Académique Documents
Professionnel Documents
Culture Documents
Afin de tirer le meilleur parti des supports de cours, procédez dans l'ordre indiqué ci-dessous.
1. Pour commencer la formation veuillez consulter www.learncia.com.
2. Lire la présentation et revenir au menu. Sélectionnez la Partie 1 dans le menu.
3. Complétez le test préliminaire et affichez le rapport pour vous aider à concentrer vos efforts sur
certains points de formation.
4. Lisez chaque section et suivez les instructions « Étapes suivantes » incluses à la fin de chaque
section.
5. Terminez la Partie 1 comme expliqué dans la présentation en ligne.
Supports de formation
Le CIA Learning System de l'IIA inclut des outils en ligne fournis pour vous soutenir dans votre
formation. Ces outils sont accessibles à tout moment dans le menu.
Glossaire : consultez le glossaire pour connaître les définitions des termes utilisés dans les
trois parties du programme CIA de l'IIA.
Rapports : consultez les rapports pour prendre connaissance des résultats de vos tests les
plus récents et de votre progression dans le programme de formation.
Centre de ressources : consultez le centre de ressources pour accéder aux mises à jour, aux
astuces, aux cartes questions-réponses à imprimer, aux liens associés et au matériel de
référence, ainsi que pour faire part de vos commentaires à l'IIA sur le programme de
formation.
Le CIA Learning System® de l'IIA est basé sur le programme de l'examen de l'auditeur interne
certifié (CIA, « Certified Internal Auditor® » ) développé par l'IIA. Cependant, les développeurs du
programme n'ont pas accès aux questions des examens. Le programme de formation est, certes, un
outil performant, mais il ne garantit pas un score suffisant à l'examen du CIA.
Nous nous sommes assurés que les informations contenues dans le programme soient correctes et
d'actualité. Néanmoins, les lois et règlements changent et ces supports ne sont pas destinés à être
utilisés dans un cadre professionnel ou légal. Ce matériel est conforme aux Normes révisées du
cadre international de la pratique professionnelle (CRIPP) à compter du 1er Janvier 2013.
Copyright
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux.
Le fait de partager vos documents limiterait l'utilité du programme. L'IIA investit de nombreuses
ressources pour proposer à ses membres des perspectives professionnelles de qualité. En
conséquence, merci de respecter le copyright.
Remerciements
L'IIA souhaite remercier les experts qui ont partagé leur expérience et donné de leur temps pour
développer et mettre à jour le CIA Learning System de l'IIA :
Partie 1 Présentation
Section I : Directives obligatoires
Introduction
Veuillez noter: En raison de leur taille et leur niveau de détails, certaines images peuvent être mieux
visibles dans la version imprimée du document.
Certaines liseuses ont la capacité d'agrandir les images (zoom) pour augmenter la taille pour une
meilleure lisibilité. Utiliser cette fonction peut également être utile pour l'affichage des détails de
l'image.
Partie 1 Présentation
Bienvenue dans la Partie 1 du CIA Learning System de l'IIA®.
L’audit interne est une discipline qui œuvre au nom du management, du Conseil d’administration et
des intervenants d'entités publiques et privées pour améliorer et apporter une valeur ajoutée à la
gestion du risque, aux procédures de contrôle et de gouvernance. Cette démarche est différente de
l'audit externe qui lui sert des tiers ayant besoin d'informations financières fiables basées sur des
pièces justificatives fiables. Inversement, le champ d'application des auditeurs internes est plus large
puisqu'ils doivent examiner et évaluer l'efficacité des contrôles, du fonctionnement financier, du
respect des lois et des règles et de la performance opérationnelle. À l'inverse des auditeurs externes
qui eux se concentrent simplement sur les évènements historiques, les auditeurs internes aident aussi
le Conseil et la direction à prendre des décisions axées sur l'avenir. Par exemple, on peut demander
aux auditeurs internes d’évaluer si des contrôles adéquats ont été mis en place lors d'opérations
planifiées afin d’assurer que les buts et objectifs de l'organisation soient atteints.
Pour aider à clarifier ce que l’audit interne est ou n’est pas il faut établir de plus grandes distinctions
entre auditeurs internes et externes ainsi que leurs différentes fonctions d'évaluation. Ces distinctions
sont décrites ci-dessous :
Régulateurs. Ces auditeurs travaillent pour des organismes de règlementation (par exemple
l'autorité de surveillance des marchés financiers [FINRA, « Financial Industry Regulator
Authority »], la U.S. Security and Exchange Commission [SEC], la Options Clearing Corporation
[OCC]) et évaluent la conformité aux réglementations spécifiques. Ils s’occupent des évaluations
de conformité au niveau des entreprises ou agences réglementées par une autorité de régulation
spécifique.
Auditeurs de gouvernement. Les auditeurs de gouvernement travaillent en général pour les
départements, ministères, ou agences gouvernementales et se concentrent sur la conformité aux
exigences du programme, à la performance d’audit, aux examens budgétaires et à la gestion des
audits.
Quelques points supplémentaires de comparaison entre les professions d’audit interne et externe
viendront compléter cet aperçu d’audit interne.
Premièrement, les personnes employées dans une activité d’audit interne sont généralement des
employés d'une organisation. Cependant, il existe des arrangements alternatifs pour le personnel
audit interne d’un département notamment grâce à l’externalisation, au co-sourcing (mutualisation
des ressources) et aux accords de détachement. En revanche, les auditeurs externes sont eux des
entrepreneurs indépendants.
Les auditeurs internes s'attachent à éviter ou à détecter les erreurs, inefficacités, et irrégularités, y
compris la fraude, qui ont un impact sur la capacité d’une organisation à accomplir ses objectifs et
portent un intérêt limité à l'importance financière. Les auditeurs externes s'attachent à éviter ou à
détecter les fraudes seulement quand cela peut avoir une influence sur les états financiers; ils
s'attachent cependant également à éviter ou à détecter les fraudes en général.
Troisièmement, les auditeurs internes sont indépendants des fonctions internes des organisations
qu’ils auditent, ce qui signifie qu’ils n'ont aucune responsabilité de gestion au niveau des
domaines audités. Cependant, ils restent généralement prêts à répondre aux requêtes du Conseil et
des membres du management. En revanche, les auditeurs externes sont indépendants du Conseil et
du management en fait et au niveau intellectuel.
Section I : Directives obligatoires
Cette section a pour objectif de vous aider à :
Identifier et appliquer des normes éthiques, pratiques et juridiques correspondant à la
pratique de l'audit, y compris le Code de déontologie de l'IIA, les Normes
internationales, les Modalités pratiques d'application et les lois applicables.
Expliquer les catégories de recommandations du cadre de référence international pour
la pratique professionnelle.
Définir l'audit interne.
Décrire le respect du Code de déontologie de l'IIA.
Expliquer comment la mission, les pouvoirs et la responsabilité de l'activité d'audit
interne sont documentés, communiqués et approuvés.
Comprendre l'importance de l'obtention de l'approbation du plan et de la charte de
l'activité d'audit interne par le Conseil.
Expliquer les notions d'indépendance et d'objectivité et comment les préserver au sein
d'une activité d'audit interne.
Identifier et décrire les connaissances, compétences et autres aptitudes requises au
sein d'une activité d'audit interne et la manière dont une organisation peut les
développer et/ou se les procurer.
Expliquer comment assurer le professionnalisme de l'activité d'audit interne.
Décrire l'importance du perfectionnement professionnel et des certifications officielles
pour les auditeurs internes.
Décrire les éléments constitutifs d'un programme d'assurance et d'amélioration qualité.
Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de
cette section représentent environ 35 % à 45 % de la totalité des questions relatives à la
partie 1. Toutes les rubriques sont traitées au niveau de compétence « P, Proficiency »,
c'est-à-dire qu'il vous incombe non seulement de comprendre et de mémoriser les
informations, mais également de les maîtriser à un niveau plus élevé, notamment par
l'application, l'analyse, la synthèse et l'évaluation.
Introduction
Le cadre de référence internationale pour la pratique
professionnelle de l'IIA
L’Institute of Internal Auditors (IIA) fournit à ses membres un Cadre international de la pratique
professionnelle (CRIPP) pour les guider dans leur pratique professionnelle et assurer des résultats
d'audit interne de haute qualité au niveau d'environnements largement variés.
Selon l’IIA même, « l’objectif du . . CRIPP est d’organiser . . d’une manière plus claire et plus
opportune, les lignes directrices approuvées par l’IIA. De ce fait, la position de l’IIA en tant
qu'organe normalisateur de la profession d’audit interne est renforcée au niveau mondial ». En
prenant en compte la pratique actuelle de l’audit interne ainsi que son développement
futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier à être sensible à la
demande croissante de services d’audit interne d’excellente qualité ».
La Définition de l'audit interne, le Code de déontologie et les Normes sont disponibles à la lecture ou
au téléchargement à partir du site internet de l'IIA (www.theiia.org); vous y trouverez aussi d’autres
documents utiles pour les auditeurs internes, qu’ils soient ou non membres de l’IIA. (Parmi le
matériel supplémentaire disponible au public pour la lecture ou le téléchargement à partir du site
internet figurent une newsletter mensuelle, l'ITAudit, et le Global Technology Audit Guide qui évolue
constamment. Ces documents sont cités comme sources autorisées dans ces matériels d’étude.) Ces
documents visent à améliorer la connaissance et les compétences des auditeurs internes.
Les Modalités pratiques d'application sont destinées aux membres de l'IIA et sont protégées par mot
de passe. Le Cadre international de la pratique professionnelle (International Professional Practices
Framework) est disponible en intégral en version imprimable et est aussi appelé, par ceux qui l'ont
déjà consulté, « Red Book (Livre Rouge) » Cet ouvrage peut être commandé en ligne. Tandis que le
livre inclut tous les aspects du Cadre—la Définition de l'audit interne, le Code de déontologie, les
Normes et les Modalités pratiques d'application—il n’est pas nécessairement actualisé au contraire
de la version en ligne, laquelle est sujette à révision continuelle et additions. Les auditeurs internes
doivent s'assurer d'avoir pris connaissance de la version la plus récente du cadre disponible sur le
site Web de l'IIA. Comme l’environnement d’audit évolue, les Modalités pratiques d'application
évoluent aussi, et, à vitesse plus rigoureuse, les Normes. Par exemple, les changements de Normes au
1er Janvier 2013 ont intégré un nouveau langage pour souligner l’importance d'évaluer les
réalisations des objectifs stratégiques d’une organisation, et refléter la continuité d’orientation d’une
profession vers l’évaluation de gouvernance et la gestion du risque (en addition aux contrôles), ceci
pour certaines normes qui n’avaient pas encore adopté ce langage.
De nouvelles rubriques seront ajoutées, comme par exemple on peut trouver dans l'édition 2011 du
CRIPP (mis-à-jour pour 2012) la norme 2010.A2, « Le plan de mission de l’activité d’audit interne
doit être basé sur une évaluation à risque documentée, effectuée au minimum une fois par an. Les
attentes de la direction générale et du Conseil doivent être prises en compte dans ce processus ».
Pour conclure, certaines normes seront supprimées (comme par exemple 2130.A2 et 2130.A3) dans
l’édition mentionnée ci-dessus. Ce système d’apprentissage est conforme à la révision des Normes en
effet depuis le 1er janvier 2013 et accessibles sur le lien suivant : global.theiia.org/standards-
guidance/mandatory-guidance/Pages/Standards.aspx.
L’introduction aux Normes a pour but de clarifier le contenu des orientations à caractère obligatoire :
« Les Normes s’appliquent aux auditeurs internes individuels et aux activités d’audit interne. Tous les
auditeurs internes ont la responsabilité de se conformer aux Normes relatives à l’objectivité
individuelle, la compétence et la conscience professionnelle. De plus, il est de leur responsabilité de
se conformer aux Normes correspondant à la performance de leurs responsabilités professionnelles.
Les responsables d'audit interne sont tenus de se conformer aux Normes ».
(Remarque : Si la mention « se conformer aux Normes » est utilisée dans le cadre de l'activité, le
respect des Normes est donc obligatoire, même pour ceux qui n'occupent pas un poste de RAI ou qui
ne sont pas membres de l’IIA).
Ces types de dispositions fortement recommandées sont approuvées par l’IIA et furent développées
grâce à l'utilisation d'une procédure régulière par un comité et/ou institut technique international de
l’IIA. Plutôt que de fournir des réponses fermes, les dispositions fortement recommandées guident
l'auditeur et contiennent un large panel de solutions possibles et de méthodes pour mettre en pratique
les orientations à caractère obligatoire.
La définition de l’audit interne de l’IIA est couverte dans le Chapitre A Rubrique 1 de cette section.
Elle est aussi disponible sur le site internet de l’IIA. Le Code de déontologie est discuté en détail
dans le Chapitre B Rubrique 1. Ensuite vous trouverez une introduction globale des autres sections du
cadre – Normes, Modalités pratiques d'application, Guides pratiques et Exposés de principes – ainsi
qu'une mention brève de certaines démarches supplémentaires.
Normes
Les Normes sont des dispositions basées sur le principe plutôt qu’un énoncé de règles et
règlementations. Certaines Normes incluent une « interprétation » pour expliquer ces dispositions
plus en détail Veuillez aussi ne pas négliger ce texte en italique car il fait partie des Normes.
Les Normes emploient des termes ayant une signification très particulière. Le « Livre Rouge (Red
Book) » du CRIPP contient un bref Glossaire des Normes. Les termes définis dans ce système
d’apprentissage proviennent du Glossaire des Normes.
Il y a trois types de Normes : Les Normes de qualification, les Normes de fonctionnement et les
Normes de mise en œuvre.
Normes de qualification
Les Normes de qualification définissent les caractéristiques des organisations et des parties chargées
des activités d'audit interne. Les Normes de qualification s'appliquent à tous les services d'audit
interne et aux auditeurs internes individuellement.
Les Normes de qualification sont numérotées à partir de 1000. Les principales sections des Normes
de qualification sont les suivantes :
Les exemples suivants représentent deux de ces Normes de qualification.
Chacune des sections des Normes de qualification peut contenir plusieurs sous-sections. Par
exemple, les sous-sections de la norme 1100 (1110, 1120, etc) traitent de certains aspects de
l'indépendance et de l'objectivité. De même, la norme 1300 sur l'assurance et l'amélioration qualité
contient une sous-section 1310 intitulée « Exigences des programmes d'assurance et d'amélioration
qualité », qui à son tour contient deux sous-sections, 1311 « Évaluations internes », et 1312 «
Évaluations externes ». Le système de numérotation permet d'ajouter d'autres normes ultérieurement
ce qui indique que les normes continueront d'évoluer.
Normes de performance
Les Normes de performance décrivent la nature de l'audit interne et fournissent des critères de qualité
pour évaluer la performance de l'audit. Similaires aux Normes de qualification, les Normes de
performance s'appliquent à tous les services d'audit interne ainsi qu'aux auditeurs internes.
Les Normes de performance sont numérotées à partir de 2000. Les sections principales des Normes
de performance sont les suivantes :
Comme on peut le noter, les Normes de performance au plus haut niveau abordent des sujets de
portée générale; de 2200 à 2500 on peut suivre les diverses étapes d'un audit bien mené. Les Normes
de performance ont également des sous-sections plus détaillées qui sont ajoutées au fur et à mesure
que le cadre évolue.
Assurance
Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective de la preuve en vue de formuler en toute
indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet.
La nature et le périmètre de la mission d'assurance sont déterminés par l'auditeur interne. Trois parties sont généralement impliquées
dans les activités d'assurance : (1) la personne ou le groupe qui fait directement partie de l'exploitation, la fonction, un processus, un
système, ou tout autre domaine (le responsable de processus), (2) la personne ou le groupe en charge de l'évaluation (l'auditeur
interne) et (3) la personne ou le groupe qui met l'évaluation à profit (l'utilisateur).
Conseil
Les services de conseil sont de nature consultative et sont généralement réalisés à la demande spécifique d'un client de la mission. La
nature et le périmètre de la mission de conseil sont sujets à un accord avec le client de la mission. Les services de conseil impliquent
généralement deux parties : (1) la personne ou le groupe offre des conseil (l'auditeur interne) et (2) la personne ou le groupe qui
demande et obtient des conseils (client de la mission). Lors de l'exécution des services de conseil l'auditeur interne doit rester objectif
et ne pas assumer sa responsabilité en matière de gestion.
L'assurance et le conseil ne s'excluent pas mutuellement donc une activité d'audit peut contenir à la
fois des éléments de conseil et d'assurance. Une mission mixte peut ainsi combiner des activités de
conseil et d'assurance. Dans d'autres cas, les éléments individuels de la mission peuvent être
spécifiés comme étant « assurance » ou « conseil ».
Les auditeurs internes peuvent fournir des services de conseil dans le cadre de leurs activités
normales ou habituelles ou en réponse aux demandes du management. Une organisation doit définir
les types d'activités de conseil qui devront être menées et élaborer des politiques ou procédures
nécessaires pour chaque type. Voici quelques exemples d'activités de conseil :
Missions de conseil officielles. Ces missions sont planifiées et sont soumises à un accord écrit
Missions de conseil informelles. Ces missions représentent des activités de routine comme la
participation aux comités permanents, aux projets à durée de vie limitée, aux réunions ad-hoc et à
l’échange régulier d’informations.
Missions de conseil spécialisées. Rejoindre l'équipe de fusion ou d'acquisition ou de conversion
des systèmes.
Missions de conseil d'urgence. Rejoindre l'équipe chargée de la reprise ou de la gestion des
opérations après un désastre ou tout autre évènement extraordinaire ayant un impact sur les
affaires, ou rejoindre l'équipe mise en place pour fournir une aide temporaire afin de répondre à
une demande particulière ou respecter des délais exceptionnels.
Dans tous les cas, une mission de conseil ne doit pas être menée dans le but d'éviter les exigences de
la mission d'assurance comme par exemple la nécessité de fournir un avis en fin de mission. Ceci est
conforme au Code de déontologie de l'IIA. En revanche et si cela s'avère opportun, les services
auparavant offerts sous la forme de mission d'assurance peuvent être fournis comme mission conseil.
Cependant, selon la Norme 2050 intitulée « Coordination », de telles activités de conseils doivent
être réalisées en étroite collaboration avec d’autres activités d’assurance d’audit interne ou externe
pour minimiser toute redondance.
Le format de numérotation des Normes de mise en œuvre indique leur classification (assurance ou
conseil). Par exemple, les normes de mise en œuvre 1000.A1 et 1000.C1 sont liées à la Norme de
qualification 1000, «Mission, pouvoir et responsabilité», dans laquelle A indique une norme de
mission d'assurance et C indique une norme de mission de conseil. La norme de mise en œuvre
1000.A1 explique que : « La nature des missions d'assurance réalisées pour l'organisation doit être
définie dans la charte d’audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur
de l'organisation, leur nature doit également être définie dans la Charte ». La norme de mise en œuvre
1000.C1, précise en des termes similaires, « La nature des services de conseil doivent être définis
dans la charte de l'audit interne ».
Tous les auditeurs internes et les autres parties intéressées sont invités à soumettre des suggestions au
Professional Issues Committee (Comité professionnel) de l'IIA pour permettre le développement
continu de ces modalités. Les Modalités pratiques d'application sont régulièrement mises à jour pour
fournir d'autres meilleures pratiques et se conformer ainsi aux exigences des Normes. Toutes les
Modalités pratiques d'application sont soumises à un processus d'examen formel par le Professional
Issues Committee (Comité professionnel) ou par tout autre groupe désigné par le Conseil
professionnel des Modalités pratiques d'application. Vous retrouverez les modalités les plus récentes
ainsi que d'autres sections du cadre sur le site de l'IIA (www.theiia.org).
Les Modalités pratiques d'application sont destinées aux membres de l'IIA et sont protégées par mot
de passe sur le site internet de l'IIA.
La Norme 1110, « Indépendance organisationnelle » est un exemple de la manière dont les Modalités
pratiques d'application fonctionnent. La norme contient le mandat suivant : « Le responsable d'audit
interne doit être rattaché à un niveau hiérarchique de l'organisation qui permette à l'activité d'audit
interne de remplir ses obligations. Au moins une fois par an, le responsable d'audit interne doit
confirmer au Conseil l'indépendance organisationnelle de l'activité d'audit interne. » Cette mise en
pratique n'est pas forcément évidente pour le responsable d'audit interne de l'organisation. Pour
obtenir plus de précisions, le RAI peut consulter la section « Contenu » du cadre en ligne (en
supposant qu'il est membre de l'IIA), aller à la section Liste des Modalités pratiques d'application,
rechercher l'entrée Modalité pratique d'application 1110-1, « Indépendance organisationnelle » et
suivre les différents conseils fournis à cet effet.
Même s'il suit ces conseils relatifs aux Modalités pratiques d'application, l'auditeur se retrouvera
probablement dans des situations difficiles qui n'auront pas spécifiquement été couvertes dans cette
section. Dans ce cas il est de la responsabilité de l'auditeur d'agir en suivant les principes directeurs
basés sur les Normes et Règles de conduite spécifiées dans le Code de déontologie. Pour les
membres de l'IIA, ces principes et leur dynamisme ne peuvent pas être dérogés par les instructions
d'un manager ou les pratiques contraires, les politiques ou la culture d'une organisation. Seul la
législation l'emporte sur le Code et les Normes.
Guides pratiques.
Les Guides pratiques fournissent d'autres recommandations de l'IIA pour aider les auditeurs internes
à intégrer les Normes dans le cadre de l'activité. Selon la préface du CRIPP les Guides pratiques
fournissent des « recommandations détaillées pour la conduite d'activités d'audit interne » et incluent
« des processus et procédures détaillés, tels que des outils, techniques, programmes et approches
progressives, y compris des exemples d'éléments livrables ».
Au même titre que les Modalités pratiques d'application, ces supports sont répertoriés uniquement
dans les sections du site Web de l'IIA nécessitant un mot de passe pour y accéder.
Exposés de principes.
Les Exposés de principes sont des communications de l'IIA destinées à aider toutes sortes de parties,
y compris celles extérieures à la profession d'audit interne, à comprendre les grands problèmes de
gouvernance, de gestion des risques et de contrôle et à définir les rôles et responsabilités associés à
la profession d'audit interne. Les Exposés de principes sont disponibles sur le site de l'IIA; vous
pourrez y accéder sans mot de passe.
Démarches complémentaires
Pour aider à la mise en œuvre du CRIPP, les auditeurs internes effectuent des évaluations internes de
qualité régulièrement et doivent se soumettre à des évaluations externes de qualité indépendantes
pour démontrer la conformité aux normes. Ils peuvent aussi obtenir des certifications d'auditeur à titre
individuel.
Vous pourrez obtenir une certification officielle de l'IIA sous certaines conditions. Qu'il s'agisse du
titre reconnu d'audit interne (Auditeur interne certifié [CIA, « Certified Internal Auditor® »]) ou l'une
des trois certifications professionnelles spécialisées, l'obtention d'une telle certification est synonyme
de professionnalisme. Le CIA Learning System de l'IIA, que vous êtes en train de lire, est un exemple
de matériels pédagogiques de préparation pour la certification de l'IIA.
Associées les unes aux autres, toutes ces démarches professionnelles participent à la réussite
commune des auditeurs et de leurs organisations.
Chapitre A : Définition de l'audit interne
Introduction du chapitre
La profession d’audit est empreinte d'un passé chargé d'histoire. L'audit le plus ancien nous vient de
Mésopotamie lorsque l'on utilisait des marques pour enregistrer les cargos et vérifier leurs
transactions financières. Dans la Rome antique, le terme d’audit provenait du mot latin auditus
(audition) qui fait référence à l'examen d'une preuve orale lorsqu'un responsable devait vérifier et
comparer les registres.
L’audit interne a évolué au cours des années et a obtenu la reconnaissance des dirigeants et leaders
d’organisations en changeant l'accent placé sur les efforts d'audit interne pour répondre à l'évolution
des besoins de l’environnent mondial. La profession s'est longtemps concentrée sur un domaine
particulier : informations financières, évaluations de conformité, technologies de l'information,
processus opérationnels, risques et contrôles.
Aujourd’hui, l'audit interne se concentre sur les audits intégrés pour lesquels les auditeurs fournissent
une assurance associée à toute combinaison de types de mission suivants :
Assurance financière. Offre d'assurance liée à l'atteinte des objectifs d’une ou plusieurs
affirmations financières (existence ou survenance, exhaustivité, évaluation et allocation, droits et
obligations, présentation, divulgation).
Assurance des contrôles. Offre d'assurance liée à la création et à l'exécution des activités de
contrôles clés; les contrôles peuvent être opérationnels, financiers ou liés à la conformité.
Opérations. Offre d'assurance liée à l’efficacité des opérations d’une organisation y compris la
performance, les objectifs de rentabilité, et la protection des ressources contre les pertes.
Les audits intégrés incluent souvent des audits opérationnels, financiers, IT et de conformité.
À travers les siècles, les auditeurs se sont efforcés à rechercher la vérité, effectuer le contrôle des
transactions et éviter ou détecter les actes de fraude. Aujourd’hui, les audits internes sont
indépendants, impartiaux et ont pour objectif de fournir des informations vérifiables au conseil
d'administration (en particulier son comité d’audit), au management, ou à tout autre organisme
externe. (D’après l'IIA, le Conseil est « un organe de direction du plus haut niveau directement
responsable de gérer et/ou superviser les activités de gestion d’une organisation. En général, il peut
s’agir d'un groupe indépendant de directeurs [par exemple un conseil de directeurs, un conseil de
surveillance, et un conseil de gouverneurs ou d'administrateurs]. Si un tel groupe n’existe pas, le «
Conseil » peut le signaler au responsable de l'organisation. Le « Conseil » peut s'adresser à un
comité d’audits lorsque certaines fonctions lui ont été déléguées par un organe de direction ».)
La première partie du chapitre définit l’audit interne et mentionne certains termes clés intégrés dans
la définition et établit la façon dont le terme a évolué au fil du temps. La seconde rubrique se
concentre sur trois éléments clés de l’activité d’audit interne : sa mission, son pouvoir et ses
responsabilités.
Comme défini dans le Glossaire des Normes, l'activité d’audit interne est « un département, une
division, une équipe de consultants ou tout autre professionnel qui fournit une assurance
indépendante, objective et des services de conseils qui apportent de la valeur et améliorent les
opérations d'une organisation ». Les activités d’audit interne sont souvent désignées par l’acronyme
GRC (gouvernance, risque et contrôle).
L’audit interne est mené par des professionnels ayant une connaissance approfondie de la culture, des
systèmes, et des processus d'affaires. Les activités d’audit interne peuvent être effectuées par des
personnes internes ou extérieures à l’organisation.
Les auditeurs internes sont la conscience et les conseillers d’une organisation et permettent de
favoriser l’efficacité des opérations, le contrôle interne et la gestion des risques. Ils informent la
direction et le conseil d'administration (et/ou d'autres structures de surveillance de gouvernance) et
leur soumettent des recommandations dans le but d'aider l'organisation à atteindre ses objectifs. Pour
remplir ces responsabilités, les auditeurs internes doivent faire preuve de professionnalisme,
objectivité, connaissance, intégrité et leadership.
Le texte suivant définit et explique les termes clés de la définition d’audit Interne.
Indépendance organisationnelle et objectif individuel
La première partie définit l'audit interne comme étant une «. . . assurance indépendante et objective et
une activité de conseil. . . . » L'indépendance et l'objectivité individuelle de l'organisation constituent
la base même de l'audit interne; toute confiance des parties prenantes dans le travail des auditeurs
repose sur ce fondement.
La Norme 1110 de l'IIA stipule que le RAI « doit confirmer au Conseil, au moins annuellement,
l’indépendance de l’audit interne au sein de l’organisation ». (Le Glossaire des Normes définit le
RAI comme « occupant un poste de direction chargé de gérer efficacement l'activité d'audit interne
conformément à la charte de l'audit interne et à la Définition de l'audit interne, au Code de
déontologie et aux Normes ».) Que représente l'indépendance organisationnelle pour un auditeur
interne qui lui est après tout généralement un employé ? L'indépendance organisationnelle existe
lorsque le RAI :
Communique son rapport au Conseil sur le plan fonctionnel.
A un accès direct et non restreint au Conseil
Communique son rapport sur le plan administratif au directeur général ou tout autre responsable
de l'organisation ou à un autre niveau de l'organisation à partir du moment où l'activité d'audit
interne contrôle sans ingérence la portée et la performance de travail et la communication des
résultats.
Les parties prenantes doivent être bien conscientes que les auditeurs internes peuvent examiner tous
les domaines de l'organisation tout en restant impartiaux et sans se laisser influencer par d'autres.
L'objectivité exige des auditeurs internes qu'ils évitent tous conflits d'intérêts qu'ils soient évidents ou
apparents, ce qui signifie que si une situation pourrait être perçue comme un conflit d'intérêt cela
pourrait nuire à la crédibilité de l'auditeur interne.
Conseil
Le terme de conseil a été inclus dans la Définition de l'audit interne en 1999 seulement, mais il reflète
le rôle croissant de l’audit interne au niveau des conseils à valeur ajoutée et des suggestions liées aux
décisions axées sur l'avenir. Les auditeurs peuvent participer au niveau décisionnel car les processus
sont en cours d’évolution pour que les contrôles adéquats soient mis en place dans le cadre de
nouveaux projets ou processus et ce depuis leur création. À partir du moment où les auditeurs
internes indiquent clairement qu’ils ne prennent aucune décision d'eux-mêmes, cela ne compromet pas
l’indépendance lorsque ces derniers donnent un conseil ou proposent des suggestions.
Les auditeurs internes étaient et sont souvent les premiers à établir une évaluation complète de la
gestion des risques d’une entreprise et la plupart d’entre eux ont participé à la mise en place de cette
fonction au sein d'une organisation. Pour éviter toute perte d’indépendance ou d’objectivité, certaines
organisations ont nommé un auditeur interne au poste de responsable de la gestion des risques tandis
que d’autres organisations déterminent ces activités de gestion des risques dans le cadre de missions
de conseil.
Le glossaire des Normes définit la gouvernance comme étant « un dispositif comprenant les
processus et les structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de
piloter les activités de l'organisation en vue de réaliser ses objectifs ». On remarque que les
organisations impliquées dans les scandales financiers du début des années 2000 et au-delà avaient
souvent des processus de gestion des risques sophistiqués et matures mais aussi des structures de
gouvernance qui n'ont pas pris en compte les évaluations des risques en faveur de profits élevés
réalisés en acceptant des risques élevés. Les auditeurs internes, s'ils sont autorisés à le faire, peuvent
aider à faire en sorte que l'organisation « donne le ton au niveau de la direction », encourage une
bonne gestion, une méthodologie opérationnelle, éthique et intégrité. Les auditeurs internes peuvent
également veiller à ce que la prise de risque soit conforme à l'appétence de l'entreprise pour le
risque à la fois en termes de capacité de l'organisation à prendre des risques (par exemple des
réserves de liquidités et un flux de trésorerie suffisants) et la volonté exprimée par le conseil
d'administration à assumer les risques au niveau de domaines spécifiques.
Les auditeurs internes doivent être compétents dans chacune des trois activités. D'après les exigences
de la norme 2100, « Nature du travail » : La mise en œuvre du Cadre des pratiques professionnelles
(deuxième édition) résume succinctement la façon dont les auditeurs internes doivent évaluer et
contribuer à l'amélioration de la gestion des risques, du contrôle et des systèmes de gouvernance. Ces
points sont présentés dans l'illustration I-1.
Illustration I-1 : La nature du travail de l'audit interne
L'activité d'audit interne doit déterminer la meilleure façon de réaliser les activités dans les trois
domaines. Des facteurs tels que la culture organisationnelle, le rôle du groupe d'audit interne dans
l'organisation et les attentes des intervenants aideront à forger les pratiques spécifiques d'audit
interne.
La section II de cette partie examine exactement ce qui constitue une gestion efficace des risques et du
contrôle, tandis que la partie 3 de ce système d'apprentissage aborde le concept de gouvernance
efficace, conformément à la partie 3 du programme de l'examen l'IIA.
Comme l'indique Sawyer, et al, dans l'Audit interne selon Sawyer (Sawyer’s Internal Auditing)
(publié par l'IIA) : « Les questions financières ne représentent que l'un des aspects des compétences
de l'audit interne. Autrefois tenus pour adversaires du client, les auditeurs internes affichent
désormais des relations de travail coopératives et productives avec les clients par le biais d'activités
à valeur ajoutée ».
Les auditeurs internes ont besoin d'explications claires pour qu'il leur soit conféré le pouvoir
nécessaire afin de prendre en charge leur indépendance et leur objectivité et offrir de la valeur pour
l'organisation. Pour que l'activité d'audit interne puisse soutenir l'encadrement supérieur et le Conseil
d'administration dans le cadre de l'accomplissement des buts et objectifs généraux de l'organisation et
le renforcement des contrôles internes et la gouvernance d'entreprise il est important de comprendre
les principes de mission, pouvoir et responsabilité relatifs à l'activité d'audit interne.
L'illustration I-2 passe en revue les principaux éléments caractérisant la mission, le pouvoir et la
responsabilité de l'activité d'audit interne.
Pour les auditeurs internes, un code de déontologie officiel offre un aperçu des normes de conduite
généralement acceptées et profitables à une organisation comme à ses clients. Il établit une approche
uniforme pour orienter les comportements. La conduite éthique dépend bien sûr d'un engagement à
« bien agir », mais elle requiert également une vision claire de ce qu'est la bonne action. Avoir une
vision nette des questions éthiques peut parfois être difficile. Les conflits d'intérêt soulevés presque
inévitablement par toute profession ayant plusieurs responsabilités (envers la profession elle-même,
envers les collègues, envers les clients, envers les employeurs et envers la communauté) jettent
parfois une ombre sur la ligne séparant la bonne action de l'action habituelle, de l'action facile ou de
l'action rentable.
Le glossaire des Normes définit le Code de déontologie de l’IIA comme « une mise en œuvre
pratique des principes fondamentaux de l'audit interne et a pour but de guider la conduite éthique des
auditeurs internes. Le Code de déontologie s’applique aux parties et entités qui fournissent des
services d’audit interne ».
L’IIA fonde son Code de déontologie sur 4 principes fondamentaux de conduite professionnelle : la
confidentialité, l’objectivité, la compétence et l’intégrité. Le Code interprète chacun de ces quatre
principes en décrivant ce que chacun signifie et en spécifiant les Règles de conduites
correspondantes, lesquelles fournissent un guide de mise en pratique des principes proposés en
théorie.
Le Code fait plus qu’exiger une conduite déontologique, il définit cette conduite en détail.
Tous les RAI (quelque soit leur état de service actuel) doivent se soumettre au Code de déontologie
de l’IIA, tel que montré dans l’illustration I-3 plus bas.
Illustration I-3 : Le code de déontologie de l'IIA adopté par le Conseilde l'IIA le 17 juin 2000
Applicabilité et exécution
Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services d’audit interne.
Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de certifications professionnelles de l’IIA
ou des candidats à celles-ci, fera l’objet d’une évaluation et sera traitée en accord avec les statuts de l’Institut et ses
directives administratives. Le fait qu’un comportement donné ne figure pas dans les règles de conduite ne l’empêche pas
d’être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la personne qui s’en est
rendu coupable.
Principes
Les auditeurs internes sont tenus d'appliquer et de faire respecter les principes suivants :
Intégrité
L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement.
Objectivité
Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant
les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous
les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui.
Confidentialité
Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent; ils ne divulguent ces
informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le
faire.
Compétence
Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation
de leurs travaux.
Règles de conduite
1. Intégrité
Les auditeurs internes :
1,1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.
1,2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession.
1,3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la
profession d’audit interne ou leur organisation.
1,4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
2. Objectivité
Les auditeurs internes :
2,1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient compromettre ou risquer de
compromettre le caractère impartial de leur jugement. Ce principe vaut également pour les activités ou relations d’affaires
qui pourraient entrer en conflit avec les intérêts de leur organisation.
2,2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel.
2,3. Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas révélés, auraient pour
conséquence de fausser le rapport sur les activités examinées.
3. Confidentialité
Les auditeurs internes :
3,1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités.
3,2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une manière qui contreviendrait aux
dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation.
4. Compétence
Les auditeurs internes :
4,1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience
nécessaires.
4,2. Doivent exercer des services d'audit interne en accord avec les Normes internationales pour la pratique professionnelle
de l'audit interne.
4,3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux.
L'objectivité peut être compromise si l'auditeur interne doit auditer un département dans lequel il a
travaillé au cours des 12 derniers mois, ou prévoit d'y travailler dans un futur proche. La norme
1130.A1, « Atteinte à l'indépendance et à l'objectivité », donne des conseils spécifiques sur ce type
de conflit et indique, « Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières
dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée
lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de
l’année précédente ».
Il se peut qu'un conflit plus subtil se produise en vertu des compétences. Il peut être difficile, en début
de mission, de déterminer si une personne est ou n'est pas compétente pour ladite mission, surtout
lorsque la fierté professionnelle ou l'éventualité d'une promotion semble être en jeu. L'aveu « Je ne
peux pas le faire » ne suscite généralement que très peu de soutien. Cependant, les principes du Code
et Règles de conduite sont à appliquer obligatoirement seulement lorsque ceux-ci sont compatibles
avec les principes législatifs.
Ces situations de conflits d'intérêts font de la conduite éthique un défi - c'est pour cela que les codes
de conduites sont nécessaires. Dans une situation qui n'est pas couverte par les Règles de conduite,
l'auditeur doit appliquer les principes pour déterminer l'attitude éthique. Il peut être aussi utile de
demander conseil à ceux qui peuvent avoir une plus grande objectivité ou plus d'expérience.
Applications pratiques
Le Code de déontologie ajouté conjointement au reste du Cadre des pratiques professionnelles
internationales de l'IIA et toute autre déclaration pertinentes de l'Institut, offrent des conseils aux
auditeurs internes dans le cadre de l'exercice de leurs fonctions.
L'illustration I-4 identifie les applications pratiques des quatre principes du Code de déontologie de
l'IIA.
Les Normes, comme nous l'avons vu, constituent un projet en constante évolution. Le Conseil
international des normes d'audit de l'IIA (IIASB, International Internal Auditing Standards Board), est
responsable de l'émission et de la publication des Normes. Il établit toute nouvelle norme au moyen
de consultations avec des autorités à travers le monde et les membres sélectionnés font partie du
conseil d'administration international de l'IIA, et sont aussi des représentants d'organisations
majeures, ou des régulateurs externes à l'IIA. Le Cadre des pratiques professionnelles internationales
dans don ensemble, incorpore l'idée selon laquelle l'audit interne est vraiment une profession
internationale. L'IIASB a pour but de proposer des changements au niveau des Normes afin
d'améliorer considérablement la pratique de l'audit interne. L'IIASB est un groupe de professionnels
indépendant du groupe de certification de l'IIA et du système d'apprentissage CIA de l'IIA.
La plupart des fonctions d'audit interne ont adopté les Normes dans leurs chartes (conforme avec le
libellé de la norme de qualification 1000, décrite ci-dessus). La Treadway Comission a accordé
l'imprimatur aux Normes et établit dans le Rapport de la Treadway Comission : « Le
professionnalisme des auditeurs internes s'est amélioré ces dernières années, grâce aux efforts de
l'Institute of Internal Auditors (IIA), l'organisation professionnelle pour les auditeurs internes. Les
Normes de l'IIA constituent d'excellentes recommandations pour un audit interne efficace et reflètent
l'une des pensées les plus avancées sur la prévention et la détection des fraudes. La commission
encourage les entreprises publiques qui ne l'ont pas encore fait à envisager d'adopter les Normes de
l'IIA ».
Les Normes peuvent être intégrées dans les chartes d'audit d'organisations privées, à but non lucratif
et gouvernementales aussi bien que dans celles des compagnies publiques.
Les rubriques de ce chapitre présentent des méthodes qui favorisent le respect et la mise en œuvre
des Normes de qualification et les normes qui établissent les caractéristiques des organisations et des
parties responsables des activités d'audit interne. Les rubriques suivantes présentent les sections
importantes des Normes de qualification :
La rubrique 1 porte sur la norme de qualification 1000 et ses sous-sections. La rubrique 2 porte sur la
norme de qualification 1100 et ses sous-sections. Les rubriques 3, 4, 5 et 6 proposent des méthodes
qui permettent d'assurer efficacité et professionnalisme comme décrit dans la Norme de qualification
1200 et ses sous-sections. Enfin, la rubrique 7 porte sur la Norme de qualification 1300 et ses sous-
sections.
La charte d'audit interne définit ce que le Conseil et la direction générale peuvent attendre de
l'activité d'audit et oriente le personnel dans son travail d'audit interne. Le RAI développe une charte
qui définit la nature des services pour les missions d'assurance et de conseil et doit soumettre la
charte pour acceptation à la direction générale et approbation par le Conseil. Une charte écrite peut
aussi être distribuée aux autres parties prenantes concernées tels que des responsables et des tiers
(fournisseurs et partenaires de coentreprises) pour qu'ils soient conscients du type de travail que les
auditeurs internes fournissent.
La charte d'audit interne sert de schéma type pour l'activité d'audit interne. Les éléments typiques
décrivent :
La mission et le périmètre d'action du service d'audit interne.
La responsabilité du RAI par rapport au management et au comité d'audit dans l'accomplissement
des fonctions qui lui incombent.
L'indépendance de la fonction d'audit interne.
Les responsabilités du RAI et des auditeurs internes.
Les pouvoirs du RAI et des auditeurs internes.
Les normes de la pratique d'audit doivent être respectées ou dépassées.
Le libre accès à l'information, aux personnes et aux systèmes.
La modalité pratique d'application 1000-1, « Charte d'audit interne », indique : « L’existence d’une
charte d’audit interne formalisée est essentielle pour la gestion du service d’audit interne. La charte
est un document officiel soumis pour avis et acceptation à la direction générale, et approuvée par le
comité d’audit, comme cela a été documenté dans les comptes rendus du Conseil. Elle facilite ainsi
l’évaluation périodique de la pertinence de sa mission, de ses pouvoirs et de ses responsabilités. Son
approbation est consignée dans les procès-verbaux du Conseil. En cas d’interrogation, la charte est la
référence écrite officielle de l'accord passé avec la direction générale et le Conseil sur le rôle et les
responsabilités du service d’audit interne de l’organisation ».
Si il existe des écarts importants au niveau de la charte d'audit interne ceux-ci doivent être
communiqués. Le RAI ne peut pas dénaturer la fonction d'audit sans consulter le comité d'audit ni
modifier la charte de l'audit interne.
Vous trouverez un exemple de charte d'audit interne à l'illustration I-6. Veuillez noter que ces
exemples n'englobent pas chaque audit interne au niveau d'une organisation. De la même manière,
tous les éléments de cet exemple ne s'appliquent pas forcément à toutes les missions. Une charte doit
être adaptée à chaque activité d'audit interne et aux règles qui gouvernent une organisation.
Illustration I-6 : Exemple de charte d'activité d'audit interne (suite à la page suivante)
Le périmètre d'action du service d'audit interne consiste à déterminer si le réseau organisationnel de processus de gestion
des risques, contrôle et gouvernance, tel qu'il est conçu et représenté par la direction, est approprié et garantit que :
les risques sont correctement identifiés et gérés ;
il existe des échanges suffisants entre les différents groupes de gouvernance ;
les informations financières, opérationnelles et de gestion importantes sont exactes, fiables et opportunes ;
Les actions des employés sont en accord avec les politiques, normes, procédures, législation applicable et règlements.
les ressources sont acquises dans un souci de rentabilité, utilisées de manière efficace et correctement protégées ;
les programmes et les plans sont mis en œuvre et les objectifs atteints ;
le processus de contrôle de l'organisation favorise l'amélioration continue et la qualité ;
les problèmes d'ordre législatif ou réglementaire importants ayant un impact sur l'organisation sont pris en compte et
traités de manière appropriée.
Les audits permettent d'identifier les lacunes et d'améliorer le contrôle de gestion, le profit et l'image de l'organisation. Elles
seront communiquées au niveau approprié de management.
RESPONSABILITÉ
Dans l'exécution de ses fonctions, le responsable d'audit interne (RAI) rend compte à la direction et au comité d'audit. Il doit
notamment :
fournir une évaluation annuelle de l'adéquation et de l'efficacité des processus de l'organisation qui visent à contrôler les
activités et à gérer les risques dans les domaines définis par la mission et le périmètre d'action ;
signaler les problèmes importants liés aux processus de contrôle des activités de l'organisation et de ses sociétés
affiliées, y compris les améliorations susceptibles d'être apportées à ces processus, et fournir des informations sur ces
problèmes jusqu'à leur résolution ;
les tenir régulièrement informés du statut et des résultats du plan annuel d'audit et leur indiquer si les ressources du
service sont suffisantes ;
coordonner et superviser les autres fonctions de contrôle et de surveillance (gestion des risques, conformité, sécurité,
fonction juridique, éthique, environnement, audit externe).
INDÉPENDANCE
Pour qu'il y ait l'indépendance au niveau du département d'audit interne, son personnel doit rendre compte au RAI, qui doit
rendre compte sur le plan administratif au directeur général et sur le plan fonctionnel au Conseil et au comité d'audit,
comme indiqué dans la section ci-dessus intitulée Responsabilité. Un rapport régulier sur le personnel d'audit interne sera
inclus dans le cadre du rapport au comité d'audit
RESPONSABILITÉS
Le RAI et le personnel du service d'audit interne ont les responsabilités suivantes :
Développer un plan annuel flexible approprié d'audit interne en utilisant une méthodologie fondée sur les risques, inclure
tout risque ou contrôle identifié par le management et communiquer ce plan au comité d'audit pour révision et accord.
Mettre en œuvre le plan annuel d'audit approuvé, y compris, le cas échéant, l'ensemble des tâches et projets spéciaux
demandés par la direction et le comité d'audit.
Avoir recours à des professionnel d'audit qui possèdent les connaissances, le savoir-faire et l'expérience nécessaire
ainsi que les certifications professionnelles requises pour remplir les exigences de cette charte.
Établir un programme de qualité d'assurance par lequel le RAI assure la mise en œuvre des activités d'audit interne.
Exécuter des services de conseils, qui vont au-delà des services d'assurance de l'audit interne, pour aider le
management à atteindre ses objectifs. On peut citer comme exemple la facilitation, la conception de processus, la
formation et les services de conseils.
Évaluer les principales fonctions de fusion/consolidation ainsi que les services, processus, opérations et processus de
contrôle nouveaux ou en évolution au moment de leur développement, mise en œuvre et/ou expansion.
Émettre des rapports réguliers à l'attention du comité d'audit et de la direction, récapitulant les résultats des activités
d'audit.
Tenir le comité d'audit informé des nouvelles tendances et des pratiques d'audit interne fructueuses.
Fournir une liste des principaux objectifs d'évaluation et les résultats correspondants au comité d'audit.
Contribuer aux enquêtes majeures portant sur des suspicions d'activités frauduleuses au sein de l'organisation et
informer la direction et le comité d'audit des résultats.
Étudier le périmètre d'action des auditeurs et régulateurs externes, le cas échéant, dans le but d'assurer un périmètre
d'audit optimal à l'organisation et ce, à un coût global raisonnable.
POUVOIRS
Le RAI et le personnel du service d'audit interne sont habilités à :
Bénéficier d'un accès illimité à l'ensemble des fonctions, informations, équipements et personnels ;
Jouir d'un accès libre et entier au comité d'audit ;
Allouer des ressources, définir des fréquences, sélectionner des sujets d'analyse, déterminer des périmètres d'action et
appliquer les techniques requises afin de remplir les objectifs d'audit ;
Obtenir l'assistance nécessaire du personnel des unités de l'organisation concernées par les audits, ainsi que d'autres
services spécialisés, internes ou externes à l'organisation.
_________________________________
Le Responsable d'audit interne
_________________________________
Le Président du comité d'audit
_________________________________
Le Directeur général
___________________________
Date
Source : « Modèle de charte d'activité d'audit interne (Model Internal Audit Activity Charter) », The Institute of Internal
Auditors, www.theiia.org/download.cfm?file=26484.
Descriptions de postes. Les descriptions de postes doivent identifier les critères de performance
exceptionnelle, les connaissances et savoir faire nécessaires pour réaliser un large éventail de
missions d'audit de manière efficace. Sont notamment décrits les postes d'auditeur, d'auditeur
confirmé et de responsable d'audit, ainsi que d'autres postes uniques liés à la fonction d'audit.
Selon la taille et le degré de formalité d'une organisation, les brochures, bulletins d'informations,
publications et questionnaires peuvent être diffusés au format électronique ou imprimés, voire les
deux.
Les exemples de ressources suivants, qui permettent de promouvoir la fonction d'audit interne, sont
disponibles sur le site Web de l'IIA.
« L'audit Interne - un travail quotidien » (Internal Auditing—All in a Day’s Work) : une brochure
exemple sur l'audit interne.
« Votre équipe d'audit interne » : une présentation Powerpoint qui peut être personnalisée et
utilisée pour promouvoir la fonction d'audit au sein d'une organisation.
Les structures d'audit interne doivent faire preuve d'indépendance et d'objectivité dans l'exécution de
leurs activités d'assurance et de conseil. Le glossaire des Normes définit ces termes comme suit :
L'indépendance est « la liberté d'agir sans avoir à se soumettre à des conditions qui menacent la
capacité de l’audit interne à assumer, de manière impartiale, ses responsabilités ».
L'objectivité est « une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs
missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compromis.
L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui
d’autres personnes ».
Illustration I-8 : Normes sur l'indépendance et l'objectivité et Modalités pratiques d'application / Guides pratiques
Favoriser l'indépendance
Indépendance et rattachements hiérarchiques
L'indépendance est liée à l'activité d'audit interne et établie par la structure hiérarchique de
l'organisation. Suivant la meilleur pratique et en raison d'un double rattachement, le RAI (et de ce
fait, l'activité d'audit interne) doit rendre compte à la direction générale (CEO, CFO, etc.) et au
comité d'audit. L'llustration I-9 permet de visualiser la structure de ce rattachement.
Rattachement fonctionnel
Un rattachement fonctionnel permet d'atteindre une indépendance et une autorité finale.
L'indépendance de l'organisation est garantie de manière efficace lorsque le responsable de l'audit
interne rend compte au Conseil sur le plan fonctionnel. Lorsqu'il existe un rattachement fonctionnel au
Conseil, le Conseil doit :
Approuver la charte d'audit interne.
Approuver le plan d'audit interne axé sur les risques.
Approuver le budget de l'audit interne et le plan sur les ressources.
Être destinataire des informations adressées par le responsable d’audit relatives à la réalisation
du plan d’audit ou de tout autre sujet afférent à l’audit interne
Approuver les décisions relatives à la nomination et la révocation du responsable de l'audit
interne.
Approuver la rémunération du responsable de l'audit interne.
Demander des informations pertinentes au management et au responsable de l’audit interne pour
déterminer l’adéquation du périmètre et des ressources de l’audit interne (interprétation de la
Norme 1110).
Rattachement administratif
Le rattachement administratif facilite les opérations quotidiennes de la fonction d'audit interne.
Quelques exemples ci-dessous de rattachement administratif :
La budgétisation et la comptabilité de gestion.
L'administration des ressources humaines, y compris les évaluations du personnel et la
rémunération.
Les communications internes et les flux d’informations.
La gestion des règles et procédures de l’audit interne.
L'importance de l'indépendance
Le double rattachement hiérarchique supporte l'indépendance de l'activité d'audit interne et permet
aux auditeurs internes d'effectuer leur travail librement et objectivement et de rendre des jugements
impartiaux. Le rattachement permet d'assurer :
Un flux d'informations approprié à travers l'organisation ;
Un accès aux principaux cadres et responsables ;
Une communication appropriée des résultats de l'activité d'audit interne.
Le RAI doit contrôler les rapports de rattachement. Toute situation qui affecte l'indépendance et
l'efficacité des opérations de la fonction d'audit interne doit être soumise à l'attention du comité
d'audit (ou son équivalent).
Les lignes qui suivent décrivent plusieurs moyens pour le RAI de s'assurer que les relations de
l'activité d'audit interne avec le Conseil, la direction et le comité d'audit contribuent à son
indépendance organisationnelle.
Rendre compte à un membre de la direction générale suffisamment haut placé pour promouvoir
l'indépendance et assurer un large périmètre d'audit.
La personne à qui le RAI rend compte doit être suffisamment haut placé pour assurer l'efficacité de la
fonction d'audit. Par ailleurs, cet individu doit faire preuve du bon état d'esprit sur les sujets du
contrôle et de la gouvernance pour aider le RAI dans son rôle et se montrer suffisamment disponible
et impliqué pour soutenir activement le RAI sur les problèmes d'audit. Enfin, cette personne doit
comprendre et supporter le principe de rattachement fonctionnel.
Une communication directe avec le comité d'audit est un autre élément essentiel Des dispositions
doivent être prises pour que le RAI puisse :
Bénéficier d'un accès libre et direct au président comme aux membres du comité d'audit ;
Assister aux réunions de comité d'audit pour présenter un plan d'audit, communiquer les résultats
importants d'audit et les principales constatations et discuter des observations concernant le risque
et les contrôles internes de l'audit interne au sein d'une organisation.
Communiquer avec le président du comité d'audit en dehors des sessions prévues, notamment en
cas de circonstances critiques telles qu'une fraude grave ou tout autre événement de risque majeur.
Pour renforcer davantage l'indépendance et le principe de rattachement fonctionnel, le RAI doit être
autorisé à se réunir en privé avec le comité d'audit ou son équivalent, sans que le management soit
nécessairement présent et diffuser des mémos confidentiels, ou rendre compte uniquement au comité
d'audit.
En définitive, le RAI et les auditeurs internes, le comité d'audit, et le Conseil d'administration sont
tous interdépendants. Ils doivent être accessibles les uns aux autres et se soutenir mutuellement.
Lorsqu’il existe une pleine réciprocité, les auditeurs internes peuvent formuler des opinions
objectives, informer, supporter et sensibiliser le comité d'audit, et le comité d'audit peut ainsi assurer
une supervision appropriée et valider les activités d'audit interne.
Favoriser l'objectivité
Il existe différentes sections au niveau des services que l'activité d'audit interne fournit. Au sein d'une
entreprise, les clients potentiels peuvent être des dirigeants de l'organisation, le Conseil, la direction
des opérations et le comité d'audit.
Bien qu'une organisation souhaite favoriser une synergie stratégique à travers différentes fonctions,
certains clients peuvent avoir différents intérêts. Ainsi, les primes attribuées aux cadres supérieurs
peuvent être liées au résultat net. Les opérations peuvent quant à elles s'attacher aux résultats d'audit
susceptibles d'améliorer les performances opérationnelles Alors que le comité d'audit se préoccupe
principalement des activités de contrôle et de la gestion des risques. Pour compliquer le tout,
l'auditeur interne est employé par le management mais doit aussi évaluer le management. Malgré ces
conflits d'intérêts potentiels, un auditeur interne doit rester objectif (ce qui représente un niveau
intellectuel indépendant) lors de l'exécution des missions.
Par exemple, il faudra envisager des mesures lorsqu'un auditeur qui a été promu à un département
d'opérations effectue un audit interne du dit département. Si le temps et les moyens logistiques le
permettent, ou si on peut légitimement suspecter l'existence d'un conflit d'intérêts ou d'un risque de
partialité, la modalité pratique d'application 1130-1.1 recommande que l'auditeur cesse d'auditer ce
service et que le responsable d'audit interne lui confie une autre mission. Une autre option à
envisager serait de confier les révisions des constatations et conclusions de l'audit à une personne qui
serait indépendante de l'audit.
Préservation de l'objectivité individuelle
Les politiques et les évaluations continues de l'objectivité individuelle aideront l'auditeur interne à
exercer ses fonctions objectivement. Dans le but de maintenir une objectivité individuelle on pourrait
ajouter les meilleures pratiques suivantes.
Le responsable de l'audit interne doit s'entretenir périodiquement avec le personnel d'audit interne
concernant les conflits d'intérêts et les biais potentiels.
Une rotation régulière des missions confiées aux auditeurs internes doit être pratiquée dès que les
conditions le permettent.
Un auditeur interne ne peut accepter une commission, un cadeau ou une invitation de la part d'un
employé, d'un client, d'un fournisseur ou d'un partenaire.
L'objectivité doit être maintenue dans les faits ou même en apparence. Les objets promotionnels de
faible valeur (stylos, calendriers ou échantillons...) accessibles aux employés et au public, ne sont
pas de nature à entraver le jugement professionnel des auditeurs internes. De même, accepter une
invitation à déjeuner ou se laisser payer son déjeuner ne doit pas compromettre l'objectivité d'un
auditeur interne. Pour préserver son objectivité en toutes circonstances, il convient d'opposer ce qui
est « raisonnable » à ce qui pourrait être perçu comme un conflit d'intérêts. Un conflit d'intérêts est
défini comme « toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un
conflit d'intérêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et
responsabilités » (glossaire de Normes).
Certaines mesures peuvent aider à limiter cette atteinte et préserver l'indépendance de l'auditeur ou
résulter en compromis d'intérêts qui influencent le jugement ou les opinions d'un auditeur. Les
auditeurs internes doivent immédiatement signaler à leurs superviseurs toute proposition de
commission ou de cadeau d'une valeur significative.
La démarche suivante fortement recommandée est issue de la Modalité pratique d'application 1130-1,
« Atteinte à l'indépendance et à l'objectivité » :
Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle ou potentielle, susceptible d’altérer leur
indépendance ou leur objectivité, ou le consulter s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit
interne constate l’existence d’une atteinte réelle ou supposée, il doit alors réaffecter les auditeurs concernés.
Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de réaliser ses objectifs et son
planning. Entre autres, une limitation du champ d'intervention peut restreindre :
Le domaine d’intervention défini dans la charte d’audit interne ;
L’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des missions ;
Le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ;
La performance des procédures nécessaires de missions;
Les prévisions d'effectifs et le budget financier approuvés;
S'il existe une limitation du champ d'intervention, et tout effet potentiel associé, cela doit être communiqué au Conseil, de préférence
par écrit. Le responsable de l'audit interne juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette
instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein
de l’organisation, du Conseil ou de la direction générale.
Les missions d'audit interne peuvent être dotées de différentes façons pour aider à assurer que les
audits sont effectués par des personnes possédant les connaissances, savoir faire et autres
compétences requises :
Audits en interne Établir une équipe d'audit spécialisée possédant les ressources nécessaires.
Détachement Les « auditeurs invités » sont des employés travaillant dans un autre service de
l'organisation et à qui on a fait appel pour qu'ils rejoignent l'activité d'audit pendant une période
déterminée, généralement de un à 24 mois.
Quelle que soit la méthode de dotation utilisée, les standards de performance d'audit ne doivent pas
être compromis. Le RAI doit s'assurer que les auditeurs auxquels est confiée une activité d'audit
interne possèdent les aptitudes requises pour exécuter leur mission de conseil ou d'assurance de
manière compétente, indépendante et objective. Le RAI devrait demander l'assistance dont il a besoin
ou même envisager de refuser une mission si le personnel ou les compétences requises pour la
mission ne sont pas disponibles.
La connaissance représente l'ensemble des informations nécessaires pour pouvoir mener à bien
l'activité d'audit interne.
Exemples : Les connaissances requises pour effectuer des audits techniques tels que des enquêtes pour fraude ou participer aux
activités de Cycle de développement des systèmes (SDLC, « systems development life cycle »); la connaissance des éléments de
l'audit interne (comme expliqué dans la partie 3 du système d'apprentissage).
Les compétences représentent les connaissances collectives, les compétences, les aptitudes et les
qualités personnelles qui peuvent conduire à des performances exceptionnelles.
Exemples : Utiliser ses connaissances professionnelles en termes de processus d'entreprise, de connaissance des risques et des
indicateurs de fraude et les compétences nécessaires à la conduite d'une enquête et les compétences interpersonnelles afin d'évaluer
si quelqu'un ment.
Les compétences sont plus que des connaissances, savoir faire et expérience de base liées à un
métier. Il s'agit d'attitudes développées au fil du temps et qui correspondent à un ensemble de
capacités, traits de caractère et connaissances indispensables à la réussite. Les aptitudes sont propres
à l'employé ; il peut les appliquer d'une mission d'audit à une autre, d'un poste à un autre, voire d'un
employeur à un autre.
La Modalité pratique d'application 1210-1 établit les distinctions entre les termes suivants :
compétences, compréhension et appréciation. Les exemples suivants illustrent les différences entre
ces termes.
Compétence : la capacité à appliquer les connaissances pour faire face à toutes situations
possibles afin de pouvoir les traiter de manière appropriée sans avoir recours à la recherche et à
l'assistance technique.
Exemple : Un auditeur interne est compétent de manière indépendante dans le cadre de situations uniques et complexes liées à des
concepts de fraude. Les compétences permettent de réunir les preuves nécessaires et d'évaluer la fonctionnalité d'un contrôle.
Cette compréhension implique une capacité à appliquer des connaissances générales aux
situations susceptibles d’être rencontrées au cours des audits, de détecter les écarts significatifs et
d’être capable de procéder aux recherches nécessaires pour aboutir à des solutions raisonnables ;
Exemple : Un auditeur interne suit une formation pour apprendre les méthodes de détection et comment reconnaître les signaux
d'alerte de fraude. Sous la supervision et avec l'aide d'autres personnes, il identifie les signaux d'alerte en matière de fraude
potentielle au cours d'une enquête pour fraude.
Exemple : un nouvel auditeur interne, qui vient de rejoindre l'équipe et connaît très bien l'approche rigoureuse utilisée par l'activité
d'audit interne pour réaliser des audits, reconnaît les signaux d'alerte indicateurs d'une fraude potentielle alors qu'il exécute une
mission.
Les connaissances, le savoir-faire et les autres compétences qu'un auditeur interne doit avoir
comprennent :
La maîtrise des normes, procédures et techniques d'audit interne nécessaires à l'exécution de
missions ;
La maîtrise des principes et techniques comptables (pour les auditeurs travaillant de manière
intensive sur les registres et rapports financiers) ;
Une bonne compréhension des principes de gestion et des bonnes pratiques commerciales, de
manière à savoir reconnaître et évaluer les écarts ;
De bonnes notions dans des domaines clés tels que la comptabilité, l'économie, le droit
commercial, la fiscalité, la finance, les méthodes quantitatives et les technologies de l'information,
selon la nature de l'organisation.
Les auditeurs internes doivent également avoir une compréhension des relations humaines et pouvoir
communiquer et traiter avec les clients de mission. Du reste, les compétences de communication
orales et écrites sont nécessaires pour que l'auditeur interne puisse transmettre clairement et
efficacement les informations relatives aux objectifs de la mission, aux évaluations, aux conclusions
et aux recommandations. La norme de fonctionnement 2420, « Qualité des communications », stipule
que « les communications doivent être précises, objectives, claires, concises, constructives,
complètes et opportunes. » Son interprétation nous permet de dégager les points suivants :
Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sousjacents. Une
communication objective est juste, impartiale, non biaisée et résulte d’une évaluation équitable et mesurée de tous les faits et
circonstances pertinents. Une communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un
langage excessivement technique et fournit toute l’information significative et pertinente. Une communication concise va
droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une
communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une
communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information significative et
pertinente, ainsi que les observations permettant d’étayer les recommandations et conclusions. Une communication émise en
temps utile est opportune et à propos, elle permet au management de prendre les actions correctives appropriées en fonction
du caractère significatif de la problématique.
Parmi les autres compétences essentielles peuvent figurer une connaissance approfondie du secteur
d'activité de l'organisation, des normes de l'audit interne et des meilleures pratiques; une
connaissance et une expertise techniques; les connaissances et le savoir-faire de la mise en œuvre et
l'amélioration des processus financiers et opérationnels.
Illustration I-11 : Liens relatifs à la compétence pour les effectifs spécifiques et les domaines spécifiques
Ces catégories délimitent des aptitudes pertinentes, chacune avec un niveau de maîtrise défini :
1 = Simple sensibilisation.
2 = Aptitudes et connaissances de base utilisées avec l'aide d'autres personnes.
3 = Compétent de manière autonome dans des situations habituelles.
4 = Compétent de manière autonome dans des situations uniques et complexes.
La certification professionnelle (comme la certification CIA de l'IIA) est une preuve supplémentaire
de compétence et de professionnalisme. Vous trouverez plus de détails sur cette certification à la
Rubrique 6 de cette section.
Toutes ces activités de gestion du personnel doivent tendre vers un même objectif : faire en sorte que
le personnel d'audit interne dans son ensemble possède les connaissances et les compétences
essentielles à l'exercice de la profession au sein de l'organisation.
Une analyse annuelle des connaissances et des compétences d'un service d'audit doit être effectuée
pour aider à identifier le champ d'opportunités qui peut être traité par une formation professionnelle
continue, le recrutement ou le co-sourcing. L'illustration I-12 décrit un outil d'évaluation de la
compétence professionnelle du personnel. L'outil est aligné sur les Normes.
Le fait de planifier ou d'accepter des missions qui ne peuvent être effectuées que par une personne
compétente est susceptible de rendre l'organisation vulnérable et de la juger inadéquate au niveau de
l'efficacité de la gestion du risque et des processus de contrôle et de gouvernance. De plus, le fait
d'accepter ces missions n'est pas conforme au Code de déontologie ou à la Norme de qualification
1210, « Compétence ». La réputation de la fonction d'audit interne peut également s'en trouver
affaiblie.
Le RAI détermine si le prestataire extérieur de services possède les connaissances, les compétences et autres aptitudes nécessaires à
l'exécution de la mission en s'appuyant sur les éléments suivants :
Les certifications professionnelles, les licences ou autres reconnaissances des compétences du prestataire extérieur de services
dans la discipline concernée.
L'appartenance du prestataire extérieur de services à une organisation professionnelle appropriée et le respect du code de
déontologie de cette organisation.
La réputation du prestataire externe de services. La prise en compte de cet élément peut impliquer la consultation de tiers faisant
habituellement appel aux travaux du prestataire ;
L'expérience du prestataire extérieur de services concernant le type de travail considéré.
Le niveau de formation reçu par le prestataire extérieur de services dans les disciplines liées à la mission en question.
Les connaissances et l'expérience du prestataire extérieur de services dans le secteur d'activité de l'organisation.
Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe, l’organisation et son service d’audit
interne, et s’assurer que l’indépendance et l’objectivité du prestataire externe seront garanties tout au long de la mission. Pour
procéder à cet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le
prestataire externe de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de l’émission
de ses rapports.
Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de la mission du prestataire externe, de façon
à pouvoir vérifier que ses travaux répondent aux objectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la
mission et divers autres points dans une lettre de mission ou dans un contrat. Pour cela, le RAI doit examiner les données suivantes
avec le prestataire externe de services :
Les objectifs et le périmètre d'action, y compris les éléments livrables et les échéances.
Les points précis à aborder dans les rapports d'audit.
L'accès aux dossiers, au personnel et aux propriétés matérielles concernés.
Les hypothèses et procédures à utiliser.
La propriété et la détention des papiers de travail de la mission, le cas échéant.
La confidentialité et les restrictions portant sur les informations obtenues au cours de la mission.
Le cas échéant, il faut se conformer aux Normes, et aux normes de l'activité d'audit interne dans le cadre des pratiques de travail.
Ces points et autres remarques importantes sont clairement expliqués dans la lettre ou le contrat de
mission. Le cas échéant, la conformité aux Normes de l'IIA et aux normes du département d'audit dans
le cadre des pratiques de travail devra être référencée dans la lettre de mission.
grâce aux guides pratiques suivants : Guide to the Assessment of IT Risk (GAIT) et le Global
Technology Audit Guide® (GTAG®).
Comme indiqué dans la norme de mise en œuvre 1210.A3 (Missions d'assurance), « Les auditeurs
internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux
technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en
œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont
pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique.
Le professionnalisme est en jeu lorsque les audits internes sont menés en accord avec les Normes.
Illustration I-15 : Normes de conscience professionnelle et Modalités pratiques d'application (suite page suivante)
Implications de la notion de professionnalisme
Durant un audit interne la notion de professionnalisme exige que :
Les auditeurs internes doivent être indépendants des activités qu'ils auditent.
Les audits internes doivent être réalisés par des individus qui, ensemble, possèdent les
connaissances, compétences et domaines d'expertise nécessaires à un audit efficace et objectif.
Le travail d'audit doit être planifié et supervisé.
Les rapports d'audit doivent être objectifs, clairs, concis, constructifs et délivrés au moment
opportun.
Les auditeurs internes doivent effectuer un suivi des résultats d'audit communiqués dans les
rapports pour s'assurer que les mesures appropriées ont été prises.
Comme indiqué dans la norme 1220, « Conscience professionnelle », « Les auditeurs internes doivent
apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne
raisonnablement averti et compétent ». La conscience professionnelle n'implique pas l'infaillibilité.
La modalité pratique d'application associée « Conscience professionnelle », déclare : « La notion de
conscience professionnelle implique un soin et un niveau de compétence raisonnables, pas une
infaillibilité ni des performances extraordinaires. Cela signifie que l’auditeur interne procède à des
vérifications et des contrôles raisonnablement approfondis. En conséquence, l’auditeur interne ne
peut donner une assurance absolue qu’il n’existe aucune anomalie ou irrégularité. Cela signifie que
l’auditeur interne procède à des vérifications et des contrôles raisonnablement approfondis.
Néanmoins, la possibilité d’irrégularités ou de non conformités importantes devra toujours être
envisagée lorsque l’auditeur interne entreprend une mission ».
Un auditeur interne exerçant son métier avec professionnalisme doit :
Faire preuve du soin et de la compétence attendus d'un auditeur interne raisonnablement prudent et
compétent dans des circonstances identiques ou similaires, en s'adaptant au niveau de complexité
de la mission en cours d'exécution ;
Porter une attention particulière aux fautes intentionnelles, erreurs et omissions, inefficacité, perte
et conflits d'intérêts possibles.
Porter une attention particulière aux conditions et activités les plus vulnérables aux irrégularités ;
Identifier les contrôles inadéquats et recommander des améliorations pour promouvoir le respect
des procédures et pratiques acceptables.
La nature des processus en cours d'évaluation est également importante. Ainsi, évaluer l'adéquation et
l'efficacité des processus de contrôle, gestion des risques et gouvernance est au cœur de la notion de
professionnalisme lors d'une mission.
Pour remplir ses fonctions avec professionnalisme lors de missions d'assurance, les auditeurs doivent
considérer la probabilité d'erreurs, d'irrégularités ou de non-conformité ainsi que le coût de
l'assurance par rapport aux bénéfices potentiels.
Les deux Normes de mise en œuvre qui se réfèrent spécifiquement à ce concept -1220.A2 et 1220.A3
- sont décrites ci-dessus à l'illustration 1-15.
En ce qui concerne le professionnalisme dans le cadre des missions de conseils, l'audit interne doit
prendre en compte :
Les besoins des représentants de la direction, y compris la nature, le calendrier et la
communication des résultats de la mission ;
Les motivations et raisons possibles des personnes à l'origine de cette demande ;
Le volume de travail nécessaire pour atteindre les objectifs de la mission ;
Les compétences et ressources nécessaires pour mener la mission ;
Les effets sur le périmètre du plan d'audit approuvé par le comité d'audit ;
L'impact potentiel sur les futures missions d'audit ;
Les avantages organisationnels qui peuvent être tirés de la mission.
Exécuter une mission en l'absence de connaissance ou d'expérience du sujet et sans supervision est un
exemple de non-professionnalisme.
Ce qui permet de développer et de renforcer les compétences d'un auditeur permet aussi
d'approfondir les connaissances. On peut citer par exemple une formation spécialisée dans les
processus d'entreprise, les techniques d'audit, les compétences interpersonnelles, les compétences de
communication et dans tout autre domaine connexe.
Plusieurs facteurs influencent la façon dont les individus apprennent au fil du temps. Une grande
organisation disposera plus facilement des ressources, des installations et du budget nécessaires pour
proposer des formations en interne. D'autres organisations choisiront d'indemniser les employés pour
leur participation à des programmes externes. Chaque individu peut développer une préférence pour
un mode d'apprentissage particulier (autoformation, séminaires, formations en ligne...). Celui qui
revient constamment est la nécessité d'un apprentissage continu de l'audit interne.
Il est possible d'obtenir une certification suivant les résultats obtenus dans les disciplines suivantes.
Sortir diplômé d'un programme de formation agréé ou approuvé.
Détenir un type ou une durée d'expérience professionnelle spécifié.
Obtenir des résultats satisfaisants à un examen d'aptitude.
Pour plus d'informations spécifiques sur les programmes de certification de l'IIA, veuillez consulter
le site web de l'IIA www.theiia.org.
La plupart des programmes de certification exigent que les titulaires d'une certification font preuve
d'une compétence continue. Le terme
« recertification » est utilisé pour décrire les politiques qui exigent une preuve de conformité
continue à certains critères. Pour maintenir la validité de leurs accréditations, les individus certifiés
doivent se soumettre à des processus d'évaluation pour prouver qu'ils détiennent toujours certaines
compétences. En général, le recertification exige qu'une formation professionnelle continue (CPE,
continuing professional education) soit suivie une fois par an ou tous les cinq ans. Les RAI doivent
suivre au moins 40 heures de formation par an pour satisfaire aux exigences CPE et conserver leur
certification.
Dans quels cas les auditeurs internes doivent-ils envisager la certification et le processus de
recertification ? Les principaux avantages sont les suivants :
Elles attestent la maîtrise d'un ensemble de connaissances défini.
Elles renforcent la crédibilité et le prestige professionnels.
Elles confirment la maîtrise des normes de pratique professionnelle.
Elles facilitent le perfectionnement professionnel.
Elles permettent de rester informé des dernières nouveautés d'un domaine d'exercice.
Un département d'audit interne entièrement sous-traité doit aussi avoir un QAIP, indépendamment de
si le fournisseur externe en a mis un en place dans le cadre de ses propres activités. Par exemple,
PricewaterhouseCoopers a mis en place un QAIP pour ses activités annuelles, mais chacun de ses
clients (par exemple, « entreprise XYZ ») doit également mettre en place un programme.
La norme 2070, « Responsabilité de l’organisation en cas de recours à un prestataire externe pour ses
activités d’audit interne », stipule « Lorsque l’activité d’audit interne est réalisée par un prestataire
de service externe, ce dernier doit alerter l’organisation qu’elle reste responsable du maintien d’un
audit interne efficace ». Selon l'interprétation, « Cette responsabilité est démontrée par le
programme d’assurance et d’amélioration qualité, lequel évalue la conformité avec la Définition
de l’audit interne, le Code de déontologie et les Normes ».
Illustration I-18 : Assurance et amélioration qualité de l'activité d'audit Normes d'activité et Modalités pratiques
d'application / Guides pratiques
Établissement et mise en œuvre d'un programme
d'assurance et d'amélioration qualité
La norme de qualification 1322 stipule que « le responsable de l'audit interne doit élaborer et tenir à
jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne
» L'interprétation de la norme indique que : « Un programme d'assurance et d'amélioration qualité
est conçu de façon à évaluer la conformité de l’audit interne avec la Définition de l’audit interne,
les Normes et d'évaluer le respect du Code de Déontologie par les auditeurs internes. Ce
programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit
interne et d’identifier toutes possibilités d’amélioration ».
La Modalité pratique d'application 1300-1, « Programme d'assurance et d'amélioration qualité » stipule ce qui suit :
Le responsable de l'audit interne s’assure de la mise en œuvre de processus permettant de donner aux diverses parties prenantes de
l’audit interne l’assurance raisonnable que ce service :
Exerce en accord avec la charte d'audit interne qui elle est cohérente avec la Définition d'audit interne, le Code de déontologie et
les Normes.
Opère de manière efficace et efficiente.
Contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à améliorer le fonctionnement de l’organisation.
Parmi ces processus peuvent figurer une supervision appropriée, des évaluations périodiques internes, un contrôle continu de la qualité
d'assurance, et des évaluations périodiques externes.
L'illustration I-19 à la page suivante donne un exemple d'évaluations de la qualité au niveau interne et
externe.
La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité d’audit
interne. La surveillance continue est intégrée dans les procédures et les pratiques courantes de gestion du service d’audit
interne. Ce contrôle utilise les processus, les outils et les informations nécessaires à l’évaluation du service d’audit interne
en termes de conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes.
Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit interne à la définition
de l’audit interne, au Code de Déontologie et aux Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de l’ensemble des éléments
du cadre de référence international des pratiques professionnelles
Évaluations internes
Le RAI met en place des évaluations internes continues pour évaluer régulièrement et
individuellement les pratiques et politiques des procédures d'audit. Le type et le nombre
d'évaluations varient en fonction de la nature de l'organisation. Des processus et des outils
spécifiques doivent être définis pour chaque organisation. Les conclusions doivent être développées
régulièrement, et des mesures adéquates doivent être prises pour améliorer la qualité des activités
continues d'audit.
Les évaluations périodiques représentent un autre aspect important du processus d'évaluation interne.
Elles s'apparentent davantage à une méthode d'auto-évaluation programmée visant à déterminer si les
actions appropriées sont entreprises et si des changements nécessitent d'être apportés aux pratiques et
procédures d'audit interne afin d'améliorer la qualité des programmes. Ce procédé périodique d'auto-
évaluation est aussi utilisé par d'autres organisations pour qu'elles puissent effectuer leur propre
évaluation conformément aux Normes. Ce type de révision leur permet de mener leur propre
évaluation avant toute évaluation externe de la qualité.
Mesures de la qualité
La modalité pratique d'application 1311-1 donne des conseils concis pour établir des mesures de
performance afin d'évaluer l'activité d'audit interne. Il est recommandé de consulter ce guide en
liaison avec les Normes et toutes autres méthodes de mesures les plus courantes.
Bien que cette modalité pratique contienne plusieurs exemples de mesures spécifiques considérées
comme essentielles, il est important de bien comprendre qu'il n'existe aucun ensemble de mesures
efficaces applicables de manière universelle à toutes les activités d'audit. Les mesures quantitatives
et les évaluations qualitatives sont importantes pour démontrer la performance de l'activité d'audit
aux parties prenantes clés.
L'illustration I-20 offre une perspective précise et ponctuelle des mesures de performance,
considérées importantes pour un certain nombre de RAI.
Il est de la responsabilité du RAI d'établir une structure pour communiquer les résultats des
évaluations périodiques qui permettent de conserver une crédibilité et une objectivité adéquates. En
général, les individus réalisant les révisions permanentes et périodiques doivent rendre compte au
RAI tout au long de l'exécution de ces révisions et lui communiquer directement leurs résultats.
Si les résultats de l'évaluation interne déterminent qu'il existe des points à améliorer ceux-ci doivent
être mis en œuvre par le RAI par le biais du QAIP.
Pour plus d'informations sur l'exécution de revues internes permanentes, consultez la modalité
pratique d'application 1311-1, « Évaluations internes ».
Évaluations externes
Selon l'interprétation de la Norme 1312 :
Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec
validation indépendante externe.
Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique
professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers
une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des
organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à
privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes
les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir
de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de
compétences pour pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit
interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.
Les qualifications nécessaires sont les mêmes pour les trois équipes d’évaluation. Une équipe externe
d'évaluation doit comporter des membres ayant les connaissances nécessaires de la technologie de
l'information, de l’expérience pertinente dans ce secteur d'activité, et de l’expertise dans d’autres
disciplines spécialisées (telles que la comptabilité, les taxes, les affaires environnementales le cas
échéant).
La conformité à la Définition d'audit interne au Code de déontologie; aux Normes; à la charte, aux
plans, politiques, procédures, pratiques et exigences législatives et réglementaires applicables de
l'activité d'audit interne.
Les attentes de l'activité d'audit interne comme indiquées par le Conseil, la direction générale et les
directeurs des opérations.
L'intégration de l'activité d'audit interne au processus de gouvernance de l'organisation, y compris les
relations entre et parmi les principaux groupes impliqués dans le processus.
Les outils et techniques employés par l'activité d'audit interne.
Un ensemble de connaissance, expérience et de disciplines au sein du personnel y compris une
concentration sur l'amélioration des processus.
Déterminer si ou non l'activité d'audit interne apporte de la valeur ou améliore les opérations d'une
organisation.
Le Manuel sur l'évaluation de la qualité et les Modalités pratiques d'application 1312-1 et 1312-2
contiennent des informations supplémentaires sur l'évaluation externe.
Le RAI doit également communiquer les détails des actions correctives planifiées pour les problèmes
importants et rendre compte de la mise en œuvre de ces mesures.
La Modalité pratique d'application stipule aussi que le rapport sur l'évaluation indépendante doit
exprimer (si cela bénéficie l'opinion générale) le degré de conformité partielle à la Définition d'audit
Interne au Code de déontologie et/ou aux Normes individuelles.
Selon l'interprétation de la Norme 1321 : « Le service d’audit interne est en conformité avec les
Normes lorsqu’il respecte les exigences de la Définition de l’audit interne, du Code de
déontologie et des Normes. Les résultats du programme d’assurance et d’amélioration qualité
incluent les résultats des évaluations internes et des évaluations externes. Les résultats du
programme d’assurance et d’amélioration qualité incluent les résultats des évaluations internes et
des évaluations externes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté
disposeront également des résultats de leurs évaluations externes ».
Selon le cas, les évaluations doivent inclure des recommandations visant à obtenir certaines
améliorations.
La norme 1320 stipule que « le responsable de l'audit interne doit communiquer les résultats du
programme d'assurance et d'amélioration qualité à la direction générale ainsi qu’au Conseil ».
L'interprétation de la norme 1320 clarifie les points inclus dans cette communication : « Pour
démontrer la conformité à la Définition de l’audit interne, au Code de Déontologie et aux Normes,
les résultats des évaluations internes périodiques et des évaluations externes doivent être
communiqués dès l’achèvement de ces évaluations. Les résultats de la surveillance continue sont
quant à eux communiqués au moins une fois par an. Ces résultats incluent l’appréciation de
l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité de l’activité d’audit interne ».
D'après le Manuel d'évaluation qualité de l'IIA, l'aspect le plus important de l'évaluation externe est
l'évaluation, par l'équipe, de la conformité de l'activité d'interne aux Normes et à sa charte et inclut le
champ d'utilisation des meilleures pratiques ainsi que son programme d'amélioration progressive.
Ces évaluations ont aussi pour but d'examiner les possibilité d'amélioration et les recommandations
qui favoriseraient le respect des Normes, apporteraient de la valeur aux clients, et en général, jouer
un rôle de catalyseur pour promouvoir un changement positif au sein d'une organisation.
Dans la plupart des organisations le processus externe de communication de l'évaluation est mené de
la manière suivante :
Les résultats des évaluations externes sont communiqués à la direction générale et au comité
d'audit et décrits dans un rapport d'évaluation externe de la qualité.
Le responsable de l'équipe d'audit externe peut être invité à effectuer des présentations à
l'encadrement supérieur de l'organisation et au comité d'audit pour s'assurer que les opportunités
identifiées sont bien comprises et garantir un programme d'audit interne amélioré.
Les actions d'amélioration du programme d'audit interne prévues par le RAI sont incluses dans le
rapport.
Le RAI rend compte au comité d'audit pour communiquer les progrès réalisés en matière de
renforcement du programme d'audit interne.
Étapes suivantes
Vous avez terminé la Partie 1, Section I du CIA Learning System®. À présent, vérifiez votre
compréhension en effectuant le ou les tests en ligne spécifiques à cette section pour vous aider à
identifier tout contenu mal assimilé.
Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces
informations, vous pouvez passer à l'étude de la Section II.