dans les comptes rendus du Conseil. Elle facilite ainsi
l’évaluation périodique de la pertinence de sa mission, de ses pouvoirs et de ses responsabilités. Son
approbation est consignée dans les procès-verbaux du Conseil. En cas d’interrogation, la charte est la
référence écrite officielle de l'accord passé avec la direction générale et le Conseil sur le rôle et les
responsabilités du service d’audit interne de l’organisation ».

Si il existe des écarts importants au niveau de la charte d'audit interne ceux-ci doivent être
communiqués. Le RAI ne peut pas dénaturer la fonction d'audit sans consulter le comité d'audit ni
modifier la charte de l'audit interne.

Vous trouverez un exemple de charte d'audit interne à l'illustration I-6. Veuillez noter que ces
exemples n'englobent pas chaque audit interne au niveau d'une organisation. De la même manière,
tous les éléments de cet exemple ne s'appliquent pas forcément à toutes les missions. Une charte doit
être adaptée à chaque activité d'audit interne et aux règles qui gouvernent une organisation.

Illustration I-6 : Exemple de charte d'activité d'audit interne (suite à la page suivante)

MISSION ET PÉRIMÈTRE D'ACTION

La mission du département d'audit interne est d'apporter une assurance indépendante et objective, et des services de
conseils destinés à apporter de la valeur et améliorer les opérations d'une organisation. Il aide l'organisation à atteindre ses
objectifs en apportant une approche systématique et rigoureuse pour évaluer et améliorer l'efficacité des processus de
gestion des risques, contrôle et gouvernance.

Le périmètre d'action du service d'audit interne consiste à déterminer si le réseau organisationnel de processus de gestion
des risques, contrôle et gouvernance, tel qu'il est conçu et représenté par la direction, est approprié et garantit que :
les risques sont correctement identifiés et gérés ;
il existe des échanges suffisants entre les différents groupes de gouvernance ;
les informations financières, opérationnelles et de gestion importantes sont exactes, fiables et opportunes ;
Les actions des employés sont en accord avec les politiques, normes, procédures, législation applicable et règlements.
les ressources sont acquises dans un souci de rentabilité, utilisées de manière efficace et correctement protégées ;
les programmes et les plans sont mis en œuvre et les objectifs atteints ;
le processus de contrôle de l'organisation favorise l'amélioration continue et la qualité ;
les problèmes d'ordre législatif ou réglementaire importants ayant un impact sur l'organisation sont pris en compte et
traités de manière appropriée.

Les audits permettent d'identifier les lacunes et d'améliorer le contrôle de gestion, le profit et l'image de l'organisation. Elles
seront communiquées au niveau approprié de management.

RESPONSABILITÉ
Dans l'exécution de ses fonctions, le responsable d'audit interne (RAI) rend compte à la direction et au comité d'audit. Il doit
notamment :
fournir une évaluation annuelle de l'adéquation et de l'efficacité des processus de l'organisation qui visent à contrôler les
activités et à gérer les risques dans les domaines définis par la mission et le périmètre d'action ;
 signaler les problèmes importants liés aux processus de contrôle des activités de l'organisation et de ses sociétés
affiliées, y compris les améliorations susceptibles d'être apportées à ces processus, et fournir des informations sur ces
problèmes jusqu'à leur résolution ;
les tenir régulièrement informés du statut et des résultats du plan annuel d'audit et leur indiquer si les ressources du
service sont suffisantes ;
coordonner et superviser les autres fonctions de contrôle et de surveillance (gestion des risques, conformité, sécurité,
fonction juridique, éthique, environnement, audit externe).

INDÉPENDANCE
Pour qu'il y ait l'indépendance au niveau du département d'audit interne, son personnel doit rendre compte au RAI, qui doit
rendre compte sur le plan administratif au directeur général et sur le plan fonctionnel au Conseil et au comité d'audit,
comme indiqué dans la section ci-dessus intitulée Responsabilité. Un rapport régulier sur le personnel d'audit interne sera
inclus dans le cadre du rapport au comité d'audit

RESPONSABILITÉS
Le RAI et le personnel du service d'audit interne ont les responsabilités suivantes :
Développer un plan annuel flexible approprié d'audit interne en utilisant une méthodologie fondée sur les risques, inclure
tout risque ou contrôle identifié par le management et communiquer ce plan au comité d'audit pour révision et accord.
Mettre en œuvre le plan annuel d'audit approuvé, y compris, le cas échéant, l'ensemble des tâches et projets spéciaux
demandés par la direction et le comité d'audit.
Avoir recours à des professionnel d'audit qui possèdent les connaissances, le savoir-faire et l'expérience nécessaire
ainsi que les certifications professionnelles requises pour remplir les exigences de cette charte.
Établir un programme de qualité d'assurance par lequel le RAI assure la mise en œuvre des activités d'audit interne.
Exécuter des services de conseils, qui vont au-delà des services d'assurance de l'audit interne, pour aider le
management à atteindre ses objectifs. On peut citer comme exemple la facilitation, la conception de processus, la
formation et les services de conseils.
Évaluer les principales fonctions de fusion/consolidation ainsi que les services, processus, opérations et processus de
contrôle nouveaux ou en évolution au moment de leur développement, mise en œuvre et/ou expansion.
Émettre des rapports réguliers à l'attention du comité d'audit et de la direction, récapitulant les résultats des activités
d'audit.
Tenir le comité d'audit informé des nouvelles tendances et des pratiques d'audit interne fructueuses.
Fournir une liste des principaux objectifs d'évaluation et les résultats correspondants au comité d'audit.
Contribuer aux enquêtes majeures portant sur des suspicions d'activités frauduleuses au sein de l'organisation et
informer la direction et le comité d'audit des résultats.
Étudier le périmètre d'action des auditeurs et régulateurs externes, le cas échéant, dans le but d'assurer un périmètre
d'audit optimal à l'organisation et ce, à un coût global raisonnable.

POUVOIRS
Le RAI et le personnel du service d'audit interne sont habilités à :
Bénéficier d'un accès illimité à l'ensemble des fonctions, informations, équipements et personnels ;
Jouir d'un accès libre et entier au comité d'audit ;
Allouer des ressources, définir des fréquences, sélectionner des sujets d'analyse, déterminer des périmètres d'action et
appliquer les techniques requises afin de remplir les objectifs d'audit ;
Obtenir l'assistance nécessaire du personnel des unités de l'organisation concernées par les audits, ainsi que d'autres
services spécialisés, internes ou externes à l'organisation.

Le RAI et le personnel du service d'audit interne ne sont pas habilités à :

Remplir des fonctions opérationnelles pour l'organisation ou ses sociétés affiliées ;
Entreprendre ou approuver des opérations comptables externes au service d'audit interne ;
Diriger les activités de tout membre de l'organisation non employé par le service d'audit interne, sauf si cet employé a été
officiellement assigné à une équipe d'audit ou chargé d'assister les auditeurs internes.

NORMES DE LA PRATIQUE D'AUDIT

Le département d'audit interne respectera ou dépassera les Normes internationales pour la pratique professionnelle d'audit
interne de l'IIA.

_________________________________
Le Responsable d'audit interne
_________________________________
Le Président du comité d'audit

_________________________________
Le Directeur général

___________________________
Date

Source : « Modèle de charte d'activité d'audit interne (Model Internal Audit Activity Charter) », The Institute of Internal
Auditors, www.theiia.org/download.cfm?file=26484.

Autres documents clés

Voici les documents clés supplémentaires associés à la mission, au pouvoir et à la responsabilité de
l'activité d'audit interne :

Déclaration de fonction et de responsabilité (F et R) Cette déclaration établit les pouvoirs et

responsabilités des auditeurs et définit les types d'activités d'audit et les accès nécessaires à
l'exécution des fonctions présentées dans la charte. La déclaration F et R peut être incluse sous
forme de matrice pour permettre d'identifier le rôle du personnel et les activités qui leur sont
confiées.

Déclaration de politique (aussi appelée Politique d'audit de l'entreprise ou Déclaration de

politique relatives aux missions). Cette déclaration identifie les différentes missions de l'activité
d'audit et aide le management et le Conseil à s'acquitter efficacement de leurs responsabilités. Le
périmètre et le statut de l'audit interne dans l'organisation font partie des sujets abordés, tout
comme son objectif de création de valeur ajoutée et de contribution à l'amélioration de la gestion
des risques et de la gouvernance. La déclaration de politique définit aussi le pouvoir du
département d'audit interne dans le cadre d'audits, de la communication de rapports, de
recommandations et de l'évaluation d'actions correctives.

Manuel d'audit (politiques et procédures). Ce document inclut des politiques et procédures

mises en place dans le but de guider le personnel dans l'exercice de leurs fonctions. Les politiques
et procédures doivent être adaptées à la taille de l'organisation et à la structure et la complexité de
l'activité. En général, le processus de communication d'une grande entreprise est plus formel et
détaillé, tandis que des notes de service écrites peuvent être suffisantes pour une petite
organisation.

Descriptions de postes. Les descriptions de postes doivent identifier les critères de performance
exceptionnelle, les connaissances et savoir faire nécessaires pour réaliser un large éventail de
missions d'audit de manière efficace. Sont notamment décrits les postes d'auditeur, d'auditeur
confirmé et de responsable d'audit, ainsi que d'autres postes uniques liés à la fonction d'audit.

Favoriser la fonction d'audit interne

Favoriser l'audit interne à travers l'organisation peut aider à mieux informer le management, les
clients de mission et à promouvoir l'activité d'audit interne en sa qualité de partenaire qui résout les
problèmes et permet d'améliorer la performance des opérations.
Plusieurs méthodes possibles d'exploitation et leur potentiel sont décrites à l'illustration I-7.

Illustration I-7 : Méthodes d'exploitation pour promouvoir la fonction d'audit interne.

Selon la taille et le degré de formalité d'une organisation, les brochures, bulletins d'informations,
publications et questionnaires peuvent être diffusés au format électronique ou imprimés, voire les
deux.

Les exemples de ressources suivants, qui permettent de promouvoir la fonction d'audit interne, sont
disponibles sur le site Web de l'IIA.
« L'audit Interne - un travail quotidien » (Internal Auditing—All in a Day’s Work) : une brochure
exemple sur l'audit interne.
« Votre équipe d'audit interne » : une présentation Powerpoint qui peut être personnalisée et
utilisée pour promouvoir la fonction d'audit au sein d'une organisation.

Rubrique 2 : Préservation de l'indépendance et de

l'objectivité (Niveau P)
Les auditeurs internes sont plus que des évaluateurs de conformité ou des analystes financiers. Le
large spectre de leurs responsabilités s'étend de l'évaluation de toute une gamme de risques,
contrôles, questions d'éthique et initiatives liées à la qualité, à l'évaluation des technologies
émergentes, l'analyse des opportunités et l'examen de problèmes globaux. Les auditeurs internes sont
chargés de s'assurer que les contrôles en place permettent bien d'atténuer les risques pour atteindre
les objectifs de l'organisation.

Les structures d'audit interne doivent faire preuve d'indépendance et d'objectivité dans l'exécution de
leurs activités d'assurance et de conseil. Le glossaire des Normes définit ces termes comme suit :

L'indépendance est « la liberté d'agir sans avoir à se soumettre à des conditions qui menacent la
capacité de l’audit interne à assumer, de manière impartiale, ses responsabilités ».

L'objectivité est « une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compromis.
L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui
d’autres personnes ».

Normes associées et Modalités pratiques d'application /

Guides pratiques
Les Normes et Modalités pratiques d'application / Guides pratiques relatifs à l'indépendance et
l'objectivité sont répertoriés dans l'illustration I-8.

Illustration I-8 : Normes sur l'indépendance et l'objectivité et Modalités pratiques d'application / Guides pratiques
Favoriser l'indépendance
Indépendance et rattachements hiérarchiques
L'indépendance est liée à l'activité d'audit interne et établie par la structure hiérarchique de
l'organisation. Suivant la meilleur pratique et en raison d'un double rattachement, le RAI (et de ce
fait, l'activité d'audit interne) doit rendre compte à la direction générale (CEO, CFO, etc.) et au
comité d'audit. L'llustration I-9 permet de visualiser la structure de ce rattachement.

Illustration I-9 : Structure du double rattachement de l'activité d'audit interne.

La charte d'audit doit établir la relation au niveau du double rattachement aussi bien que les
principales activités pour chaque rattachement. Dans l'idéal, le RAI doit être rattaché :
Au Conseil sur le plan fonctionnel.
À la direction générale de l'organisation sur le plan hiérarchique (rattachement direct).
Sur le plan fonctionnel au comité d'audit ou tout autre équivalent.

Rattachement fonctionnel
Un rattachement fonctionnel permet d'atteindre une indépendance et une autorité finale.
L'indépendance de l'organisation est garantie de manière efficace lorsque le responsable de l'audit
interne rend compte au Conseil sur le plan fonctionnel. Lorsqu'il existe un rattachement fonctionnel au
Conseil, le Conseil doit :
Approuver la charte d'audit interne.
Approuver le plan d'audit interne axé sur les risques.
Approuver le budget de l'audit interne et le plan sur les ressources.
Être destinataire des informations adressées par le responsable d’audit relatives à la réalisation
du plan d’audit ou de tout autre sujet afférent à l’audit interne
Approuver les décisions relatives à la nomination et la révocation du responsable de l'audit
interne.
Approuver la rémunération du responsable de l'audit interne.
Demander des informations pertinentes au management et au responsable de l’audit interne pour
déterminer l’adéquation du périmètre et des ressources de l’audit interne (interprétation de la
Norme 1110).

Rattachement administratif
Le rattachement administratif facilite les opérations quotidiennes de la fonction d'audit interne.
Quelques exemples ci-dessous de rattachement administratif :
La budgétisation et la comptabilité de gestion.
L'administration des ressources humaines, y compris les évaluations du personnel et la
rémunération.
Les communications internes et les flux d’informations.
La gestion des règles et procédures de l’audit interne.

L'importance de l'indépendance
Le double rattachement hiérarchique supporte l'indépendance de l'activité d'audit interne et permet
aux auditeurs internes d'effectuer leur travail librement et objectivement et de rendre des jugements
impartiaux. Le rattachement permet d'assurer :
Un flux d'informations approprié à travers l'organisation ;
Un accès aux principaux cadres et responsables ;
Une communication appropriée des résultats de l'activité d'audit interne.

Le RAI doit contrôler les rapports de rattachement. Toute situation qui affecte l'indépendance et
l'efficacité des opérations de la fonction d'audit interne doit être soumise à l'attention du comité
d'audit (ou son équivalent).

Des relations appropriées qui garantissent l'indépendance

Les Normes sont établies pour être applicables à toutes les organisations d'audit interne,
indépendamment de leur taille, nature ou de tout autre facteur. Elles se veulent donc relativement
génériques sur la question du rattachement hiérarchique, bien qu'il n'existe pas une approche unique
qui s'appliquerait à toutes les situations.

Les lignes qui suivent décrivent plusieurs moyens pour le RAI de s'assurer que les relations de
l'activité d'audit interne avec le Conseil, la direction et le comité d'audit contribuent à son
indépendance organisationnelle.

Communiquer de manière directe et régulière avec le Conseil.

Une communication régulière avec le Conseil aide à assurer l'indépendance et facilite un dialogue
ouvert concernant les questions d'intérêt mutuel. On parle de communication directe lorsque le RAI
assiste et participe régulièrement aux réunions du Conseil portant sur l'audit, le reporting financier, la
gouvernance organisationnelle et les contrôles. Participer à ces réunions donne au RAI l'opportunité
de s'informer sur les questions opérationnelles et commerciales stratégiques, ainsi que d'échanger sur
les plans et activités de la fonction d'audit interne. Le RAI doit se réunir en privé avec le Conseil au
moins une fois par an. La Norme de qualification 1111, « Relation directe avec le Conseil », et la
Modalité pratique d'application 1111-1, « Relation avec le Conseil », proposent des conseils
spécifiques concernant cette communication.

Rendre compte à un membre de la direction générale suffisamment haut placé pour promouvoir
l'indépendance et assurer un large périmètre d'audit.
La personne à qui le RAI rend compte doit être suffisamment haut placé pour assurer l'efficacité de la
fonction d'audit. Par ailleurs, cet individu doit faire preuve du bon état d'esprit sur les sujets du
contrôle et de la gouvernance pour aider le RAI dans son rôle et se montrer suffisamment disponible
et impliqué pour soutenir activement le RAI sur les problèmes d'audit. Enfin, cette personne doit
comprendre et supporter le principe de rattachement fonctionnel.

Rendre compte directement au comité d'audit (ou son équivalent).

La fonction d'audit interne fournit information et assurance au comité d'audit sur les contrôles
internes, la gestion des risques et les processus de gouvernance.
Afin que le RAI puisse maintenir une relation efficace entre le comité d'audit et la fonction d'audit
interne les meilleures pratiques à prendre en compte sont les suivantes :
Communiquer régulièrement au comité d'audit les risques auxquels est confrontée l'organisation
(en veillant à la cohérence de ces communications avec celles envoyées à la direction générale) ;
Aider le comité d'audit à s'assurer que la charte, les activités et les processus du comité sont
appropriés ;
S'assurer que la charte, le rôle et les activités d'audit interne sont bien compris et répondent aux
besoins du comité d'audit et du Conseil ;
Maintenir une communication ouverte et efficace avec le comité d'audit et son président ;
Assurer la formation du comité d'audit sur les risques et les contrôles internes, le cas échéant.

Une communication directe avec le comité d'audit est un autre élément essentiel Des dispositions
doivent être prises pour que le RAI puisse :
Bénéficier d'un accès libre et direct au président comme aux membres du comité d'audit ;
Assister aux réunions de comité d'audit pour présenter un plan d'audit, communiquer les résultats
importants d'audit et les principales constatations et discuter des observations concernant le risque
et les contrôles internes de l'audit interne au sein d'une organisation.
Communiquer avec le président du comité d'audit en dehors des sessions prévues, notamment en
cas de circonstances critiques telles qu'une fraude grave ou tout autre événement de risque majeur.

Pour renforcer davantage l'indépendance et le principe de rattachement fonctionnel, le RAI doit être
autorisé à se réunir en privé avec le comité d'audit ou son équivalent, sans que le management soit
nécessairement présent et diffuser des mémos confidentiels, ou rendre compte uniquement au comité
d'audit.

En définitive, le RAI et les auditeurs internes, le comité d'audit, et le Conseil d'administration sont
tous interdépendants. Ils doivent être accessibles les uns aux autres et se soutenir mutuellement.
Lorsqu’il existe une pleine réciprocité, les auditeurs internes peuvent formuler des opinions
objectives, informer, supporter et sensibiliser le comité d'audit, et le comité d'audit peut ainsi assurer
une supervision appropriée et valider les activités d'audit interne.

Favoriser l'objectivité
Il existe différentes sections au niveau des services que l'activité d'audit interne fournit. Au sein d'une
entreprise, les clients potentiels peuvent être des dirigeants de l'organisation, le Conseil, la direction
des opérations et le comité d'audit.

Bien qu'une organisation souhaite favoriser une synergie stratégique à travers différentes fonctions,
certains clients peuvent avoir différents intérêts. Ainsi, les primes attribuées aux cadres supérieurs
peuvent être liées au résultat net. Les opérations peuvent quant à elles s'attacher aux résultats d'audit
susceptibles d'améliorer les performances opérationnelles Alors que le comité d'audit se préoccupe
principalement des activités de contrôle et de la gestion des risques. Pour compliquer le tout,
l'auditeur interne est employé par le management mais doit aussi évaluer le management. Malgré ces
conflits d'intérêts potentiels, un auditeur interne doit rester objectif (ce qui représente un niveau
intellectuel indépendant) lors de l'exécution des missions.

Politiques en faveur de l'objectivité

Les auditeurs internes ne doivent pas sympathiser ou s'impliquer personnellement ou
professionnellement dans le domaine audité et doivent rester impartiaux lors des missions d'audit. Le
fait d'établir les politiques suivantes peut aider à promouvoir une telle objectivité.
Les auditeurs internes ne doivent pas être responsables des opérations ou d'évaluer l'assurance au
niveau des activités pour lesquelles ils ont exercé une autorité ou étaient responsables au cours de
l'année passée ou de toute période assez longue pour avoir influencé le jugement ou l'opinion des
auditeurs.
Il est nécessaire de mettre en place une politique qui encourage l'auditeur interne à s'engager à
respecter le Code de déontologie, à éviter les conflits d'intérêts et à divulguer toute activité
susceptible d'entraîner un conflit d'intérêts.
Les auditeurs internes ne doivent pas subordonner leur jugement à celui d'autrui sur des questions
liées à l'audit.
Les auditeurs internes doivent exécuter leurs missions en étant sincèrement convaincus de la
légitimité du résultat de leur travail et sans transiger sur la qualité.
Les auditeurs internes ne doivent pas être mis dans des situations dans lesquelles ils ne se sentent
pas en position de rendre des jugements professionnels objectifs.
Les missions du personnel doivent être effectuées dans le but d'éviter le biais et les conflits
d'intérêts potentiels et réels.
Une personne indépendante de la mission doit examiner les résultats de la mission avant que ses
résultats ne soient communiqués.

Évaluation continue de l'objectivité individuelle

Cependant, les politiques judicieuses n'assurent pas forcément une objectivité totale. Une évaluation
permanente peut contribuer à s'assurer que l'objectivité n'a pas été compromise au cours d'une
mission. Lorsque le RAI, ou tout autre personne agissant en qualité de superviseur de l'activité d'audit
interne, s'assure de manière raisonnable que le travail a été effectué objectivement cela est considéré
comme un exemple de bonne pratique et ce dans le but d'évaluer les résultats du travail d'audit interne
avant que les communications relatives aux missions sont diffusées

Par exemple, il faudra envisager des mesures lorsqu'un auditeur qui a été promu à un département
d'opérations effectue un audit interne du dit département. Si le temps et les moyens logistiques le
permettent, ou si on peut légitimement suspecter l'existence d'un conflit d'intérêts ou d'un risque de
partialité, la modalité pratique d'application 1130-1.1 recommande que l'auditeur cesse d'auditer ce
service et que le responsable d'audit interne lui confie une autre mission. Une autre option à
envisager serait de confier les révisions des constatations et conclusions de l'audit à une personne qui
serait indépendante de l'audit.
Préservation de l'objectivité individuelle
Les politiques et les évaluations continues de l'objectivité individuelle aideront l'auditeur interne à
exercer ses fonctions objectivement. Dans le but de maintenir une objectivité individuelle on pourrait
ajouter les meilleures pratiques suivantes.
Le responsable de l'audit interne doit s'entretenir périodiquement avec le personnel d'audit interne
concernant les conflits d'intérêts et les biais potentiels.
Une rotation régulière des missions confiées aux auditeurs internes doit être pratiquée dès que les
conditions le permettent.
Un auditeur interne ne peut accepter une commission, un cadeau ou une invitation de la part d'un
employé, d'un client, d'un fournisseur ou d'un partenaire.

L'objectivité doit être maintenue dans les faits ou même en apparence. Les objets promotionnels de
faible valeur (stylos, calendriers ou échantillons...) accessibles aux employés et au public, ne sont
pas de nature à entraver le jugement professionnel des auditeurs internes. De même, accepter une
invitation à déjeuner ou se laisser payer son déjeuner ne doit pas compromettre l'objectivité d'un
auditeur interne. Pour préserver son objectivité en toutes circonstances, il convient d'opposer ce qui
est « raisonnable » à ce qui pourrait être perçu comme un conflit d'intérêts. Un conflit d'intérêts est
défini comme « toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un
conflit d'intérêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et
responsabilités » (glossaire de Normes).

Identification et atténuation des obstacles à l'indépendance

et à l'objectivité
Plusieurs facteurs, qu'ils soient intentionnels ou non, peuvent nuire à l'indépendance et à l'objectivité.
Suivant le glossaire des Normes, « Parmi les atteintes à l'indépendance et à l'objectivité individuelle
d'une organisation peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'audit,
des restrictions d'accès aux dossiers, aux personnes et aux biens ainsi que les limitations des
ressources (limitations financières) ».

Certaines mesures peuvent aider à limiter cette atteinte et préserver l'indépendance de l'auditeur ou
résulter en compromis d'intérêts qui influencent le jugement ou les opinions d'un auditeur. Les
auditeurs internes doivent immédiatement signaler à leurs superviseurs toute proposition de
commission ou de cadeau d'une valeur significative.

La démarche suivante fortement recommandée est issue de la Modalité pratique d'application 1130-1,
« Atteinte à l'indépendance et à l'objectivité » :
Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle ou potentielle, susceptible d’altérer leur
indépendance ou leur objectivité, ou le consulter s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit
interne constate l’existence d’une atteinte réelle ou supposée, il doit alors réaffecter les auditeurs concernés.

Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de réaliser ses objectifs et son
planning. Entre autres, une limitation du champ d'intervention peut restreindre :
Le domaine d’intervention défini dans la charte d’audit interne ;
 L’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des missions ;
Le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ;
La performance des procédures nécessaires de missions;
Les prévisions d'effectifs et le budget financier approuvés;

S'il existe une limitation du champ d'intervention, et tout effet potentiel associé, cela doit être communiqué au Conseil, de préférence
par écrit. Le responsable de l'audit interne juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette
instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein
de l’organisation, du Conseil ou de la direction générale.

Rubrique 3 : Définir la disponibilité des

connaissances, du savoir faire et des compétences
nécessaires (Niveau P)
Les activités d'audit interne doivent être menées avec compétence et conscience professionnelle. Les
compétences, connaissances et aptitudes de l'auditeur interne constituent un élément essentiel pour
déterminer si les résultats d'audit apportent une valeur ajoutée et pour mettre en œuvre le plan d'audit.

Les missions d'audit interne peuvent être dotées de différentes façons pour aider à assurer que les
audits sont effectués par des personnes possédant les connaissances, savoir faire et autres
compétences requises :

Audits en interne Établir une équipe d'audit spécialisée possédant les ressources nécessaires.

Externalisation totale Confier la totalité de l'activité d'audit interne à un prestataire externe, en

général de manière permanente. (Il convient de noter que l'IIA estime que l'activité d'audit interne
ne doit jamais être entièrement externalisée mais devrait être gérée à partir de l'organisation, de
préférence par un RAI.)

Cosourçage Le personnel interne associé à une sous-traitance externe au niveau de laquelle un

fournisseur externe soutient le RAI et apporte à l'équipe d'audit spécialisée les compétences
spécialisées complémentaires qui pourraient s'avérer trop coûteuses en interne; on considère cela
comme un engagement conjoint qui peut être continu ou mis à profit au cours de missions
spécifiques.

Sous-traitance (ou personnel supplémentaire). Demander à une personne en particulier

d'effectuer une mission ou une partie spécifique de certaines missions, généralement pendant une
période déterminée; le personnel d'audit en interne supervise généralement la gestion de la
mission.

Détachement Les « auditeurs invités » sont des employés travaillant dans un autre service de
l'organisation et à qui on a fait appel pour qu'ils rejoignent l'activité d'audit pendant une période
déterminée, généralement de un à 24 mois.
Quelle que soit la méthode de dotation utilisée, les standards de performance d'audit ne doivent pas
être compromis. Le RAI doit s'assurer que les auditeurs auxquels est confiée une activité d'audit
interne possèdent les aptitudes requises pour exécuter leur mission de conseil ou d'assurance de
manière compétente, indépendante et objective. Le RAI devrait demander l'assistance dont il a besoin
ou même envisager de refuser une mission si le personnel ou les compétences requises pour la
mission ne sont pas disponibles.

Normes associées et Modalités pratiques d'application

Les Normes et Modalités pratiques d'application relatives aux connaissances, savoir faire et
compétences (maîtrise) requises sont répertoriées dans l'illustration I-10.

Illustration I-10 : Normes de Compétence et Modalités pratiques d'application

Connaissances, compétences et aptitudes requises chez

l'auditeur interne
L’audit interne doit collectivement posséder les connaissances, le savoir-faire et les compétences
nécessaires.

La connaissance représente l'ensemble des informations nécessaires pour pouvoir mener à bien
l'activité d'audit interne.

Exemples : Les connaissances requises pour effectuer des audits techniques tels que des enquêtes pour fraude ou participer aux
activités de Cycle de développement des systèmes (SDLC, « systems development life cycle »); la connaissance des éléments de
l'audit interne (comme expliqué dans la partie 3 du système d'apprentissage).

Le savoir-faire représente le niveau de compétence nécessaire pour pouvoir mener à bien

l'activité d'audit interne.

Exemple : Les compétences linguistiques ou les compétences de communication.

Les compétences représentent les connaissances collectives, les compétences, les aptitudes et les
qualités personnelles qui peuvent conduire à des performances exceptionnelles.

Exemples : Utiliser ses connaissances professionnelles en termes de processus d'entreprise, de connaissance des risques et des
indicateurs de fraude et les compétences nécessaires à la conduite d'une enquête et les compétences interpersonnelles afin d'évaluer
si quelqu'un ment.

Les compétences sont plus que des connaissances, savoir faire et expérience de base liées à un
métier. Il s'agit d'attitudes développées au fil du temps et qui correspondent à un ensemble de
capacités, traits de caractère et connaissances indispensables à la réussite. Les aptitudes sont propres
à l'employé ; il peut les appliquer d'une mission d'audit à une autre, d'un poste à un autre, voire d'un
employeur à un autre.

Distinctions entre les niveaux compétence, compréhension et

appréciation
Les qualifications des auditeurs internes exigent différents niveaux de compétence.

La Modalité pratique d'application 1210-1 établit les distinctions entre les termes suivants :
compétences, compréhension et appréciation. Les exemples suivants illustrent les différences entre
ces termes.

Compétence : la capacité à appliquer les connaissances pour faire face à toutes situations
possibles afin de pouvoir les traiter de manière appropriée sans avoir recours à la recherche et à
l'assistance technique.

Exemple : Un auditeur interne est compétent de manière indépendante dans le cadre de situations uniques et complexes liées à des
concepts de fraude. Les compétences permettent de réunir les preuves nécessaires et d'évaluer la fonctionnalité d'un contrôle.

Cette compréhension implique une capacité à appliquer des connaissances générales aux
 situations susceptibles d’être rencontrées au cours des audits, de détecter les écarts significatifs et
d’être capable de procéder aux recherches nécessaires pour aboutir à des solutions raisonnables ;

Exemple : Un auditeur interne suit une formation pour apprendre les méthodes de détection et comment reconnaître les signaux
d'alerte de fraude. Sous la supervision et avec l'aide d'autres personnes, il identifie les signaux d'alerte en matière de fraude
potentielle au cours d'une enquête pour fraude.

L'appréciation implique la capacité à reconnaître l'existence de problèmes réels ou potentiels et

identifier les recherches complémentaires à entreprendre ou l'assistance dont on aura besoin.

Exemple : un nouvel auditeur interne, qui vient de rejoindre l'équipe et connaît très bien l'approche rigoureuse utilisée par l'activité
d'audit interne pour réaliser des audits, reconnaît les signaux d'alerte indicateurs d'une fraude potentielle alors qu'il exécute une
mission.

Les connaissances, le savoir-faire et les autres compétences qu'un auditeur interne doit avoir
comprennent :
La maîtrise des normes, procédures et techniques d'audit interne nécessaires à l'exécution de
missions ;
La maîtrise des principes et techniques comptables (pour les auditeurs travaillant de manière
intensive sur les registres et rapports financiers) ;
Une bonne compréhension des principes de gestion et des bonnes pratiques commerciales, de
manière à savoir reconnaître et évaluer les écarts ;
De bonnes notions dans des domaines clés tels que la comptabilité, l'économie, le droit
commercial, la fiscalité, la finance, les méthodes quantitatives et les technologies de l'information,
selon la nature de l'organisation.

Les auditeurs internes doivent également avoir une compréhension des relations humaines et pouvoir
communiquer et traiter avec les clients de mission. Du reste, les compétences de communication
orales et écrites sont nécessaires pour que l'auditeur interne puisse transmettre clairement et
efficacement les informations relatives aux objectifs de la mission, aux évaluations, aux conclusions
et aux recommandations. La norme de fonctionnement 2420, « Qualité des communications », stipule
que « les communications doivent être précises, objectives, claires, concises, constructives,
complètes et opportunes. » Son interprétation nous permet de dégager les points suivants :

Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sousjacents. Une
communication objective est juste, impartiale, non biaisée et résulte d’une évaluation équitable et mesurée de tous les faits et
circonstances pertinents. Une communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un
langage excessivement technique et fournit toute l’information significative et pertinente. Une communication concise va
droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une
communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une
communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information significative et
pertinente, ainsi que les observations permettant d’étayer les recommandations et conclusions. Une communication émise en
temps utile est opportune et à propos, elle permet au management de prendre les actions correctives appropriées en fonction
du caractère significatif de la problématique.

Parmi les autres compétences essentielles peuvent figurer une connaissance approfondie du secteur
d'activité de l'organisation, des normes de l'audit interne et des meilleures pratiques; une
connaissance et une expertise techniques; les connaissances et le savoir-faire de la mise en œuvre et
l'amélioration des processus financiers et opérationnels.

Un groupe de travail constitué de bénévoles de l'IIA, d'agents de l'institut national de l'éducation et

d'anciens auteurs de la CFIA (Competency Framework for Internal Auditors, 1999) ont mis au point
un cadre global de compétences à destination des professionnels de l'audit interne. Bien qu'il s'agisse
d'un modèle de travail qui évolue et progresse au fil du temps, celui-ci est consultable en ligne à
l'adresse suivante : www.theiia.org/guidance/ additional-resources/competency-framework-for-
internal-auditors/. Vous pourrez consulter quatre catégories de compétences différentes pour
identifier les effectifs spécifiques ainsi que leurs niveaux de compétence spécialisée par rapport à
des domaines spécifiques à partir des liens que vous trouverez à l'illustration I-11.

Illustration I-11 : Liens relatifs à la compétence pour les effectifs spécifiques et les domaines spécifiques

Ces catégories délimitent des aptitudes pertinentes, chacune avec un niveau de maîtrise défini :
1 = Simple sensibilisation.
2 = Aptitudes et connaissances de base utilisées avec l'aide d'autres personnes.
3 = Compétent de manière autonome dans des situations habituelles.
4 = Compétent de manière autonome dans des situations uniques et complexes.

La certification professionnelle (comme la certification CIA de l'IIA) est une preuve supplémentaire
de compétence et de professionnalisme. Vous trouverez plus de détails sur cette certification à la
Rubrique 6 de cette section.

Connaissances, savoir faire et compétences requis pour

l'activité d'audit interne
Le succès d'une activité d'audit interne dépend de la performance des auditeurs internes. Le RAI est
chargé de déterminer les niveaux de formation et d'expérience requis associés aux postes d'audit
interne en fonction du périmètre d'action et du niveau de responsabilité.
Le terme « Dotation » est généralement utilisé pour décrire le processus d'identification des besoins
en ressources humaines pour la fonction d'audit interne et les activités d'audit interne par rapport au
recrutement, la sélection et le déploiement des ressources de talents afin de répondre à ces exigences.
Dans les grandes organisations, le RAI peut bénéficier de l'aide de la direction des ressources
humaines pour répondre aux besoins en personnel de la fonction d'audit interne. Dans les
organisations de taille plus réduite, le RAI assume souvent davantage de responsabilités liées à la
gestion du personnel.

Théoriquement, la dotation, l'approvisionnement, le recrutement, la sélection et le maintien du

personnel s'effectue dans un ordre linéaire de sorte que chaque processus commence après que le
précédent est terminé. Dans la réalité cependant, ces processus se chevauchent ; il s'agit d'activités
interdépendantes qui n'ont pas vraiment de fin. Dès qu'un processus de termine on voit apparaitre de
nouveaux besoins organisationnels qui exigent que l'activité d'audit interne examine les besoins en
talents pour s'assurer que les bonnes personnes sont au bon poste au bon moment.

Toutes ces activités de gestion du personnel doivent tendre vers un même objectif : faire en sorte que
le personnel d'audit interne dans son ensemble possède les connaissances et les compétences
essentielles à l'exercice de la profession au sein de l'organisation.

Une analyse annuelle des connaissances et des compétences d'un service d'audit doit être effectuée
pour aider à identifier le champ d'opportunités qui peut être traité par une formation professionnelle
continue, le recrutement ou le co-sourcing. L'illustration I-12 décrit un outil d'évaluation de la
compétence professionnelle du personnel. L'outil est aligné sur les Normes.

Illustration I-12 : Évaluation de la compétence professionnelle du personnel

Rubrique 4 : Développer et / ou acquérir les
connaissances, le savoir-faire et les compétences
nécessaires généralement requis par l'activité
d'audit interne (Niveau P)
Le cosourçage et l'externalisation sont nécessaires lorsque des compétences uniques ou spécialisées
ne sont pas disponibles au sein d'une organisation pour pouvoir mener à bien l'activité d'audit interne.
Il incombe au RAI d'obtenir assistance d'un service externe pour prendre en charge ou compléter les
domaines où l'activité ne fonctionne pas de manière efficace. La Modalité pratique
d'application 1210.A1-1, « Recours à des prestataires externes apporter un soutien à l'activité d'audit
interne » stipule que « un prestataire externe est une personne ou une entité indépendante de
l’organisation qui possède des connaissances, un savoir-faire et une expérience particuliers dans une
discipline donnée. Les prestataires externes incluent notamment les actuaires, les experts comptables,
les conseils en évaluation, les personnes qui ont une expertise à propos de certaines cultures ou
langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, les avocats, les
ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistes des technologies
de l’information, les auditeurs externes de l’organisation et les autres cabinets d’audit. Ils peuvent
être mandatés par le Conseil, la direction générale ou le responsable de l'audit interne. Ils peuvent
être mandatés par le Conseil, la direction générale ou le responsable de l'audit interne ».

Le fait de planifier ou d'accepter des missions qui ne peuvent être effectuées que par une personne
compétente est susceptible de rendre l'organisation vulnérable et de la juger inadéquate au niveau de
l'efficacité de la gestion du risque et des processus de contrôle et de gouvernance. De plus, le fait
d'accepter ces missions n'est pas conforme au Code de déontologie ou à la Norme de qualification
1210, « Compétence ». La réputation de la fonction d'audit interne peut également s'en trouver
affaiblie.

Normes associées et Modalités pratiques d'application

Vous trouverez à l'illustration I-13 les Normes et Modalités pratiques d'application concernant le
développement et l'acquisition des connaissances, le savoir faire et les compétences.

Illustration I-13 : Développement/acquisition des connaissances, Normes et Modalités pratiques d'application de

compétences et de savoir-faire.
Pourquoi recourir au cosourçage ou à l'externalisation ?
En général, le cosourçage et l'externalisation permettent à une organisation de tirer profit de
l'expérience d'individus ou de sociétés. Dans le cadre d'audit interne, il est important de distinguer
ces deux termes pour identifier le degré de sous-traitance d'audit interne. Le cosourçage représente un
arrangement entre un prestataire externe qui supplémente la fonction d'audit interne; une société
extérieure est payée pour gérer la fonction d'audit interne.

Vous trouverez à l'illustration I-14 les divers avantages et inconvénients du cosourçage et de

l'externalisation pour l'activité d'audit interne.

Illustration I-14 : Avantages et Inconvénients du cosourçage ou de l'externalisation

Les responsabilités du RAI envers les prestataires externes
de services
Le RAI joue un rôle important lorsqu'il s'agit de collaborer avec un prestataire de services extérieur.
La modalité pratique d'application 1210.A1-1 apporte les précisions suivantes.

Le RAI détermine si le prestataire extérieur de services possède les connaissances, les compétences et autres aptitudes nécessaires à
l'exécution de la mission en s'appuyant sur les éléments suivants :
Les certifications professionnelles, les licences ou autres reconnaissances des compétences du prestataire extérieur de services
dans la discipline concernée.
L'appartenance du prestataire extérieur de services à une organisation professionnelle appropriée et le respect du code de
déontologie de cette organisation.
La réputation du prestataire externe de services. La prise en compte de cet élément peut impliquer la consultation de tiers faisant
habituellement appel aux travaux du prestataire ;
L'expérience du prestataire extérieur de services concernant le type de travail considéré.
Le niveau de formation reçu par le prestataire extérieur de services dans les disciplines liées à la mission en question.
Les connaissances et l'expérience du prestataire extérieur de services dans le secteur d'activité de l'organisation.

Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe, l’organisation et son service d’audit
interne, et s’assurer que l’indépendance et l’objectivité du prestataire externe seront garanties tout au long de la mission. Pour
procéder à cet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le
prestataire externe de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de l’émission
de ses rapports.

Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de la mission du prestataire externe, de façon
à pouvoir vérifier que ses travaux répondent aux objectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la
mission et divers autres points dans une lettre de mission ou dans un contrat. Pour cela, le RAI doit examiner les données suivantes
avec le prestataire externe de services :
Les objectifs et le périmètre d'action, y compris les éléments livrables et les échéances.
Les points précis à aborder dans les rapports d'audit.
L'accès aux dossiers, au personnel et aux propriétés matérielles concernés.
Les hypothèses et procédures à utiliser.
 La propriété et la détention des papiers de travail de la mission, le cas échéant.
La confidentialité et les restrictions portant sur les informations obtenues au cours de la mission.
Le cas échéant, il faut se conformer aux Normes, et aux normes de l'activité d'audit interne dans le cadre des pratiques de travail.

Ces points et autres remarques importantes sont clairement expliqués dans la lettre ou le contrat de
mission. Le cas échéant, la conformité aux Normes de l'IIA et aux normes du département d'audit dans
le cadre des pratiques de travail devra être référencée dans la lettre de mission.

Considérations particulières concernant la détection de ou

l'enquête pour fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont souvent utilisés. Comme
indiqué dans la norme de mise en œuvre 1210.A2 (Missions d'assurance), « Les auditeurs internes
doivent disposer de connaissances suffisantes pour évaluer le risque de fraude et la manière dont il
est géré par l'organisation, mais ils ne sont pas censés détenir l'expertise d'une personne dont la
principale responsabilité est de détecter les fraudes et d'enquêter sur elles ».

La fraude est définie et analysée dans la Section II de ce module, Chapitre D, « Sensibilisation au

risque de fraude ». Vous trouverez plus d'informations dans l'ouvrage « Managing the Business Risk
of Fraud, A Practical Guide », disponible sur le site Web de l'IIA.

Considérations particulières concernant la technologie de

l'information
Les technologies de l’information sont un domaine dans lequel les services d'experts extérieurs sont
souvent utilisés. Cependant, tous les auditeurs internes doivent posséder une certaine compréhension
des technologies de l'information. L'IIA fournit des conseils sur les technologies de l'information

grâce aux guides pratiques suivants : Guide to the Assessment of IT Risk (GAIT) et le Global
Technology Audit Guide® (GTAG®).

Comme indiqué dans la norme de mise en œuvre 1210.A3 (Missions d'assurance), « Les auditeurs
internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux
technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en
œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont
pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique.

Rubrique 5 : Remplir ses fonctions avec

professionnalisme (Niveau P)
La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendre d’un
auditeur interne raisonnablement prudent et compétent. On attend des auditeurs internes qu'ils agissent
de manière responsable dans toutes les situations professionnelles. Il convient notamment de savoir
prendre les mesures appropriées dans des situations délicates, enquêter sur les activités douteuses
plutôt que de les ignorer, par exemple.

Le professionnalisme est en jeu lorsque les audits internes sont menés en accord avec les Normes.

Normes associées et Modalités pratiques d'application

Les Normes et Modalités pratiques d'application relatives à la conscience professionnelle sont
répertoriées dans l'illustration I-15.

Illustration I-15 : Normes de conscience professionnelle et Modalités pratiques d'application (suite page suivante)
Implications de la notion de professionnalisme
Durant un audit interne la notion de professionnalisme exige que :
Les auditeurs internes doivent être indépendants des activités qu'ils auditent.
Les audits internes doivent être réalisés par des individus qui, ensemble, possèdent les
connaissances, compétences et domaines d'expertise nécessaires à un audit efficace et objectif.
Le travail d'audit doit être planifié et supervisé.
Les rapports d'audit doivent être objectifs, clairs, concis, constructifs et délivrés au moment
opportun.
Les auditeurs internes doivent effectuer un suivi des résultats d'audit communiqués dans les
rapports pour s'assurer que les mesures appropriées ont été prises.

Comme indiqué dans la norme 1220, « Conscience professionnelle », « Les auditeurs internes doivent
apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne
raisonnablement averti et compétent ». La conscience professionnelle n'implique pas l'infaillibilité.
La modalité pratique d'application associée « Conscience professionnelle », déclare : « La notion de
conscience professionnelle implique un soin et un niveau de compétence raisonnables, pas une
infaillibilité ni des performances extraordinaires. Cela signifie que l’auditeur interne procède à des
vérifications et des contrôles raisonnablement approfondis. En conséquence, l’auditeur interne ne
peut donner une assurance absolue qu’il n’existe aucune anomalie ou irrégularité. Cela signifie que
l’auditeur interne procède à des vérifications et des contrôles raisonnablement approfondis.
Néanmoins, la possibilité d’irrégularités ou de non conformités importantes devra toujours être
envisagée lorsque l’auditeur interne entreprend une mission ».
Un auditeur interne exerçant son métier avec professionnalisme doit :
Faire preuve du soin et de la compétence attendus d'un auditeur interne raisonnablement prudent et
compétent dans des circonstances identiques ou similaires, en s'adaptant au niveau de complexité
de la mission en cours d'exécution ;
Porter une attention particulière aux fautes intentionnelles, erreurs et omissions, inefficacité, perte
et conflits d'intérêts possibles.
Porter une attention particulière aux conditions et activités les plus vulnérables aux irrégularités ;
Identifier les contrôles inadéquats et recommander des améliorations pour promouvoir le respect
des procédures et pratiques acceptables.

Conscience professionnelle dans le cadre des missions d'assurance

Que représente le professionnalisme dans le cadre de missions d'assurance ? L'un des facteurs
principaux n'est autre que le volume de travail nécessaire pour atteindre les objectifs de la mission.
Les objectifs de la mission sont des « énoncés généraux élaborés par les auditeurs internes et
définissent ce qu'il est prévu de réaliser pendant la mission » (Glossaire des Normes).

La nature des processus en cours d'évaluation est également importante. Ainsi, évaluer l'adéquation et
l'efficacité des processus de contrôle, gestion des risques et gouvernance est au cœur de la notion de
professionnalisme lors d'une mission.

Pour remplir ses fonctions avec professionnalisme lors de missions d'assurance, les auditeurs doivent
considérer la probabilité d'erreurs, d'irrégularités ou de non-conformité ainsi que le coût de
l'assurance par rapport aux bénéfices potentiels.

Les deux Normes de mise en œuvre qui se réfèrent spécifiquement à ce concept -1220.A2 et 1220.A3
- sont décrites ci-dessus à l'illustration 1-15.

Voici quelques exemples de règles de professionnalisme pour les missions d'assurance :

Une connaissance fonctionnelle des Normes de l'IIA.
Une compréhension du cadre de contrôle interne du Committee of Sponsoring Organizations of the
Treadway Commission (COSO) (ce point sera examiné dans la Section II).
La connaissance des objectifs et stratégies organisationnels.
La connaissance de l'approche systématique et rigoureuse de l'activité d'audit interne concernant
l'évaluation des processus organisationnels de contrôle, gestion des risques et gouvernance.

Voici quelques contre-exemples de professionnalisme :

Ne pas reconnaître un indice de fraude (signal d'alerte), le fait qu'un employé ne prenne jamais de
vacances, par exemple.
Effectuer un audit interne de chaque département au sein d'une organisation, tous les trois ans, sans
tenir compte des risques ou de l'importance du département.
Prendre en compte les responsabilités confiées aux auditeurs externes pendant l'exécution d'un
 audit interne du service de trésorerie.

Conscience professionnelle dans le cadre des missions de conseil

Les observations qui sont à la base de la conscience professionnelle lors de missions d'assurance
s'appliquent aussi aux missions de conseil (la complexité relative et l'étendue du travail nécessaire
pour atteindre les objectifs de la mission, et les coûts associés aux bénéfices potentiels). Les besoins
et les attentes des clients sont de la plus haute importance.

En ce qui concerne le professionnalisme dans le cadre des missions de conseils, l'audit interne doit
prendre en compte :
Les besoins des représentants de la direction, y compris la nature, le calendrier et la
communication des résultats de la mission ;
Les motivations et raisons possibles des personnes à l'origine de cette demande ;
Le volume de travail nécessaire pour atteindre les objectifs de la mission ;
Les compétences et ressources nécessaires pour mener la mission ;
Les effets sur le périmètre du plan d'audit approuvé par le comité d'audit ;
L'impact potentiel sur les futures missions d'audit ;
Les avantages organisationnels qui peuvent être tirés de la mission.

Voici quelques exemples de règles de professionnalisme pour les missions de conseil :

Une connaissance fonctionnelle des Normes de l'IIA.
La compréhension des objectifs organisationnels liés à la mission de conseil.
L'émission de commentaires objectifs sur le processus ou l'activité proposé.

Exécuter une mission en l'absence de connaissance ou d'expérience du sujet et sans supervision est un
exemple de non-professionnalisme.

Rubrique 6 : Promotion de la formation

professionnelle continue (Niveau P)
La formation professionnelle continue est le moyen par lequel les membres d'une profession
maintiennent, améliorent, et élargissent leurs connaissances, savoir-faire, et expérience exigés dans
leur vie professionnelle.

Norme correspondante et Modalité pratique d'application

Vous retrouverez la Norme et la Modalité pratique d'application relatives à la formation
professionnelle continue pour les auditeurs internes à l'illustration I-16.

Illustration I-16 : Norme de formation professionnelle continue et Modalité pratique d'application

Plan de formation professionnelle continue des auditeurs
internes
La profession d'audit interne est en constante évolution. C'est pourquoi les meilleures pratiques
encouragent les organisations à promouvoir le perfectionnement professionnel et la certification des
auditeurs internes. La Modalité pratique d'application 1230-1, « Formation professionnelle continue
», réaffirme ce point et stipule : « Les auditeurs internes doivent améliorer leurs connaissances au
moyen d'une formation professionnelle continue. Les auditeurs internes doivent être tenus informés
des progrès et des développements en cours au niveau des normes d'audit interne, des procédures, et
techniques y compris le Cadre des pratiques professionnelles internationales de l'IIA ».

Ce qui permet de développer et de renforcer les compétences d'un auditeur permet aussi
d'approfondir les connaissances. On peut citer par exemple une formation spécialisée dans les
processus d'entreprise, les techniques d'audit, les compétences interpersonnelles, les compétences de
communication et dans tout autre domaine connexe.

Renforcement des compétences individuelles grâce à la

formation professionnelle continue
Il existe plusieurs moyens de se perfectionner sur le plan professionnel :
Les missions professionnelles.
Le mentorat.
Le réseautage.
La formation (acquisition et approfondissement de connaissances et compétences grâce à des
sources internes ou externes).
La participation à des projets de recherche.
L'intelligence collective issue de l'analyse et de la synthétisation des informations, etc.
Les études (cours universitaires...).
Les conférences.
L'appartenance et la participation à des organismes professionnels.
Les certifications et leur renouvellement.

Plusieurs facteurs influencent la façon dont les individus apprennent au fil du temps. Une grande
organisation disposera plus facilement des ressources, des installations et du budget nécessaires pour
proposer des formations en interne. D'autres organisations choisiront d'indemniser les employés pour
leur participation à des programmes externes. Chaque individu peut développer une préférence pour
un mode d'apprentissage particulier (autoformation, séminaires, formations en ligne...). Celui qui
revient constamment est la nécessité d'un apprentissage continu de l'audit interne.

Supports de formation de l'IIA

L'IIA est reconnu comme institution de formation au premier rang de la profession et leader dans le
développement professionnel. L'accès à de nombreuses ressources de formation (telles que le présent
document) aide les professionnels de l'audit interne à répondre aux attentes de leurs employeurs et à
excéder les normes de performance. Toutes sortes d'opportunités existent, pour les auditeurs internes
débutants ou expérimentés comme pour les membres d'autres professions liées.

L'illustration I-17 résume ces offres de formation et d'éducation.

Illustration I-17 : Les offres de formation et d'éducation de l'IIA

Pour plus d'informations spécifiques concernant les possibilités de formation et d'apprentissage de

l'IIA, vous pouvez visiter le site web de l'IIA www.theiia.org.

Importance des certifications et de leur renouvellement

Un excellent moyen de se perfectionner pour les auditeurs internes consiste à obtenir les
certifications professionnelles appropriées. La certification permet de mesurer systématiquement
certaines caractéristiques telles que l'éducation et l'expérience pour qu'un individu soit reconnu
comme ayant les connaissances et autres exigences minimum requises pour un poste ou un emploi
spécifique.

Il est possible d'obtenir une certification suivant les résultats obtenus dans les disciplines suivantes.
Sortir diplômé d'un programme de formation agréé ou approuvé.
Détenir un type ou une durée d'expérience professionnelle spécifié.
Obtenir des résultats satisfaisants à un examen d'aptitude.

La certification d'auditeur interne certifié (CIA®, « Certified Internal Auditor® ») symbolise la

compétence, la réussite et l'engagement dans le cadre de la profession d'audit interne. L'IIA offre
également des certifications spécialisées :
Certification en auto-évaluation des contrôles (CCSA, Certification in Control Self-Assessment)
Professionnel de l'audit certifié du secteur public (CGAP, Certified Government Auditing
Professional)
Auditeur de services financiers certifié (CFSA, Certified Financial Services Auditor)
Certification en assurance de gestion des risques (CRMA, Certification in Risk Management
Assurance)

Pour plus d'informations spécifiques sur les programmes de certification de l'IIA, veuillez consulter
le site web de l'IIA www.theiia.org.

Certaines certifications professionnelles d'audit interne devraient considérer l'inclusion d'autres

certifications et titres professionnels de comptabilité spécialisés tels que les programmes
environnementaux, la technologie de l'information, et l'ingénierie. Ci-dessous vous trouverez
différents exemples de titres connexes :
Canada—Certified Financial Consultant (CFC), Institute of Financial Consultants
Inde—Chartered Accountant (CA), The Institute of Chartered Accountants of India
Japon—Certified Public Accountant (CPA), The Japanese Institute of Certified Public
Accountants
Pays-Bas—Register Operational Auditor (RO), Nederlands Instituut van Register Operational
Auditor
États-Unis—Certified Treasury Professional (CTP), Association of Financial Professionals

La plupart des programmes de certification exigent que les titulaires d'une certification font preuve
d'une compétence continue. Le terme
« recertification » est utilisé pour décrire les politiques qui exigent une preuve de conformité
continue à certains critères. Pour maintenir la validité de leurs accréditations, les individus certifiés
doivent se soumettre à des processus d'évaluation pour prouver qu'ils détiennent toujours certaines
compétences. En général, le recertification exige qu'une formation professionnelle continue (CPE,
continuing professional education) soit suivie une fois par an ou tous les cinq ans. Les RAI doivent
suivre au moins 40 heures de formation par an pour satisfaire aux exigences CPE et conserver leur
certification.

Dans quels cas les auditeurs internes doivent-ils envisager la certification et le processus de
recertification ? Les principaux avantages sont les suivants :
Elles attestent la maîtrise d'un ensemble de connaissances défini.
Elles renforcent la crédibilité et le prestige professionnels.
Elles confirment la maîtrise des normes de pratique professionnelle.
Elles facilitent le perfectionnement professionnel.
Elles permettent de rester informé des dernières nouveautés d'un domaine d'exercice.

Rubrique 7 : Assurance et amélioration qualité de

l'activité d'audit interne (Niveau P)
Les organisations sont en constante évolution. Les opérations sont constamment améliorées et les
processus internes évoluent en permanence. Au fur et à mesure qu'une organisation évolue, les
services d'audit doivent évoluer au même rythme. Comment l'auditeur interne peut-il gérer les besoins
d'un management en constante évolution et toujours s'assurer que l'activité d'audit produise les
meilleurs résultats ? Pour assurer la qualité constante des activités d'audit interne, la fonction d'audit
interne exige d'avoir en place un programme d'assurance et d'amélioration qualité (QAIP).

Un département d'audit interne entièrement sous-traité doit aussi avoir un QAIP, indépendamment de
si le fournisseur externe en a mis un en place dans le cadre de ses propres activités. Par exemple,
PricewaterhouseCoopers a mis en place un QAIP pour ses activités annuelles, mais chacun de ses
clients (par exemple, « entreprise XYZ ») doit également mettre en place un programme.

La norme 2070, « Responsabilité de l’organisation en cas de recours à un prestataire externe pour ses
activités d’audit interne », stipule « Lorsque l’activité d’audit interne est réalisée par un prestataire
de service externe, ce dernier doit alerter l’organisation qu’elle reste responsable du maintien d’un
audit interne efficace ». Selon l'interprétation, « Cette responsabilité est démontrée par le
programme d’assurance et d’amélioration qualité, lequel évalue la conformité avec la Définition
de l’audit interne, le Code de déontologie et les Normes ».

Normes associées et Modalités pratiques d'application /

Guides pratiques
Les Normes, Modalités pratiques d'application et Guides pratiques relatifs à l'assurance et l'
amélioration qualité de l'activité d'audit interne, sont listées à l'illustration I-18.

Illustration I-18 : Assurance et amélioration qualité de l'activité d'audit Normes d'activité et Modalités pratiques
d'application / Guides pratiques
Établissement et mise en œuvre d'un programme
d'assurance et d'amélioration qualité
La norme de qualification 1322 stipule que « le responsable de l'audit interne doit élaborer et tenir à
jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne
» L'interprétation de la norme indique que : « Un programme d'assurance et d'amélioration qualité
est conçu de façon à évaluer la conformité de l’audit interne avec la Définition de l’audit interne,
les Normes et d'évaluer le respect du Code de Déontologie par les auditeurs internes. Ce
programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes possibilités d’amélioration ».

La Modalité pratique d'application 1300-1, « Programme d'assurance et d'amélioration qualité » stipule ce qui suit :

Le responsable de l'audit interne s’assure de la mise en œuvre de processus permettant de donner aux diverses parties prenantes de
l’audit interne l’assurance raisonnable que ce service :
Exerce en accord avec la charte d'audit interne qui elle est cohérente avec la Définition d'audit interne, le Code de déontologie et
les Normes.
Opère de manière efficace et efficiente.
Contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à améliorer le fonctionnement de l’organisation.

Parmi ces processus peuvent figurer une supervision appropriée, des évaluations périodiques internes, un contrôle continu de la qualité
d'assurance, et des évaluations périodiques externes.

Éléments-clés d'un QAIP

Les éléments du QAIP vont du développement de politiques ou procédures aux fonctions
d'enregistrement pour les activés de missions d'audit interne.

L'illustration I-19 à la page suivante donne un exemple d'évaluations de la qualité au niveau interne et
externe.

Selon l'interprétation de la norme 1311 « Évaluations internes » :

La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité d’audit
interne. La surveillance continue est intégrée dans les procédures et les pratiques courantes de gestion du service d’audit
interne. Ce contrôle utilise les processus, les outils et les informations nécessaires à l’évaluation du service d’audit interne
en termes de conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes.

Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit interne à la définition
de l’audit interne, au Code de Déontologie et aux Normes.

Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de l’ensemble des éléments
du cadre de référence international des pratiques professionnelles

Illustration I-19 : QAIP, Évaluations Internes et Externes

Les auditeurs internes doivent consulter les Normes associées et les Modalités pratiques
d'application pour ce genre d’évaluation QAIP. Voici un résumé des éléments importants.

Évaluations internes
Le RAI met en place des évaluations internes continues pour évaluer régulièrement et
individuellement les pratiques et politiques des procédures d'audit. Le type et le nombre
d'évaluations varient en fonction de la nature de l'organisation. Des processus et des outils
spécifiques doivent être définis pour chaque organisation. Les conclusions doivent être développées
régulièrement, et des mesures adéquates doivent être prises pour améliorer la qualité des activités
continues d'audit.

Les évaluations périodiques représentent un autre aspect important du processus d'évaluation interne.
Elles s'apparentent davantage à une méthode d'auto-évaluation programmée visant à déterminer si les
actions appropriées sont entreprises et si des changements nécessitent d'être apportés aux pratiques et
procédures d'audit interne afin d'améliorer la qualité des programmes. Ce procédé périodique d'auto-
évaluation est aussi utilisé par d'autres organisations pour qu'elles puissent effectuer leur propre
évaluation conformément aux Normes. Ce type de révision leur permet de mener leur propre
évaluation avant toute évaluation externe de la qualité.

Périmètre des évaluations internes

Ces évaluations doivent inclure :
Une supervision constante et des tests courants des performances du travail d'audit et de conseil ;
Des évaluations et analyses permanents des mesures de performance (par exemple, la réalisation du plan d'audit, la durée du cycle,
les recommandations acceptées et la satisfaction client).
Des validations périodiques de la conformité aux lois, règlements et normes gouvernementales ou industrielles en vigueur ;
Des validations périodiques de conformité aux Normes et au Code de déontologie y compris les actions correctrices en temps
opportun pour remédier aux cas importants de non-conformité.
Une évaluation de la pertinence de la charte, des objectifs, des politiques et des procédures de l'activité d'audit interne ;
Une évaluation de la contribution aux processus de contrôle, gouvernance et gestion des risques de l'organisation ;
Une évaluation de l'efficacité des activités d'amélioration continue et de l'adoption des meilleures pratiques ;
Si l'activité d'audit apporte de la valeur, améliore les opérations et aide l'organisation à atteindre ses objectifs.

Mesures de la qualité
La modalité pratique d'application 1311-1 donne des conseils concis pour établir des mesures de
performance afin d'évaluer l'activité d'audit interne. Il est recommandé de consulter ce guide en
liaison avec les Normes et toutes autres méthodes de mesures les plus courantes.

Bien que cette modalité pratique contienne plusieurs exemples de mesures spécifiques considérées
comme essentielles, il est important de bien comprendre qu'il n'existe aucun ensemble de mesures
efficaces applicables de manière universelle à toutes les activités d'audit. Les mesures quantitatives
et les évaluations qualitatives sont importantes pour démontrer la performance de l'activité d'audit
aux parties prenantes clés.

L'illustration I-20 offre une perspective précise et ponctuelle des mesures de performance,
considérées importantes pour un certain nombre de RAI.
Il est de la responsabilité du RAI d'établir une structure pour communiquer les résultats des
évaluations périodiques qui permettent de conserver une crédibilité et une objectivité adéquates. En
général, les individus réalisant les révisions permanentes et périodiques doivent rendre compte au
RAI tout au long de l'exécution de ces révisions et lui communiquer directement leurs résultats.

Si les résultats de l'évaluation interne déterminent qu'il existe des points à améliorer ceux-ci doivent
être mis en œuvre par le RAI par le biais du QAIP.

Pour plus d'informations sur l'exécution de revues internes permanentes, consultez la modalité
pratique d'application 1311-1, « Évaluations internes ».

Évaluations externes
Selon l'interprétation de la Norme 1312 :

Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec
 validation indépendante externe.

Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique
professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers
une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des
organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à
privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes
les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir
de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de
compétences pour pouvoir mener à bien la mission d’évaluation.

La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit
interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.

Les révisions externes de l'évaluation de la qualité peuvent être effectuées par :

Une équipe totalement indépendante de l’organisation qui est évaluée. (Ces équipes sont
disponibles auprès de l'IIA ou d'organismes de consultation ayant connaissance des exigences des
normes relatives à la performance d’audit.)
Une auto-évaluation validée par une source indépendante par un examinateur indépendant.
L'équipe d'évaluation par des pairs composée de membres d’au moins trois organisations
différentes.

Les qualifications nécessaires sont les mêmes pour les trois équipes d’évaluation. Une équipe externe
d'évaluation doit comporter des membres ayant les connaissances nécessaires de la technologie de
l'information, de l’expérience pertinente dans ce secteur d'activité, et de l’expertise dans d’autres
disciplines spécialisées (telles que la comptabilité, les taxes, les affaires environnementales le cas
échéant).

L’intégrité et l’objectivité sont des considérations importantes au niveau de la procédure de

sélection. Le RAI doit impliquer la direction générale et le Conseil dans la procédure de sélection
d'un examinateur externe et obtenir leur accord.

Périmètre des évaluations externes

La modalité pratique d'application 1312-1 recommande que les évaluations externes consistent en un
large champ d'application qui inclut les éléments de l'activité d'audit interne suivants :

La conformité à la Définition d'audit interne au Code de déontologie; aux Normes; à la charte, aux
plans, politiques, procédures, pratiques et exigences législatives et réglementaires applicables de
l'activité d'audit interne.
Les attentes de l'activité d'audit interne comme indiquées par le Conseil, la direction générale et les
directeurs des opérations.
L'intégration de l'activité d'audit interne au processus de gouvernance de l'organisation, y compris les
relations entre et parmi les principaux groupes impliqués dans le processus.
Les outils et techniques employés par l'activité d'audit interne.
Un ensemble de connaissance, expérience et de disciplines au sein du personnel y compris une
concentration sur l'amélioration des processus.
Déterminer si ou non l'activité d'audit interne apporte de la valeur ou améliore les opérations d'une
organisation.

Le Manuel sur l'évaluation de la qualité et les Modalités pratiques d'application 1312-1 et 1312-2
contiennent des informations supplémentaires sur l'évaluation externe.

Communication des résultats du programme d'assurance

et d'amélioration qualité
Les Normes et diverses Modalités pratiques d'application permettent d'identifier les résultats de
rapports spécifiques concernant les évaluations internes et externes à l'intention des parties prenantes.
Pour les évaluations internes, le RAI doit partager les résultats, les plans d'action nécessaires et leur
mise en œuvre réussie avec la direction générale, le Conseil et les auditeurs externes. Pour les
évaluations externes, les résultats préliminaires d'évaluations doivent être examinés avec le RAI
pendant et à la conclusion du processus d'évaluation. Les résultats finaux doivent être communiqués
dans un rapport formel au RAI ou tout autre responsable ayant autorisé l'évaluation pour le compte de
l'organisation ; il est conseillé de transmettre des copies directement aux membres concernés de la
direction générale et du Conseil.

Le rapport formel des évaluations externes doit :

Contenir un avis basé sur un processus structuré concernant la conformité de l'activité d'audit
interne à la Définition de l'audit interne, au Code de déontologie et aux Normes.
Examiner et évaluer l'usage des bonnes pratiques observé durant l'évaluation ou de tout autre
mesure qui pourrait s'appliquer à cette activité.
Emettre des recommandations d'amélioration appropriées.

Le RAI doit également communiquer les détails des actions correctives planifiées pour les problèmes
importants et rendre compte de la mise en œuvre de ces mesures.

Conformité aux Normes

Les évaluations internes et externes d'une activité d'audit interne doivent pouvoir évaluer et exprimer
une opinion quant à la conformité de l'activité d'audit interne à la Définition de l'audit interne, aux
Code de déontologie et aux normes. La modalité pratique d'application 1321-1 définit les notions de
conformité et non-conformité selon les Normes :
Le terme de « Conformité » signifie que les pratiques de l'activité d'audit interne, dans leur
ensemble, satisfont aux exigences de la Définition d'audit interne, au Code de déontologie, et aux
Normes ».
Le terme de « Non-conformité » signifie que « l'impact et la sévérité des lacunes au niveau des
pratiques d'audit interne sont importants car ils nuisent à la capacité de l'audit interne d'assumer
ses responsabilités ».

La Modalité pratique d'application stipule aussi que le rapport sur l'évaluation indépendante doit
exprimer (si cela bénéficie l'opinion générale) le degré de conformité partielle à la Définition d'audit
Interne au Code de déontologie et/ou aux Normes individuelles.

Selon l'interprétation de la Norme 1321 : « Le service d’audit interne est en conformité avec les
Normes lorsqu’il respecte les exigences de la Définition de l’audit interne, du Code de
déontologie et des Normes. Les résultats du programme d’assurance et d’amélioration qualité
incluent les résultats des évaluations internes et des évaluations externes. Les résultats du
programme d’assurance et d’amélioration qualité incluent les résultats des évaluations internes et
des évaluations externes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté
disposeront également des résultats de leurs évaluations externes ».

Selon le cas, les évaluations doivent inclure des recommandations visant à obtenir certaines
améliorations.

La norme 1322 « Indication de non-conformité » stipule que « Quand la non-conformité de l’activité

d’audit interne avec la Définition de l’audit interne, le Code de Déontologie ou encore les Normes a
une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable
de l’audit interne doit informer la direction générale et le Conseil de cette non-conformité et de ses
conséquences ».

Mise en œuvre de procédures d'assurance

qualité/Recommandation d'améliorations pour l'activité
d'audit interne
Le Manuel d'évaluation qualité de l'IIA donne des conseils spécifiques concernant l'élaboration de
rapports et les suivis des évaluations internes y compris les recommandations suivantes :
Pour renforcer l'indépendance et l'objectivité de l'équipe d'évaluation, l'équipe et le RAI doivent
s'accorder sur les modalités de communication (moyen et format) au début de l'évaluation.
Le RAI doit documenter par écrit une réponse/un plan d'action et un calendrier de mise​ en œuvre
pour chaque recommandation du rapport final écrit.
Les copies des rapports finaux transmises à l'extérieur de l'activité d'audit interne doivent inclure
une copie du plan d'action et de mise en œuvre de l'activité d'audit interne.

La norme 1320 stipule que « le responsable de l'audit interne doit communiquer les résultats du
programme d'assurance et d'amélioration qualité à la direction générale ainsi qu’au Conseil ».

L'interprétation de la norme 1320 clarifie les points inclus dans cette communication : « Pour
démontrer la conformité à la Définition de l’audit interne, au Code de Déontologie et aux Normes,
les résultats des évaluations internes périodiques et des évaluations externes doivent être
communiqués dès l’achèvement de ces évaluations. Les résultats de la surveillance continue sont
quant à eux communiqués au moins une fois par an. Ces résultats incluent l’appréciation de
l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité de l’activité d’audit interne ».
D'après le Manuel d'évaluation qualité de l'IIA, l'aspect le plus important de l'évaluation externe est
l'évaluation, par l'équipe, de la conformité de l'activité d'interne aux Normes et à sa charte et inclut le
champ d'utilisation des meilleures pratiques ainsi que son programme d'amélioration progressive.
Ces évaluations ont aussi pour but d'examiner les possibilité d'amélioration et les recommandations
qui favoriseraient le respect des Normes, apporteraient de la valeur aux clients, et en général, jouer
un rôle de catalyseur pour promouvoir un changement positif au sein d'une organisation.

Le processus de communication de l'évaluation externe implique un processus systématique de

conférences, un rapport préliminaire et un rapport final. Le Conseil doit recevoir une copie du
rapport d'évaluation externe de la qualité. Il est de la responsabilité du RAI de réagir aux
recommandations et d'établir un plan d'action contenant des mesures correctives.

Dans la plupart des organisations le processus externe de communication de l'évaluation est mené de
la manière suivante :
Les résultats des évaluations externes sont communiqués à la direction générale et au comité
d'audit et décrits dans un rapport d'évaluation externe de la qualité.
Le responsable de l'équipe d'audit externe peut être invité à effectuer des présentations à
l'encadrement supérieur de l'organisation et au comité d'audit pour s'assurer que les opportunités
identifiées sont bien comprises et garantir un programme d'audit interne amélioré.
Les actions d'amélioration du programme d'audit interne prévues par le RAI sont incluses dans le
rapport.
Le RAI rend compte au comité d'audit pour communiquer les progrès réalisés en matière de
renforcement du programme d'audit interne.

Étapes suivantes
Vous avez terminé la Partie 1, Section I du CIA Learning System®. À présent, vérifiez votre
compréhension en effectuant le ou les tests en ligne spécifiques à cette section pour vous aider à
identifier tout contenu mal assimilé.

Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces
informations, vous pouvez passer à l'étude de la Section II.