Normes Professionnelles

NORMES PROFESSIONNELLES
DE LAUDIT INTERNE
Inclus : la dfinition le code de dontologie les normes les modalits pratiques dapplication
accompagnes des commentaires de lIFACI
En annexe : version en anglais des normes publies par lIIA, The Institute of Internal Auditors
IFACI - Paris - Octobre 2002 Juin 2004 Septembre 2006 ISBN 2-91-5051-003 Copyright 2002 de lIFACI, 12 bis, place Henri-Bergson, 75008 Paris. Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
SOMMAIRE
I. Avant-propos et remerciements II. La dfinition de laudit interne et le code de dontologie III. Les Normes IV. Les modalits pratiques dapplication
Annexes : The IIA Professional Practices Framework (PPF)
OCTOBRE 2002
AVERTISSEMENT
Le cadre de rfrence professionnel de laudit interne nest pas fig. De nouvelles Modalits Pratiques dApplication des normes (MPA) sont en cours de rdaction, dautres suivront. Il en ira vraisemblablement de mme pour les Normes. Afin de faciliter les mises jour ultrieures de ce document, chaque partie dispose de sa propre numrotation. Bien plus, pour la partie IV, consacre aux Modalits Pratiques dApplication, une numrotation spcifique a t affecte chaque MPA.
OCTOBRE 2002
Avant-Propos
AVANT-PROPOS
Laudit interne est une profession, une profession qui sest modele au fil des ans, en sefforant de toujours rpondre aux besoins changeants des organisations. Laudit interne, centr ses origines sur les problmes comptables, est devenu, aujourdhui, un outil puissant de dtection des principaux risques des organisations. Proche, il y a quelques annes, de la fonction comptable et financire, il est, prsent, rattach aux dirigeants et entretient une relation forte et continue avec le comit daudit. Lun et lautre sont dailleurs parfaitement complmentaires : le comit daudit, en effet, garantit et consacre lindpendance de laudit interne ; de son ct, laudit interne apporte au comit daudit un regard impartial et professionnel sur les risques de lorganisation, et contribue amliorer son information et celle du Conseil sur le niveau de scurit de lorganisation. Tous deux participent, leur faon, la bonne gouvernance des organisations. Laudit interne est une profession bien organise, linfluence croissante. Porte par plus de 80 instituts nationaux, fdrs lInstitute of Internal Auditors (IIA) dont le sige est Orlando aux tats-Unis, la profession regroupe plus de 77 000 membres rpartis dans plus de 120 pays. LIFACI (Institut Franais de lAudit et du Contrle Internes) est lun des instituts nationaux les plus importants et les plus dynamiques. Fort de ses quelque 2 000 adhrents, il poursuit cinq objectifs : tre un lieu de rflexion sur la profession et son volution (activit recherche) ; contribuer la professionnalisation des acteurs de laudit interne (activit formation) ; tre un lieu dchanges professionnels (runions mensuelles, colloques) ; tre un vecteur de promotion de laudit interne (revue audit et ouvrages) ; tre, enfin, le porte parole de la profession auprs des organismes institutionnels et rglementaires (les prises de position). Laudit interne est une profession qui sappuie sur un cadre de rfrence vocation mondiale mme si du fait de la varit denvironnements dans lequel il se pratique, il doit sadapter pour tenir compte des particularits lgislatives et rglementaires de chaque pays, des rgles spcifiques qui rgissent certains secteurs dactivit (bancaire par exemple) ou tout simplement de la taille et de la culture des organisations.
OCTOBRE 2002
AVANT-PROPOS
Ce cadre de rfrence sert de base la prparation dun diplme professionnel de porte mondiale, dlivr sur examen par la profession, le CIA (Certified Internal Auditor) qui constitue pour la pratique de laudit interne, le pendant du diplme dexpertise comptable pour lexercice de la rvision des comptes.
Cadre de rfrence des Pratiques Professionnelles
Code de Dontologie
Normes de mise en uvre
Dfinition de lAudit Interne
Normes de qualification
Dfinition de lAudit Interne
Activit dassurance
Activit de conseil
Normes de fonctionnement
Modalits pratiques dapplication Accompagnement au dveloppement professionnel
Le cadre de rfrence comprend : la dfinition de laudit interne adopte en juin 1999 par le Conseil dAdministration de lIIA, qui prcise que laudit interne a vocation effectuer des missions dassurance et de conseil ; que ses domaines de responsabilits sont le risque, le contrle interne et le gouvernement dentreprise ; et que sa finalit est de contribuer crer de la valeur ajoute aux organisations ; le code de dontologie qui fournit aux auditeurs internes les principes et les valeurs leur permettant de guider leur pratique professionnelle dans le contexte particulier qui est le leur ; les normes professionnelles pour la pratique de laudit interne qui guident les auditeurs internes dans la ralisation de leur mission et la gestion de leur activit ;
OCTOBRE 2002
AVANT-PROPOS
les modalits pratiques dapplication (MPA) qui commentent et expliquent les normes et mettent en avant les meilleures pratiques ; laccompagnement au dveloppement professionnel, constitu notamment des ouvrages et des articles de doctrine, des actes des colloques et confrences, ainsi que des sminaires. La connaissance et lapplication de ce cadre de rfrence donnent aux organisations et aux organismes de rgulation une assurance sur le degr de professionnalisme des auditeurs internes. Les principes et rgles dicts par le code de dontologie et les normes ont un caractre obligatoire. Ne pas les respecter, cest non seulement se mettre en dehors de la profession, mais cest aussi et surtout se priver dun moyen dtre plus efficace et, partant, plus crdible. Lamateurisme en audit interne na plus cours, seule une approche systmatique et mthodique est source de valeur ajoute pour les organisations. Les modalits pratiques dapplication nont pas la mme force excutoire. Elles font cependant autorit, et il est fortement recommand de les mettre en uvre tout en admettant que certaines adaptations aux lois et rglements nationaux peuvent tre justifies. Quant aux documents classs dans la rubrique accompagnement au dveloppement professionnel , ils peuvent tre utiliss en tant que de besoin, sans faire ncessairement autorit. * * * Le prsent classeur contient la traduction de tous les documents du Professional Practices Framework de lIIA. Cette traduction est accompagne, lorsque cest ncessaire, de commentaires appropris de lIFACI. Bien plus, certaines MPA dinspiration trop amricaines nont pas t retenues, elles sont ou seront remplaces par des modalits pratiques plus conformes au contexte franais. On trouvera nanmoins en annexe et en anglais lintgralit du Professional Practices Framework tel quil a t publi par lIIA. Normes et MPA ne sont pas figes car la profession continue et continuera dvoluer. Certaines MPA relatives notamment au Gouvernement dEntreprise manquent, elles sont en cours dlaboration et ne seront disponibles que dans quelques mois. Dautres normes verront le jour et seront suivies de leur cortge de MPA. Cest pour cette raison, quau lieu de diffuser un ouvrage, nous avons prfr publier un classeur permettant son actualisation rgulire, selon des modalits qui vous seront communiques en temps opportun.
OCTOBRE 2002
AVANT-PROPOS
Que ce cadre de rfrence vous fasse prendre conscience de votre appartenance une vritable profession, toujours en tat de veille et soucieuse en permanence de vous sensibiliser sur les mthodes et pratiques les plus mme de rpondre vos besoins et aux attentes de vos organisations. Reportez-y-vous souvent et appliquez le toujours. Louis Vaurs Dlgu Gnral
OCTOBRE 2002
REMERCIEMENTS
LIFACI remercie chaleureusement toutes les personnes qui ont apport leur contribution la traduction et lanalyse du cadre de rfrence de notre profession. Nos remerciements sadressent plus particulirement Florence Bergeret, Responsable de la Recherche, IFACI Jos Bouaniche, Auditeur Interne, Caisse des Dpts et Consignations Franoise Caradec, Superviseur de lAudit du Sige et des Filiales, La Poste Marc Chambault, Directeur Audit et Contrle des Risques, France Tlcom Philippe Christelle, Director of Group Internal Audit, Cap Gemini Ernst & Young Mireille Cuny, Head of Business, Planning and Operations, Crdit Commercial de France HSBC Philippe Deregel, Auditeur Interne, SNECMA Florence Fradin, Responsable de la Recherche, IFACI Franoise Giron, Directeur Technique Missions, France Tlcom Olivier Lemant, Consultant, Amorce Jacques Renard, Consultant Dominique Vincenti, Directeur de lAudit Interne, Conforama Management Service pour leur forte et permanente implication, et pour la pertinence et la richesse de leurs apports. Louis Vaurs Dlgu Gnral
JUIN 2004
Dfinition et Code de dontologie
DFINITION DE LAUDIT INTERNE (1)

Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit.
(1) Version franaise de la dfinition internationale, approuve le 21 mars 2000 par le Conseil dAdministration de lIFACI.
OCTOBRE 2002
CODE DE DONTOLOGIE
PRAMBULE : POURQUOI UN CODE DE DONTOLOGIE

Il peut paratre paradoxal de prsenter, en prambule dune nouvelle dition de normes professionnelles de laudit interne, un code de dontologie. En effet, pourquoi donc les normes naplaniraient-elles pas toutes les difficults auxquelles la pratique professionnelle peut se trouver confronte, en indiquant de manire systmatique, la bonne conduite technique adopter ? Allons mme plus loin : sil apparat indispensable de joindre un code de dontologie un corpus de normes professionnelles, nest-ce pas reconnatre explicitement que les normes sont insuffisantes, quelles ne couvrent pas lensemble du champ de la pratique de laudit interne et quen certaines situations il faudra donc, par dfaut de normes, faire appel des principes gnraux pour laborer une solution pratique ? Et dans ce cas, naurait-il pas t plus utile dajouter certaines normes, plutt que de faire appel des grands principes ? Ces questions sont lgitimes, et les rponses quelles appellent, ou les justifications auxquelles elles obligent, permettent de prciser la porte des normes et le rle dun code de dontologie : La diversit des situations dabord, ne permet pas denvisager raisonnablement quun ensemble de normes, aussi complet soit-il, puisse rpertorier par avance toutes les dispositions que la pratique professionnelle devrait observer. Les lois nationales, les rglements et les risques propres aux diffrents secteurs conomiques, les formes juridiques des organisations et leurs modalits de fonctionnement, et le rle finalement dvolu laudit interne, crent des situations particulires ; un dveloppement trop extensif de normes tendrait ramener systmatiquement la diversit de la ralit une situation type, et nuirait finalement la reconnaissance de loriginalit et des particularits de chacune des situations. Dans ces conditions, savoir limiter le champ des normes ce qui est gnralement commun au sein de la profession est essentiel pour garantir leur utilit ; en complment de quoi, fournir aux professionnels les principes et les valeurs leur permettant de guider leur pratique professionnelle dans le contexte particulier qui est le leur, est tout aussi essentiel : cest le premier objet du code de dontologie.
OCTOBRE 2002
CODE DE DONTOLOGIE
La nature mme de lactivit daudit interne, ensuite, impose des exigences dontologiques ; dans le cadre des missions dassurance qui constituent le fondement de sa pratique, laudit interne procde des valuations, et met des avis. Or, la qualit dun jugement repose largement sur deux conditions pralables qui sont mentionnes dans la nouvelle dfinition de laudit interne : lindpendance et lobjectivit. Ces deux notions mritent dtre explicites et illustres dans le contexte particulier de la profession dauditeur interne, ce qui justifie largement une rflexion dontologique conduisant tracer les lignes directrices dun Code de rfrence. Cest quen effet, lauditeur interne et notamment le responsable de laudit interne, se trouvent frquemment confronts au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre lpreuve de situations personnelles moralement difficiles et confuses. Il appartient alors au code de dontologie de rappeler les principes fondamentaux susceptibles dviter ou de clarifier les situations impropres lexercice dun jugement professionnel serein. Ces principes permettent lauditeur interne de juger en son me et conscience de la dmarche quil convient de suivre en cas de situation dlicate. Concernant des faits dlictueux, ils prennent dautant plus dimportance en France que le cadre lgal et les pratiques de management ne requirent ou nencouragent pas leur rvlation. Lexistence dun code de dontologie de laudit interne, sign par les auditeurs internes et annex la Charte dAudit constitue, notre sens, le tmoignage dun engagement de rigueur et le signal visible dun niveau lev dintgrit, favorisant le maintien dun climat dhonntet et dintgrit au sein mme de lorganisation. Il permet aux auditeurs internes, face une situation pouvant mettre en cause leur objectivit et leur indpendance, dobtenir conseil de leur suprieur hirarchique. Communiqu au sein de lorganisation, le code de dontologie accrot la confiance des audits dans lobjectivit et lintgrit des auditeurs internes et, par consquent, contribue la qualit des rsultats de laudit. Nous souhaitons que la traduction du code de dontologie de lIIA que nous prsentons dans les pages suivantes puisse faciliter votre rflexion et vous fournir la trame du futur code de dontologie de votre dpartement daudit interne.
OCTOBRE 2002
CODE DE DONTOLOGIE
INTRODUCTION
Le Code de Dontologie de lInstitut a pour but de promouvoir une culture de lthique au sein de la profession daudit interne.
Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit.
Compte tenu de la confiance place en laudit interne pour donner une assurance objective sur les processus de management des risques, de contrle et de gouvernement dentreprise, il tait ncessaire que la profession se dote dun tel code. Le code de dontologie va au-del de la dfinition de laudit interne et inclut deux composantes essentielles : 1. des principes fondamentaux pertinents pour la profession et pour la pratique de laudit interne ; 2. des rgles de conduite dcrivant les normes de comportement attendues des auditeurs internes. Ces rgles sont une aide la mise en uvre pratique des principes fondamentaux et ont pour but de guider la conduite thique des auditeurs internes. Le Code de Dontologie associ au Cadre de Rfrence des Pratiques Professionnelles ( Professional Practices Framework ) et les autres dclarations de lInstitut fournissent les lignes de conduite pour les auditeurs internes. On dsigne par Auditeurs Internes les membres de lInstitut, les titulaires de certifications professionnelles de lIIA ou les candidats celles-ci, ainsi que les personnes proposant des services entrant dans le cadre de la dfinition de laudit interne.
Champ dapplication et caractre obligatoire

Le Code de Dontologie sapplique aux personnes et aux entits qui fournissent des services daudit interne. Toute violation du Code de Dontologie par des membres de lInstitut, des titulaires de certifications professionnelles de lIIA ou des candidats celles-ci, fera lobjet dune valuation et sera traite en accord avec les Statuts de lInstitut et ses Directives
OCTOBRE 2002
CODE DE DONTOLOGIE
Administratives. Le fait quun comportement donn ne figure pas dans les Rgles de Conduite ne lempche pas dtre inacceptable ou dshonorant et peut donc entraner une action disciplinaire lencontre de la personne qui sen est rendu coupable.
Principes Fondamentaux
Il est attendu des auditeurs internes quils respectent et appliquent les principes fondamentaux suivants : Intgrit Lintgrit des auditeurs internes est la base de la confiance et de la crdibilit accordes leur jugement. Objectivit Les auditeurs internes montrent le plus haut degr dobjectivit professionnelle en collectant, valuant et communiquant les informations relatives lactivit ou au processus examin. Les auditeurs internes valuent de manire quitable tous les lments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intrts ou par autrui. Confidentialit Les auditeurs internes respectent la valeur et la proprit des informations quils reoivent ; ils ne divulguent ces informations quavec les autorisations requises, moins quune obligation lgale ou professionnelle ne les oblige le faire. Comptence Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expriences requis pour la ralisation de leurs travaux.
Rgles de Conduite
1. Intgrit Les auditeurs internes : 1.1. Doivent accomplir leur mission avec honntet, diligence et responsabilit. 1.2. Doivent respecter la loi et faire les rvlations requises par les lois et les rgles de la profession.
En France, la loi ne sapplique en ce sens que pour les crimes. En revanche, certains secteurs peuvent tre rglements. Ainsi, le secteur bancaire est soumis des dispositions fortes du Rglement Gnral du CMF, Conseil des Marchs Financiers, en ce qui concerne la dontologie des collaborateurs.
OCTOBRE 2002
CODE DE DONTOLOGIE
1.3. Ne doivent pas sciemment prendre part des activits illgales ou sengager dans des actes dshonorants pour la profession daudit interne ou leur organisation.
Il convient de prciser que la notion de dshonneur est culturelle, quelle dpend des poques, des individus, de lthique de lorganisation et de nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs thiques et lgitimes de leur organisation.
Cette rgle de conduite appelle la question suivante : quentend-on par objectif thique et objectif lgitime ? On peut dfinir lgitime comme conforme aux lois, aux rglements et lobjet social tandis quthique fait rfrence aux valeurs morales et divers principes. Il appartient chaque auditeur interne de donner ces deux mots un sens adapt la situation particulire dans laquelle il se trouve. Dans le cas o lorganisation aurait des objectifs non thiques ou non lgitimes ou jugs tels par lauditeur, ce Code de Dontologie ne contraint pas lauditeur interne les respecter et encore moins y contribuer, pas plus quil ne linterdit. Cette situation, si elle se produisait, ne dispenserait pas lauditeur interne de garder leur gard un parfait esprit critique.
2. Objectivit Les auditeurs internes : 2.1. Ne doivent pas prendre part des activits ou tablir des relations qui pourraient compromettre ou risquer de compromettre le caractre impartial de leur jugement. Ce principe vaut galement pour les activits ou relations daffaires qui pourraient entrer en conflit avec les intrts de leur organisation. 2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel. 2.3. Doivent rvler tous les faits matriels dont ils ont connaissance et qui, sils ntaient pas rvls, auraient pour consquence de fausser le rapport sur les activits examines.
Cest donc en interne, dans le cadre du rapport daudit, que ces faits matriels doivent tre rvls. Il convient toutefois dtre bien conscient que des informations dlicates destines a priori la Direction Gnrale et/ ou au Comit dAudit sont susceptibles dtre connues lextrieur de lorganisation. Cest ainsi que les rapports daudit interne doivent tre communiqus aux
OCTOBRE 2002
CODE DE DONTOLOGIE
Commissaires aux comptes et la justice sils en font la demande. Pour le secteur bancaire, le rglement 97-02 du Comit de la Rglementation Bancaire et Financire, remplac par le rglement 2000-01, prcise que les rapports sur le contrle interne et la surveillance des risques sont adresss chaque anne aux Commissaires aux comptes et au secrtariat gnral de la Commission Bancaire. Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection.
3. Confidentialit
Il est important de prciser que la confidentialit et les rgles de conduite y affrentes sappliquent toute personne proposant des services entrant dans la dfinition de laudit interne. Le responsable de laudit interne, dans le cas o il soustraite une mission, lextrieur du service daudit interne ou de lorganisation, doit veiller ce quune clause de cet ordre soit intgre dans le contrat de prestation. Dans le secteur bancaire, le Comit de Ble, dans son document consultatif sur laudit interne dans les organisations bancaires et les relations entre les auditeurs internes et externes, publi en juillet 2000, sest pench sur le droit dalerte (Whistleblowing) des auditeurs internes. Il a soumis la rflexion des instituts daudit interne et des rgulateurs nationaux lventuelle obligation qui serait faite aux auditeurs internes dalerter les autorits de tutelle sur certains dysfonctionnements. LIFACI, sollicit par la Commission Bancaire sur ce document, a pris ce sujet une position trs claire : la mission dalerte des auditeurs internes doit concerner exclusivement les organes de dcision internes, Direction Gnrale, Conseil dAdministration et, sil existe, le Comit dAudit. LIFACI prconise que le responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit pour des faits minemment graves commis par la Direction Gnrale et pouvant mettre en danger la continuit dexploitation, condition que ces faits soient avrs et que le rle de laudit interne en la matire soit dment explicit dans une charte dthique. En revanche, pour ce qui est du rle dalerte que laudit interne pourrait jouer auprs des superviseurs bancaires et des Commissaires aux comptes, cette ventualit ne parat pas approprie. La Commission Bancaire a adopt le mme point de vue. Elle considre en effet que le fait dimposer aux auditeurs internes une obligation dalerte auprs des tiers (Commission Bancaire, Commissaires aux comptes, ) pourrait tre de nature affaiblir leur position et leur crdibilit au sein des entreprises, ce qui nuirait lefficacit de leurs contrles .
Les auditeurs internes : 3.1. Doivent utiliser avec prudence et protger les informations recueillies dans le cadre de leurs activits.
OCTOBRE 2002
CODE DE DONTOLOGIE
3.2. Ne doivent pas utiliser ces informations pour en retirer un bnfice personnel, ou dune manire qui contreviendrait aux dispositions lgales ou porterait prjudice aux objectifs thiques et lgitimes de leur organisation.
Est assimilable bnfice personnel non seulement le bnfice procur un tiers apparent ou ami, mais aussi l'utilisation des informations recueillies dans le cadre de l'activit d'audit des fins trangres cette activit, telles que la communication des associations caritatives, humanitaires, et plus gnralement but louable, soutenues par l'auditeur interne : les auditeurs internes doivent respecter la valeur et la proprit des informations qu'ils reoivent.
4. Comptence Les auditeurs internes : 4.1. Ne doivent sengager que dans des travaux pour lesquels ils ont les connaissances, le savoir-faire et lexprience ncessaires. 4.2. Doivent raliser leurs travaux daudit interne dans le respect des Normes pour la Pratique Professionnelle de lAudit Interne (Standards for the Professional Practice of Internal Auditing). 4.3. Doivent toujours sefforcer damliorer leur comptence, lefficacit et la qualit de leurs travaux.
Traduction du Code of Ethics adopt par le Conseil dAdministration de lIIA le 17 juin 2000.
OCTOBRE 2002
Normes
LES NORMES
Pages
Introduction
........................................................................
1 7 15 27
Normes de qualification
..........................................................
Normes de fonctionnement Glossaire
......................................................
............................................................................
JUIN 20O4
INTRODUCTION
INTRODUCTION
L'Audit Interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacit. Les activits d'audit interne sont conduites dans diffrents environnements juridiques et culturels, dans des organisations dont l'objet, la taille, la complexit et la structure sont divers, ainsi que par des professionnels de l'audit, internes ou externes l'organisation. Bien que ces diffrences peuvent influencer la pratique de l'audit interne dans chaque environnement, le respect des Normes internationales pour la pratique professionnelle de l'audit interne (ci-aprs les Normes ) est essentiel pour que les auditeurs internes puissent s'acquitter de leurs responsabilits. Lorsque certaines dispositions des Normes sont contraires la lgislation ou la rglementation en vigueur, les auditeurs internes doivent respecter les autres dispositions et communiquer les informations appropries. Dans le cadre des missions d'assurance, l'auditeur interne procde une valuation objective en vue de formuler en toute indpendance une opinion ou des conclusions sur un processus, un systme ou tout autre sujet. Il dtermine la nature et l'tendue de ses missions qui comportent gnralement trois types d'intervenants : (1) la personne ou le groupe directement impliqu dans le processus, le systme ou le sujet examin autrement dit le propritaire du processus, (2) la personne ou le groupe ralisant l'valuation l'auditeur interne, et (3) la personne ou le groupe qui utilise les rsultats de l'valuation l'utilisateur. Les missions de conseil sont gnralement entreprises la demande d'un client. Leur nature et leur primtre font l'objet d'un accord avec ce dernier. Elles comportent gnralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en l'occurrence l'auditeur interne, et (2) la personne ou le groupe donneur d'ordre auquel ils sont destins le client. Lors de la ralisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivit et n'assumer aucune fonction de management.
JUIN 2004
INTRODUCTION
Les Normes ont pour objet : 1. de dfinir les principes de base que la pratique de l'audit interne doit suivre ; 2. de fournir un cadre de rfrence pour la ralisation et la promotion d'un large ventail d'activits d'audit interne apportant une valeur ajoute ; 3. d'tablir les critres d'apprciation du fonctionnement de l'audit interne ; 4. de favoriser l'amlioration des processus organisationnels et des oprations. Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement et des Normes de Mise en uvre. Les Normes de Qualification noncent les caractristiques que doivent prsenter les organisations et les personnes accomplissant des activits d'audit interne. Les Normes de Fonctionnement dcrivent la nature des activits d'audit interne et dfinissent des critres de qualit permettant d'valuer les services fournis. Tandis que les Normes de Qualification et les Normes de Fonctionnement s'appliquent aux travaux d'audit interne en gnral, les Normes de Mise en uvre s'appliquent des types de missions spcifiques. Alors qu'il existe un seul ensemble de Normes de Qualification et de Normes de Fonctionnement, il peut exister diffrents ensembles de Normes de Mise en uvre, correspondant chacun un grand type d'activit d'audit interne. Les Normes de Mise en uvre concernent les activits d'assurance (indiques par la lettre A aprs le numro de la Norme, par exemple 1130.A1) et les activits de conseil (indiques par la lettre C aprs le numro de la Norme, par exemple 1130.C1). Les Normes font partie du Cadre de Rfrence des Pratiques Professionnelles. Il comprend la Dfinition de l'Audit Interne (l), le Code de Dontologie (2), les Normes (3) et d'autres orientations. Les orientations lies la mise en uvre des Normes figurent dans les Modalits Pratiques d'Application (MPAs), labores par The Professional Issues Committee (Comit des Questions Professionnelles). Le glossaire contient des termes qui sont utiliss dans des acceptions particulires au sein des Normes. L'laboration et la diffusion des Normes est un processus continu. The Internal Auditing Standards Board mne une large consultation et concertation avant la publication des
(1) Traduction franaise approuve le 21 mars 2000 par le Conseil d'Administration de l'IFACI. (2) Traduction franaise approuve le 27 fvrier 2001 par le Conseil d'Administration de l'IFACI. (3) Normes pour la Pratique Professionnelle de l'Audit Interne.
JUIN 2004
INTRODUCTION
Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont consultables sur le site internet de l'IIA et sont distribus tous les instituts affilis. Des suggestions et commentaires peuvent tre adresss : Institute of Internal Auditors Global Practices Center, Professional Practices Group 247, Maitland Ave. Altamonte Springs, Florida 32701 4201, USA Courrier lectronique: standards@theiia.org Site web : http://www.theiia.org Les dernires mises jour des Normes ont t publies en dcembre 2003 et entreront en vigueur au 1er janvier 2004. Des orientations complmentaires relatives aux modalits d'application des Normes figurent dans les Modalits Pratiques d'Application ( Practice Advisories ) publies par The Professional Issues Committee .
JUIN 2004
NORMES
DE
QUALIFICATION
NORMES DE QUALIFICATION
1000 Mission, pouvoirs et responsabilits
La mission, les pouvoirs et les responsabilits de l'audit interne doivent tre formellement dfinis dans une charte, tre cohrents avec les Normes et dment approuvs par le Conseil. 1000.A1 La nature des missions d'assurance ralises pour l'organisation doit tre dfinie dans la Charte d'Audit. S'il est prvu d'effectuer des missions d'assurance l'extrieur de l'organisation, leur nature doit galement tre dfinie dans la Charte. 1000.C1 La nature des missions de conseil doit tre dfinie dans la Charte d'Audit.
1100 Indpendance et objectivit

L'audit interne doit tre indpendant et les auditeurs internes doivent effectuer leur travail avec objectivit.
1110 Indpendance dans l'organisation

Le responsable de l'audit interne doit relever d'un niveau hirarchique permettant aux auditeurs internes d'exercer leurs responsabilits. 1110.A1 L'audit interne ne doit subir aucune ingrence lors de la dfinition de son champ d'intervention, de la ralisation du travail et de la communication des rsultats.
1120 Objectivit individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dpourvue de prjugs, et viter les conflits d'intrts.
1130 Atteintes l'indpendance et l'objectivit

Si l'objectivit ou l'indpendance des auditeurs internes sont compromises dans les faits ou mme en apparence, les parties concernes doivent en tre informes de manire prcise. La forme de cette communication dpendra de la nature de l'atteinte l'indpendance.
JUIN 2004
1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des oprations particulires dont ils ont t auparavant responsables. L'objectivit d'un auditeur interne est prsume altre lorsqu'il ralise une mission d'assurance pour une activit dont il a eu la responsabilit au cours de l'anne prcdente. 1130.A2 Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent tre supervises par une personne ne relevant pas de l'audit interne. 1130.C1 Les auditeurs internes peuvent tre amens raliser des missions de conseil lies des oprations dont ils ont t auparavant responsables. 1130.C2 Si l'indpendance ou l'objectivit des auditeurs internes sont susceptibles d'tre compromises lors des missions de conseil qui leur sont proposes, ils doivent en informer le client donneur d'ordre avant de les accepter.
1200 Comptence et conscience professionnelle

Les missions doivent tre remplies avec comptence et conscience professionnelle.
1210 Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles. L'audit interne doit possder ou acqurir collectivement les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de ses responsabilits. 1210.A1 Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifies si les auditeurs internes ne possdent pas les connaissances, le savoir-faire et les autres comptences ncessaires pour s'acquitter de tout ou partie de leur mission. 1210.A2 L'auditeur interne doit possder des connaissances suffisantes pour identifier les indices d'une fraude, mais il n'est pas cens possder l'expertise d'une personne dont la responsabilit premire est la dtection et l'investigation des fraudes. 1210.A3 Les auditeurs internes doivent possder une bonne connaissance des principaux risques et contrles lis aux technologies de l'information et des techniques d'audit informatises susceptibles d'tre mises en uvre dans le cadre des travaux qui leur sont confis. Toutefois, chaque auditeur interne n'est pas cens possder l'expertise d'un auditeur dont la responsabilit premire est l'audit informatique.
10
JUIN 2004
1210.C1 Le responsable de l'audit interne doit dcliner une mission de conseil ou obtenir l'avis et l'assistance de personnes qualifies si l'quipe d'audit interne ne possde pas les connaissances, le savoir-faire et les autres comptences ncessaires pour s'acquitter de tout ou partie de la mission.
1220 Conscience professionnelle

Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et comptent. La conscience professionnelle n'implique pas l'infaillibilit. 1220.A1 L'auditeur interne doit apporter tout le soin ncessaire sa pratique professionnelle en prenant en considration les lments suivants : l'tendue du travail ncessaire pour atteindre les objectifs de la mission ; la complexit relative, la matrialit ou le caractre significatif des domaines auxquels sont appliques les procdures propres aux missions d'assurance ; la pertinence et l'efficacit des processus de management des risques, de contrle et de gouvernement d'entreprise ; la probabilit d'erreurs, d'irrgularits ou de non-conformits significatives ; le cot de la mise en place des contrles par rapport aux avantages escompts. 1220.A2 Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit envisager l'utilisation d'outils d'audit informatiques et d'autres techniques informatises d'analyse des donnes. 1220.A3 L'auditeur interne doit exercer une vigilance particulire l'gard des risques significatifs susceptibles d'affecter les objectifs, les oprations ou les ressources. Toutefois, les procdures d'audit seules, mme lorsqu'elles sont menes avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront dtects. 1220.C1 L'auditeur interne doit apporter une mission de conseil toute sa conscience professionnelle, en prenant en considration les lments suivants : Les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication des rsultats de la mission. La complexit de celle-ci, et l'tendue du travail ncessaire pour atteindre les objectifs fixs. Son cot par rapport aux avantages escompts.
JUIN 2004
11
1230 Formation professionnelle continue Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire et autres comptences par une formation professionnelle continue.
1300 Programme d'assurance et d'amlioration qualit Le responsable de l'audit interne doit laborer et tenir jour un programme d'assurance et d'amlioration qualit portant sur tous les aspects de l'audit interne et permettant un contrle continu de son efficacit. Ce programme inclut la ralisation priodique d'valuations internes et externes de la qualit ainsi qu'un suivi interne continu. Chaque partie du programme doit tre conue dans un double but : aider l'audit interne apporter une valeur ajoute aux oprations de l'organisation et les amliorer, et garantir qu'il est men en conformit avec les Normes et le Code de Dontologie.
1310 valuations du programme qualit L'audit interne ncessite l'adoption d'un processus permettant de surveiller et d'valuer l'efficacit globale du programme qualit. Ce processus doit comporter des valuations tant internes qu'externes.
1311 valuations internes Les valuations internes doivent comporter : des contrles continus du fonctionnement de l'audit interne ; des contrles priodiques, effectus par auto-valuation ou par d'autres personnes de l'organisation connaissant les pratiques d'audit interne et les Normes. 1312 valuations externes Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou une quipe qualifis et indpendants extrieurs l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet du besoin ventuel d'augmenter la frquence de ces valuations externes, ainsi que des qualifications et de l'indpendance de l'valuateur ou de l'quipe d'valuation externes ; en particulier, tout conflit d'intrt potentiel doit tre examin. Ces discussions doivent aussi porter sur l'adquation de l'exprience de l'valuateur ou de l'quipe d'valuation la taille, la complexit et au secteur d'activit de l'organisation.
1320 Rapports relatifs au programme qualit Le responsable de l'audit interne doit communiquer au Conseil les rsultats des valuations externes. 1330 Utilisation de la mention Conduit conformment aux Normes Les auditeurs internes sont encourags indiquer dans leurs rapports que leurs activits sont conduites conformment aux Normes pour la pratique professionnelle de l'audit interne . Toutefois, ils ne peuvent utiliser cette mention que
12
SEPTEMBRE 2006
si les valuations du programme d'amlioration qualit dmontrent que l'audit interne fonctionne conformment aux Normes.
1340 Indication de non-conformit

L'audit interne doit tre exerc dans le parfait respect des Normes et les auditeurs doivent se conformer au Code de Dontologie ; toutefois, il peut arriver que cette pleine conformit ne soit pas ralise. Lorsque la non-conformit a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, la Direction Gnrale et le Conseil doivent en tre informs.
JUIN 2004
13
NORMES
DE
FONCTIONNEMENT
NORMES DE FONCTIONNEMENT
2000 Gestion de l'audit interne
Le responsable de l'audit interne doit grer cette activit de faon garantir qu'elle apporte une valeur ajoute l'organisation.
2010 Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les risques afin de dfinir les priorits cohrentes avec les objectifs de l'organisation. 2010.A1 Le plan des missions d'audit interne doit s'appuyer sur une valuation des risques ralise au moins une fois par an et tenir compte du point de vue de la Direction Gnrale et du Conseil. 2010.C1 Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne, avant de l'accepter, doit considrer dans quelle mesure elle est susceptible de crer de la valeur ajoute, d'amliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont t acceptes doivent tre intgres dans le plan d'audit.
2020 Communication et approbation

Le responsable de l'audit interne doit communiquer la Direction Gnrale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit galement signaler l'impact de toute limitation de ses ressources.
2030 Gestion des ressources

Le responsable de l'audit interne doit veiller ce que les ressources affectes cette activit soient adquates, suffisantes et mises en uvre de manire efficace pour raliser le plan d'audit approuv.
2040 Rgles et procdures

Le responsable de l'audit interne doit tablir des rgles et procdures fournissant un cadre l'activit d'audit interne.
JUIN 2004
17
2050 Coordination
Le responsable de l'audit interne doit partager les informations et coordonner les activits avec les autres prestataires internes et externes de services d'assurance et de conseil, de manire assurer une couverture adquate des travaux et viter dans toute la mesure du possible les doubles emplois.
2060 Rapports au Conseil et la Direction Gnrale

Le responsable de l'audit interne doit rendre compte priodiquement la Direction Gnrale et au Conseil des missions, des pouvoirs et des responsabilits de l'audit interne, ainsi que des rsultats obtenus par rapport au plan d'audit prvu. Ces rapports doivent galement porter sur les risques importants, sur le contrle et le gouvernement d'entreprise, ainsi que sur d'autres sujets dont le Conseil et la Direction Gnrale ont besoin ou ont demand l'examen.
2100 Nature du travail

L'audit interne doit valuer les processus de management des risques, de contrle et de gouvernement d'entreprise et contribuer leur amlioration sur la base d'une approche systmatique et mthodique.
2110 Management des risques

L'audit interne doit aider l'organisation en identifiant et en valuant les risques significatifs et contribuer l'amlioration des systmes de management des risques et de contrle. 2110.A1 L'audit interne doit surveiller et valuer l'efficacit du systme de management des risques de l'organisation. 2110.A2 L'audit interne doit valuer les risques affrents au gouvernement d'entreprise, aux oprations et aux systmes d'information de l'organisation au regard : de la fiabilit et l'intgrit des informations financires et oprationnelles ; de l'efficacit et l'efficience des oprations ; de la protection du patrimoine ; du respect des lois, rglements et contrats. 2110.C1 Au cours des missions de conseil, les auditeurs internes considrent l'ensemble des risques rencontrs, y compris ceux qui n'entrent pas dans le primtre de la mission, dans la mesure o ils sont significatifs.
18
JUIN 2004
2110.C2 Les auditeurs internes doivent intgrer dans le processus d'identification et d'valuation des risques significatifs de l'organisation les risques rvls lors de missions de conseil.
2120 Contrle
L'audit interne doit aider l'organisation maintenir un dispositif de contrle appropri en valuant son efficacit et son efficience et en encourageant son amlioration continue. 2120.A1 Sur la base des rsultats de l'valuation des risques, l'audit interne doit valuer la pertinence et l'efficacit du dispositif de contrle portant sur le gouvernement d'entreprise, les oprations et les systmes d'information de l'organisation. Cette valuation doit porter sur les aspects suivants : la fiabilit et l'intgrit des informations financires et oprationnelles ; l'efficacit et l'efficience des oprations ; la protection du patrimoine ; le respect des lois, rglements et contrats. 2120.A2 Les auditeurs internes doivent dterminer dans quelle mesure des buts et objectifs concernant les oprations et les projets ont t dfinis et si ces buts et objectifs sont conformes ceux de l'organisation. 2120.A3 Les auditeurs internes doivent passer en revue les oprations et les projets afin de dterminer dans quelle mesure les rsultats suivent les buts et objectifs tablis et si ces oprations et projets sont mis en uvre ou raliss comme prvu. 2120.A4 Des critres adquats sont ncessaires pour valuer le dispositif de contrle. Les auditeurs internes doivent dterminer dans quelle mesure le management a dfini des critres adquats pour apprcier si les objectifs et les buts ont t atteints. Si ces critres sont adquats, les auditeurs internes doivent les utiliser dans leur valuation. S'ils sont inadquats, les auditeurs internes doivent travailler avec le management pour laborer des critres d'valuation appropris. 2120.C1 Au cours des missions de conseil, les auditeurs internes examinent le processus de contrle interne en accord avec les objectifs de la mission et sont attentifs l'existence de toute faiblesse de contrle significative. 2120.C2 Les auditeurs internes doivent prendre en compte dans le processus d'identification et d'valuation des risques significatifs de l'organisation le dispositif de contrle interne dont ils ont eu connaissance lors de leurs missions de conseil.
JUIN 2004
19
2130 Gouvernement d'entreprise

L'audit interne doit valuer le processus de gouvernement d'entreprise et formuler les recommandations appropries en vue de son amlioration. cet effet, il dtermine si le processus rpond aux objectifs suivants : promouvoir des rgles d'thique et des valeurs appropries au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; bien communiquer aux services concerns au sein de l'organisation les informations relatives aux risques et aux contrles ; fournir une information adquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination efficace de leurs activits. 2130.A1 L'audit interne doit valuer la conception, la mise en uvre et l'efficacit des objectifs, des programmes et des activits de l'organisation lis l'thique. 2130.C1 Les objectifs de la mission de conseil doivent tre en cohrence avec les valeurs et objectifs gnraux de l'organisation.
2200 Planification de la mission

Les auditeurs internes doivent concevoir et formaliser un programme pour chaque mission. Ce programme prcise le champ d'intervention, les objectifs, la date et la dure de la mission, ainsi que les ressources alloues.
2201 Considrations relatives la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : les objectifs de l'activit soumise l'audit et la manire dont elle est matrise ; les risques significatifs lis l'activit, ses objectifs, les ressources mises en uvre et ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu un niveau acceptable ; la pertinence et l'efficacit des systmes de management des risques et de contrle de l'activit, en rfrence un cadre ou modle de contrle appropris ; les opportunits d'amliorer de manire significative les systmes de management des risques et de contrle de l'activit. 2201.A1 Lorsqu'ils planifient une mission pour des tiers extrieurs l'organisation, les auditeurs internes doivent laborer avec eux un accord
20
JUIN 2004
crit sur les objectifs et le champ de la mission, les responsabilits et les attentes respectives, et prciser les restrictions observer en matire de diffusion des rsultats de la mission et d'accs aux dossiers. 2201.C1 Les auditeurs internes doivent tablir avec le client donneur d'ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilits de chacun et plus gnralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet accord doit tre formalis.
2210 Objectifs de la mission

Les objectifs doivent tre prciss pour chaque mission. 2210.A1 L'auditeur interne doit procder une valuation prliminaire des risques lis l'activit soumise l'audit. Les objectifs de la mission doivent tre dtermins en fonction des rsultats de cette valuation. 2210.A2 En dtaillant les objectifs de la mission, l'auditeur interne doit tenir compte de la probabilit qu'il existe des erreurs, irrgularits, cas de non-conformit et autres risques importants. 2210.C1 Les objectifs d'une mission de conseil doivent porter sur les processus de management des risques, de contrle et de gouvernement d'entreprise dans la limite convenue avec le client.
2220 Champ de la mission

Le champ doit tre suffisant pour rpondre aux objectifs de la mission. 2220.A1 Le champ de la mission doit couvrir les systmes, les documents, le personnel et les biens concerns, y compris ceux qui se trouvent sous le contrle de tiers. 2220.A2 Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunits en termes de conseil, il convient de rdiger un accord spcifique prcisant les objectifs et le champ de la mission de conseil, les responsabilits et les attentes respectives. Les rsultats de la mission de conseil doivent tre communiqus conformment aux normes applicables ces missions. 2220.C1 Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ d'intervention permet de rpondre aux objectifs convenus. Si, en cours de mission, ils mettent des rserves sur ce primtre, ils doivent en discuter avec le client donneur d'ordre afin de dcider s'il y a lieu de poursuivre la mission.
JUIN 2004
21
2230 Ressources affectes la mission

Les auditeurs internes doivent dterminer les ressources appropries pour atteindre les objectifs de la mission. La composition de l'quipe doit s'appuyer sur une valuation de la nature et de la complexit de chaque mission, des contraintes de temps et des ressources disponibles.
2240 Programme de travail de la mission

Les auditeurs internes doivent laborer un programme de travail permettant d'atteindre les objectifs de la mission. Ce programme de travail doit tre formalis. 2240.A1 Le programme de travail doit dfinir les procdures appliquer pour trouver, analyser, valuer et documenter les informations lors de la mission. Le programme de travail doit tre approuv avant sa mise en uvre. Les ajustements ventuels doivent tre approuvs rapidement. 2240.C1 Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de la mission.
2300 Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, valuer et documenter les informations ncessaires pour atteindre les objectifs de la mission.
2310 Identification des informations

Les auditeurs internes doivent identifier les informations ncessaires, fiables, pertinentes et utiles pour atteindre les objectifs de la mission.
2320 Analyse et valuation

Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des analyses et valuations appropries.
2330 Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour tayer les conclusions et les rsultats de la mission. 2330.A1 Le responsable de l'audit interne doit contrler l'accs aux dossiers de la mission. Il doit, si ncessaire, obtenir l'accord de la Direction Gnrale et/ou l'avis d'un juriste avant de communiquer ces dossiers des parties extrieures. 2330.A2 Le responsable de l'audit interne doit arrter des rgles en matire de conservation des dossiers de la mission. Ces rgles doivent tre cohrentes avec les orientations dfinies par l'organisation et avec toute exigence rglementaire ou autre.
22
JUIN 2004
2330.C1 Le responsable de l'audit interne doit dfinir des procdures concernant la protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion l'intrieur et l'extrieur de l'organisation. Ces procdures doivent tre cohrentes avec les orientations dfinies par l'organisation et avec toute exigence rglementaire ou autre approprie.
2340 Supervision de la mission

Les missions doivent faire l'objet d'une supervision approprie afin de garantir que les objectifs sont atteints, la qualit assure et le dveloppement professionnel du personnel effectu.
2400 Communication des rsultats

Les auditeurs internes doivent communiquer les rsultats de la mission.
2410 Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions. 2410.A1 La communication finale des rsultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion globale de l'auditeur interne et/ou ses conclusions. 2410.A2 Les auditeurs internes sont encourags faire tat des forces releves lors de la communication des rsultats de la mission. 2410.A3 Lorsque les rsultats de la mission sont communiqus des destinataires ne faisant pas partie de l'organisation, les documents communiqus doivent prciser les restrictions observer en matire de diffusion et d'exploitation des rsultats. 2410.C1 La communication sur l'avancement et les rsultats d'une mission de conseil variera dans sa forme et son contenu en fonction de la nature de la mission et des besoins du client donneur d'ordre.
2420 Qualit de la communication

La communication doit tre exacte, objective, claire, concise, constructive, complte et mise en temps utile. 2421 Erreurs et omissions Si une communication finale contient une erreur ou une omission importante, le responsable de l'audit interne doit faire parvenir les informations corriges tous les destinataires de la version initiale.
JUIN 2004
23
2430 Indication de non-conformit aux Normes

Lorsqu'une mission donne n'a pas t conduite conformment aux Normes, la communication des rsultats doit indiquer : la ou les Normes qui n'ont pas t entirement respectes, la ou les raisons de la non-conformit, et l'incidence de la non-conformit sur la mission.
2440 Diffusion des rsultats

Le responsable de l'audit interne doit diffuser les rsultats aux destinataires appropris. 2440.A1 Le responsable de l'audit interne est charg de communiquer les rsultats dfinitifs aux destinataires mme de garantir que ces rsultats recevront l'attention ncessaire. 2440.A2 Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable de l'audit doit accomplir les tches suivantes avant de diffuser les rsultats des destinataires ne faisant pas partie de l'organisation : valuer les risques potentiels pour l'organisation ; consulter la direction gnrale et/ou, selon les cas, un conseil juridique ; matriser la diffusion en imposant des restrictions quant l'utilisation des rsultats. 2440.C1 Le responsable de l'audit interne est charg de communiquer les rsultats dfinitifs des missions de conseil son client donneur d'ordre. 2440.C2 Au cours des missions de conseil, il peut arriver que des problmes relatifs aux processus de management des risques, de contrle et de gouvernement d'entreprise soient identifis. Chaque fois que ces problmes sont significatifs pour l'organisation, ils doivent tre communiqus la Direction Gnrale et au Conseil.
2500 Surveillance des actions de progrs

Le responsable de l'audit interne doit mettre en place et tenir jour un systme permettant de surveiller la suite donne aux rsultats communiqus au management. 2500.A1 Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont t effectivement mises en uvre par le management ou que la Direction Gnrale a accept de prendre le risque de ne rien faire.
24
JUIN 2004
2500.C1 L'audit interne doit surveiller la suite donne aux rsultats des missions de conseil conformment l'accord pass avec le client donneur d'ordre.
2600 Acceptation des risques par la Direction Gnrale

Lorsque le responsable de l'audit interne estime que la Direction Gnrale a accept un niveau de risque rsiduel qui pourrait s'avrer inacceptable pour l'organisation, il doit examiner la question avec elle. S'ils ne peuvent arrter une dcision concernant le risque rsiduel, ils doivent soumettre la question au Conseil aux fins de rsolution.
JUIN 2004
25
GLOSSAIRE
GLOSSAIRE
Activits d'assurance II s'agit d'un examen objectif d'lments probants, effectu en vue de fournir l'organisation une valuation indpendante des processus de management des risques, de contrle ou de gouvernement d'entreprise. Par exemple, des audits financiers, oprationnels, de conformit, de scurit des systmes et de due diligence. Activit d'audit interne Assure par un service, une division, une quipe de consultants ou tout autre praticien, c'est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. L'activit d'audit interne aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacit. Activits de conseil Conseils et services y affrents rendus au client donneur d'ordre, dont la nature et le champ sont convenus au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et d'amliorer les processus de gouvernement d'entreprise, de management des risques et de contrle d'une organisation sans que l'auditeur interne n'assume aucune responsabilit de management. Quelques exemples : avis, conseil, assistance et formation. Atteintes Parmi les atteintes l'objectivit individuelle et l'indpendance dans l'organisation peuvent figurer les conflits d'intrts personnels, les limitations du champ d'un audit, les restrictions d'accs aux dossiers, aux biens et au personnel, ainsi que les limitations de ressources. Charte La charte de l'audit interne est un document officiel qui dfinit la mission, les pouvoirs et les responsabilits de cette activit. La charte doit (a) dfinir la position de l'audit interne dans l'organisation ; (b) autoriser l'accs aux documents, aux biens et aux personnes ncessaires la bonne ralisation des missions ; (c) dfinir le champ des activits d'audit interne. Code de Dontologie Le Code de Dontologie de l'Institut comprend les principes applicables la profession et la pratique de l'audit interne, ainsi que les rgles de conduite dcrivant le comportement attendu des auditeurs internes. Le Code de Dontologie s'applique la fois aux personnes et aux organismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de l'thique au sein de la profession d'audit interne.
JUIN 2004
29
GLOSSAIRE
Conflit d'intrts Toute relation qui n'est pas ou ne semble pas tre dans l'intrt de l'organisation. Un conflit d'intrts peut nuire la capacit d'une personne assumer de faon objective ses devoirs et responsabilits. Conformit L'observation et le respect des politiques, plans, procdures, lois, rglements, contrats ou autres exigences. Conseil Le conseil est l'organe de direction d'une organisation. Il peut s'agir d'un conseil d'administration, d'un conseil de surveillance, de leur comit d'audit, de l'instance dirigeante d'un organisme public ou d'une association ou de tout autre organe auquel le responsable de l'audit interne est rattach sur le plan fonctionnel. Contrle Toute mesure prise par le management, le Conseil et d'autres parties afin de grer les risques et d'accrotre la probabilit que les buts et objectifs fixs seront atteints. Les managers planifient, organisent et dirigent la mise en uvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints. Contrle satisfaisant C'est le cas lorsque le management s'est organis de manire apporter une assurance raisonnable que les risques que court l'organisation ont t grs efficacement et que les buts et objectifs de l'organisation seront atteints d'une manire efficace et conomique. Doit Traduction de should , il implique une obligation induite par les Normes. Environnement de contrle L'attitude et les actions du Conseil et du management au regard de l'importance du contrle dans l'organisation. L'environnement de contrle constitue le cadre et la structure ncessaires la ralisation des objectifs primordiaux du systme de contrle interne. L'environnement de contrle englobe les lments suivants : intgrit et valeurs thiques, philosophie et style de direction, structure organisationnelle, attribution des pouvoirs et responsabilits, politiques et pratiques relatives aux ressources humaines, comptence du personnel. Fraude Tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la confiance. Les fraudes sont perptres par des personnes et des organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage personnel ou commercial. Gouvernement d'entreprise Le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer, de diriger, de grer et de piloter les activits de l'organisation en vue de raliser ses objectifs.
30
JUIN 2004
GLOSSAIRE
Indpendance Le fait de n'tre expos aucune situation susceptible d'altrer l'objectivit, en ralit ou en apparence. Cette situation doit tre gre au niveau de l'auditeur individuel et de la mission, ainsi qu'au niveau de la fonction et de l'organisation. Management des risques Processus visant identifier, valuer, grer et piloter les vnements ventuels et les situations pour fournir une assurance raisonnable quant la ralisation des objectifs de l'organisation. Mission Une mission, tche ou activit de rvision particulires telles qu'un audit interne, une auto-valuation de contrle, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de multiples tches ou activits menes pour atteindre un ensemble dtermin d'objectifs qui s'y rapportent. Norme Document d'ordre professionnel promulgu par the Internal Auditing Standards Board (Comit interne l'IIA charg d'laborer les Normes) afin de dfinir les rgles applicables un large ventail d'activits d'audit interne et utilisables pour l'valuation de ses performances. Objectifs de la mission Enoncs gnraux labors par les auditeurs internes et dfinissant ce qu'il est prvu de raliser pendant la mission. Objectivit Attitude intellectuelle impartiale qui permet une indpendance d'esprit et de jugement et implique que les auditeurs internes ne subordonnent pas leur propre jugement celui d'autres personnes. Leurs apprciations doivent tre fondes sur les faits ou preuves indiscutables et s'appuyer sur des travaux incontestables exempts de tout prjug. Prestataire de services extrieur Une personne ou entreprise, extrieure l'organisation, qui possde des connaissances, un savoir-faire et une exprience particulires dans une discipline donne. Processus de contrle Les politiques, procdures et activits faisant partie d'un cadre de contrle, conues pour assurer que les risques sont contenus dans les limites de tolrance fixes par le processus de management des risques. Programme de travail de la mission Un document numrant les procdures suivre en vue de la ralisation de la mission. Responsable de l'audit interne Le poste de plus haut niveau au sein de l'organisation responsable des activits d'audit interne. En principe, dans une activit d'audit interne organise de manire classique, ce serait le Directeur de l'audit interne. Dans le cas o les activits d'audit interne sont confies des prestataires de services extrieurs, le responsable de l'audit interne est la personne charge de surveiller l'excution du contrat de services et l'assurance de la qualit d'ensemble de ces activits, et qui rend compte la Direction Gnrale et au Conseil des activits d'audit interne et du suivi des rsultats des missions. Ce poste peut galement porter le titre d'auditeur gnral, de chef de
JUIN 2004
31
GLOSSAIRE
l'audit interne ou d'inspecteur gnral. Risque Possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit. Risques rsiduels Les risques qui subsistent aprs les mesures prises par le management pour rduire l'impact et la probabilit d'occurrence d'un vnement dfavorable et, notamment, aprs les dispositifs de contrle mis en place en rponse un risque. Valeur ajoute Les missions d'assurance comme de conseil apportent de la valeur ajoute en augmentant les chances de raliser les objectifs de l'organisation, en identifiant les amliorations possibles sur le plan oprationnel, et/ou en rduisant l'exposition aux risques.
Remerciements
The Institute of Internal Auditors (IIA) exprime toute sa reconnaissance aux instances publiques et professionnelles, aux auditeurs internes et externes, aux dirigeants, aux administrateurs et aux universitaires qui l'ont conseill et assist dans l'laboration et l'interprtation des Normes. L'IIA doit beaucoup toutes celles et tous ceux qui sont intervenus au fil des ans dans le cadre du Internal Auditing Standards Board et de ses sous-comits.
32
JUIN 2004
Modalits pratiques dapplication
LES MODALITS PRATIQUES DAPPLICATION

Pages
Tableau de correspondance
......................................................
19 1 16 1 21 1 17 1 17 1 21 1 38 1 71 1 12 1 17 1 22 15 14
Tableau rcapitulatif des mises jour
..........................................
MPA 1000 Missions, pouvoirs et responsabilits MPA 1100 Indpendance et objectivit
...........................
.....................................
MPA 1200 Comptence et consciences professionnelle
...................
MPA 1300 Programme dassurance et damlioration qualit MPA 2000 Gestion de laudit interne
............
........................................
MPA 2100 Nature du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MPA 2200 Planification de la mission

.......................................
MPA 2300 Accomplissement de la mission MPA 2400 Communication des rsultats
.................................
....................................
MPA 2500 Surveillance des actions de progrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MPA 2600 Acceptation des risques par la direction gnrale
............
SEPTEMBRE 2006
TABLEAU
DE
CORRESPONDANCE
TABLEAU DE CORRESPONDANCE NORMES/MODALITS PRATIQUES DAPPLICATION

Normes de qualification 1000 Missions, pouvoirs et responsabilits 1000.A1 1000.C1 1000.C1-1 Principes directeurs de la ralisation des missions de conseil des auditeurs internes 1000.C1-2 Proccupation supplmentaire pour les missions de conseil formelles 1000.C1-3 Points supplmentaires pour les missions de conseil dans des organismes publics 1100 Indpendance et objectivit 1110 Indpendance dans l'organisation 1100-1 Indpendance et objectivit 1110-1 Indpendance dans l'organisation 1110-2 Rattachement du responsable de l'audit interne 1110.A1 1120 Objectivit individuelle 1130 Atteintes l'indpendance et l'objectivit 1130.A1 1110.A1-1 Justification des demandes d'information 1120-1 Objectivit individuelle 1130-1 Atteintes l'indpendance et l'objectivit 1130.A1-1 Audit des oprations dont les auditeurs internes ont t auparavant responsables 1130.A1-2 Responsabilits exerces par l'audit interne au titre d'autres fonctions 1130.A2 1130.C1 1130.C2 Normes de mise en uvre Modalits pratiques dapplication (MPA) 1000-1 Charte d'audit interne
SEPTEMBRE 2006
TABLEAU DE CORRESPONDANCE
Normes de qualification 1200 Comptence et conscience professionnelle 1210 Comptence
Modalits pratiques dapplication (MPA) 1200-1 Comptence et conscience professionnelle 1210-1 Comptence
1210.A1 1210.A2
1210.A1-1 Recours des prestataires de services externes 1210.A2-1 Responsabilits de l'auditeur interne en matire de prvention, de dtection et d'valuation des risques 1210.A2-2 Responsabilits de l'auditeur interne en matire d'enqutes, de prsentation de rapports, de rsolution de problmes et de communication relatives la fraude
1210.A3 1210.C1 1220 Conscience professionnelle 1220-1 Conscience professionnelle 1220-2 Outils daudit assists par ordinateur 1220.A1 1220.A2 1220.A3 1220.C1 1230 Formation professionnelle continue 1300 Programme d'assurance et d'amlioration qualit 1310 valuations du programme qualit 1311 valuations internes 1230-1 Formation professionnelle continue 1300-1 Programme d'assurance et d'amlioration qualit 1310-1 valuations du programme qualit 1311-1 valuations internes 1311-2 Mise en place dindicateurs (valuations quantitatives et qualitatives) lappui des contrles de la performance de lactivit daudit interne 1312-1 (*) valuations externes
1312 valuations externes
(*) La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
SEPTEMBRE 2006
Normes de fonctionnement
Modalits pratiques dapplication (MPA) 1312-2 (*) valuations externes : auto-valuation avec validation indpendante des rsultats 1312-3 Certification des directions daudit interne
1320 Rapports relatifs au programme qualit 1330 Utilisation de la mention Conduit conformment aux Normes 1340 Indication de non conformit 2000 Gestion de l'audit interne 2010 Planification
1320-1 Rapports relatifs au programme qualit 1330-1 (*) Audits effectus conformment aux Normes 1330-2 Audits : effectus conformment aux Normes
2000-1 Gestion de l'audit interne 2010-1 Planification 2010-2 La prise en compte des risques pour l'laboration du plan d'audit 2010.A1 2010.C1
2020 Communication et approbation 2030 Gestion des ressources
2020-1 Communication et approbation 2030-1 Gestion des ressources 2030-3 Les exigences franaises en matire d'indpendance des commissaires aux comptes
2040 Rgles et procdures 2050 Coordination
2040-1 Rgles et procdures 2050-1 Coordination 2050-2 (*) Acquisition de services d'audit externe 2050-3 Acquisition de services proposs par les cabinets daudit externe
SEPTEMBRE 2006
Normes de fonctionnement 2060 Rapports au Conseil et la direction gnrale
Modalits pratiques dapplication (MPA) 2060-1 Rapports au Conseil et la direction gnrale 2060-2 Relations avec le comit daudit 2100-1 Nature du travail 2100-2 Scurit de l'information 2100-3 Le rle de l'audit interne dans le processus de management des risques 2100-4 Le rle de l'audit interne en l'absence de processus de management des risques 2100-5 valuation des programmes de compliance (conformit aux rglementations) aspects juridiques 2100-6 Le commerce lectronique : un impact sur les contrles et sur laudit 2100-7 Le rle de laudit interne dans lidentification et le reporting des risques environnementaux 2100-8 Lvaluation du dispositif mis en place par lorganisation pour protger la vie prive : rle de lauditeur 2100-9 Revue des systmes d'application 2100-10 Vrification par sondage 2100-11 Impact des contrles de pilotage des systmes d'information 2100-12 Externalisation des activits relatives aux systmes d'information 2100-13 Incidence des prestataires sur les contrles informatiques d'une organisation 2100-14 Preuves d'audit rassembler
2100 Nature du travail
SEPTEMBRE 2006
Normes de fonctionnement 2110 Management des risques
Modalits pratiques dapplication (MPA) 2110-1 valuer le processus de management des risques
2110.A1 2110.A2
2110-2 Le rle de laudit interne dans le processus de continuit des oprations
2120 Contrle
2110.C1 2110.C2 2120.A1
2120.A1-1 valuer les processus de contrle interne et en rendre compte 2120.A1-2 Utiliser l'auto-valuation des contrles pour valuer la pertinence des processus de contrle 2120.A1-3 Le rle de l'audit interne en matire de reporting financier, de publication des informations et de certification par les dirigeants 2120.A1-4 Audit du processus de reporting financier
2120.A2 2120.A3 2120.A4 2120.C1 2120.C2 2130.A1
2120.A4-1 Critres de contrle
2130 Gouvernement d'entreprise
2130-1 Le rle de l'audit interne et de l'auditeur interne en terme de culture thique 2200-1 Considrations relatives la planification
2130.C1 2200 Planification de la mission 2201 Considrations relatives 2201.A1 la planification 2201.C1 2210 Objectifs de la mission 2210.A1
2210-1 Objectifs de la mission 2210.A1-1 valuation des risques dans la planification de la mission
2210.A2 2210.C1
SEPTEMBRE 2006
Normes de fonctionnement 2220 Champ de la mission
Normes de mise en uvre 2220.A1 2220.A2 2220.C1
Modalits pratiques dapplication (MPA)
2230 Ressources affectes la mission 2240 Programme de travail de la mission 2240.A1 2240.C1 2300 Accomplissement de la mission 2310 Identification des informations 2320 Analyse et valuation 2330 Documentation des informations 2330.A1
2230-1 Ressources affectes la mission 2240-1 Programme de travail de la mission 2240.A1-1 Approbation des programmes de travail
2300-1 L'utilisation d'informations caractre personnel par l'auditeur interne dans le cadre des audits 2310-1 Identification des informations 2320-1 Analyse et valuation 2330-1 Documentation des informations 2330.A1-1 Contrle des dossiers d'audit 2330.A1-2 Accs aux dossiers d'audit aspects juridiques 2330.A2-1 Conservation des dossiers 2340-1 Supervision de la mission 2400-1 Communication des rsultats aspects juridiques 2410-1 Contenu de la communication 2410.A1 2410.A2 2410.A3 2410.C1
2330.A2 2330.C1 2340 Supervision de la mission 2400 Communication des rsultats 2410 Contenu de la communication
2420 Qualit de la communication
2420-1 Qualit de la communication
SEPTEMBRE 2006
Normes de fonctionnement 2430 Indications de non conformit aux normes 2440 Diffusion des rsultats
Modalits pratiques dapplication (MPA)
2440-1 Destinataires des rsultats de la mission 2440-2 Diffusion des rsultats l'extrieur de l'organisation 2440-3 La communication d'informations sensibles par la voie hirarchique ou en marge de celle-ci 2440.A1 2440.A2 2440.C1 2440.C2
2500 Surveillance des actions de progrs 2500.A1 2500.C1 2600 Acceptation des risques par la Direction Gnrale
2500-1 Surveillance des actions de progrs 2500.A1-1 Processus de suivi de la mission
2600-1 Acceptation des risques par la Direction Gnrale
Ce tableau le met en exergue : toutes les normes ne sont pas accompagnes de MPA. Dans les pages suivantes, nous navons repris que les normes associes des MPAs. Pour avoir le texte complet des normes, nous vous invitons vous reporter la partie III du prsent ouvrage.
SEPTEMBRE 2006
TABLEAU
RCAPITULATIF DES MISES JOUR
TABLEAU RCAPITULATIF DES MISES JOUR 2004-2006 RELATIVES AUX MPAs SRIE 1000
La formulation Les Normes pour la Pratique Professionnelle de lAudit Interne a t remplace dans lensemble des MPAs par les Normes Internationales pour la Pratique Professionnelle de lAudit Interne (les Normes ) .
Modalits pratiques dapplication MPA 1000-1 : Charte daudit interne Date de mise jour Avril 2004 volutions/Commentaires Paragraphe 1 : Le responsable de laudit interne doit chercher obtenir lapprobation de la charte par la direction gnrale ainsi que son acceptation par le Conseil . Auparavant, il tait spcifi le Conseil, le comit daudit ou tout organe dlibrant appropri. Paragraphe 1 : Ajout : Lapprobation de la Charte doit tre documente dans les procsverbaux des runions de lorgane dlibrant .
MPA 1000.C1-1 : Principes directeurs de la ralisation des missions de conseil formelles MPA 1000.C1-2 : Proccupations supplmentaires pour les missions de conseil formelles MPA 1000.C1-3 : Points supplmentaires pour les missions de conseil dans des organismes publics MPA 1100-1 : Indpendance et objectivit MPA 1110-1 : Indpendance dans lorganisation Avril 2004 Septembre 2005
Aucun changement
Aucun changement
Nouvelle MPA
Aucun changement Paragraphe 3 : Le responsable de laudit interne doit tre rattach, sur le plan fonctionnel au Conseil . Auparavant, il tait spcifi au comit daudit, au Conseil, ou tout autre organe dlibrant comptent. Paragraphe 5 : La prsence et la participation active du responsable de laudit interne ces runions lui permettent dtre inform des orientations stratgiques de
SEPTEMBRE 2006
TABLEAU RCAPITULATIF
Date de mise jour
volutions/Commentaires lentreprise tant en termes dactivit que sur le plan oprationnel, et de soulever en amont tout problme important relatif aux risques, aux systmes, aux procdures ou aux contrles. Elles permettent en outre un change dinformations sur la planification et les activits de laudit interne. Ce paragraphe a volu de faon encourager la participation des responsables daudit lensemble des runions du Conseil et pas uniquement aux runions du comit daudit ou aux runions des organes dlibrants. Ainsi, le responsable de laudit interne doit tre tenu inform des changements stratgiques de lentreprise de faon adapter le plan daudit et pouvoir diffuser des informations au Conseil et pas uniquement une manation restrictive de ce dernier.
MPA 1110.A1-1 : Justification des demandes dinformation MPA 1110-2 : Rattachement du Responsable de laudit interne MPA 1120-1 : Objectivit individuelle Avril 2004
Aucun changement Nouvelle MPA Paragraphe 5 : Le terme Invitation a t ajout la liste des items jugs contraire lthique et pouvant altrer le jugement objectif de lauditeur. Paragraphe 6 : Ce paragraphe a t rajout. Il stipule que : Le service daudit interne doit sengager, dans le cadre dune procdure, conduire ses activits de faon viter les conflits dintrt, et divulguer toute activit susceptible dentraner un ventuel conflit dintrt. Le dpartement daudit interne doit, par consquent, mettre en place des procdures documentes dans lesquelles il sengage jouer la transparence sur toute activit susceptible dentraner un ventuel conflit dintrt. Paragraphes 3, 4 : Toutes les formules Conseil, comit daudit ou tout autre organe dlibrant ont t remplaces par Conseil. Aucun changement
MPA 1130-1 : Atteintes lindpendance ou lobjectivit MPA 1130.A1-1 : Audit des oprations dont les auditeurs internes ont t auparavant responsables
Avril 2004
SEPTEMBRE 2006
Modalits pratiques dapplication MPA 1130.A1-2 : Responsabilits exerces par laudit interne au titre dautres fonctions MPA 1200-1 : Comptence et conscience professionnelle MPA 1210-1 : Comptence
Date de mise jour
volutions/Commentaires
Aucun changement Aucun changement Avril 2004 MPA remplace Paragraphe 5 : Ajout : Il convient de procder une analyse mensuelle des connaissances et des comptences des membres du service daudit (de faon identifier les points amliorer par la mise en uvre de programmes de formation continue, de recrutements ou un recours des ressources externes partages . Les paragraphes 6 et 7 ont t entirement rajouts Paragraphe 3 : Ajout de Conseil en matire de management des risques et dans dautres domaines comme exemple pour lequel laudit interne peut faire appel des prestataires de service. Paragraphe 9 : Ajout de Le cas chant, une mention relative au respect des Normes de lIIA et lapplication des normes ou mthodes de travail de laudit interne devra figurer dans la lettre dengagement . Le respect de ces normes est une clause contractuelle pour lexcution des missions des prestataires de service extrieur. Paragraphe 10 : Le responsable de laudit interne doit exiger et veiller ce que les travaux daudit interne des prestataires de service soient accomplis conformment aux normes ou mthodes de travail de laudit interne .
MPA 1210.A1-1 : Recours des prestations de services externes
Avril 2004
MPA 1210.A2-1 : Responsabilits de lauditeur interne en matire de prvention, de dtection et dvaluation des risques MPA 1210.A2-2 : Responsabilit de lauditeur interne en matire denqutes, de prsentation de rapports, de rsolution de problmes et de communication relatives la fraude
Avril 2006
MPA remplace
Avril 2006
MPA remplace
SEPTEMBRE 2006
Modalits pratiques dapplication MPA 1220-1 : Conscience professionnelle MPA 1220-2 : Outils assists par ordinateur MPA 1230-1 : Formation professionnelle continue MPA 1300-1 : Programme dassurance et damlioration qualit
Date de mise jour
volutions/Commentaires Aucun changement
Avril 2005
Nouvelle MPA Aucun changement Nouvelle MPA Le programme dassurance et damlioration qualit tait trait dans la MPA 1310-1. Cette dernire traite, dornavant, de lvaluation du programme qualit. MPA remplace Paragraphe 1 : Supprim et remplac par Suivi des programmes qualit anciennement le paragraphe 2 de la MPA. Ce paragraphe a volu dans sa globalit. Paragraphe 2 : Nouveau paragraphe Paragraphe 3 : Lvaluation des programmes qualit porte particulirement sur les points suivants : respect des Normes et du Code de Dontologie, et notamment mise en uvre, dans des dlais appropris, dactions correctrices visant remdier toute non-conformit significative. Paragraphe 4 : Tout programme dvaluation et damlioration de la qualit doit dboucher sur une modification approprie, effectue dans des dlais raisonnables, des ressources, des technologies, des processus et des procdures. Paragraphe 5 : Dans un souci de transparence, le responsable de laudit interne doit communiquer les rsultats des valuations externes aux diverses parties prenantes de laudit interne, telles que la direction gnrale, le Conseil et les auditeurs externes .
MPA 1310-1 : Lvaluation du programme qualit
MPA 1311-1: valuations internes
Avril 2004
MPA remplace Paragraphe 1 : nouveau paragraphe Paragraphe 2 : Ces valuations sont gnralement incorpores dans les procdures et les pratiques courantes de gestion de laudit interne.
SEPTEMBRE 2006
Date de mise jour
volutions/Commentaires Paragraphe 4 : On parle dornavant dvaluations internes priodiques et non plus dvaluations priodiques. Ces valuations correspondent gnralement des revues et des contrles de conformit ponctuels, finalit spcifique. Paragraphe 6 : nouveau paragraphe
MPA 1311-2 : Mise en place dindicateurs (valuations quantitatives et qualitatives) Septembre 2005 lappui des contrles de la performance de lactivit daudit interne MPA 1312-1 : valuations externes MPA 1312-2 : valuations externes : auto-valuation et validation indpendante des rsultats Avril 2004
Nouvelle MPA
MPA 1312-1 : MPA change, MPA 1312-2 : Nouvelle MPA La traduction de ces MPAs se trouve en annexe la suite de chaque Practice Advisory en anglais. La MPA 1312-3 se substitue ces deux MPAs pour la Pratique Professionnelle franaise.
MPA 1312-3 : Certification des directions daudit interne MPA 1320-1 : Rapports relatifs au programme qualit MPA 1330-1 : Audits effectus conformment externes : auto-valuation et validation indpendante MPA 1330-2 : Audits effectus conformment aux Normes
Avril 2004
Nouvelle MPA ddie aux Pratiques Professionnelles franaises MPA enrichie d'un commentaire franais
Avril 2004
MPA remplace La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory en anglais.
Nouvelle MPA ddie aux Pratiques Professionnelles franaises.
SEPTEMBRE 2006
TABLEAU RCAPITULATIF DES MISES JOUR RELATIVES AUX MPAs SRIE 2000
La formulation Les Normes pour la Pratique Professionnelle de lAudit Interne a t remplace dans lensemble des MPAs par les Normes Internationales pour la Pratique Professionnelle de lAudit Interne (les Normes ) . Modalits pratiques dapplication MPA 2000-1 : Gestion de laudit interne Date de mise jour Avril 2004
volutions/Commentaires MPA remplace Paragraphe 1 : La prcdente MPA prvoyait que les objectifs gnraux et de responsabilits de laudit interne soient approuvs par la direction gnrale et accepts par le Conseil. La nouvelle version stipule que : les objectifs gnraux et de responsabilits de laudit interne sont approuvs par le Conseil et, le cas chant, par la direction gnrale . Ceci suppose que le Conseil peut outrepasser les dcisions de la direction gnrale et approuver, seul, les objectifs gnraux et de responsabilits de laudit interne. LIFACI nagre pas ce principe. La prcdente formulation approuvs par le direction gnrale et accepts par le Conseil correspond davantage la pratique franaise. Paragraphe 4, item c : Lors de la planification, les points prendre en considration sont les demandes manant du Conseil et de la direction gnrale et non plus comme mentionn auparavant, les demandes manant de la direction gnrale, du comit daudit et dautres organes de direction. Cette nouvelle formulation qui prend en considration la culture amricaine ne correspond pas la perception franaise. MPA remplace Cette MPA a t modifie de manire significative. Paragraphe 1 : Nouveau paragraphe qui traite des risques et incertitudes qui peuvent affecter de manire positive ou ngative toute organisation et des divers moyens de les grer, notamment le contrle interne.
MPA 2010-1 : Planification
Avril 2004
MPA 2010-2 : La prise en compte des risques pour llaboration du plan daudit
Avril 2004
SEPTEMBRE 2006
Date de mise jour
volutions/Commentaires Paragraphe 2 : Paragraphe modifi comme suit : Le principal but de laudit est de fournir au management des informations pour attnuer les consquences ngatives que ces risques font courir la ralisation des objectifs de lorganisation, ainsi quune valuation de lefficacit du systme de gestion des risques mis en place par la direction . Paragraphe 3 : Il a t rajout que En principe, le plan stratgique de lorganisation doit tenir compte de lenvironnement dans lequel elle opre. Les facteurs lis cet environnement influeront vraisemblablement sur la dmarche daudit et lvaluation des risques . Paragraphe 4 : Nouveau paragraphe. Paragraphe 5 : Le programme des missions daudit doit tre bas sur lexposition aux risques de lorganisation. Les mthodes et les techniques utilises dans le cadre des missions daudit, pour effectuer des tests et valider lexposition aux risques, doivent tenir compte de la matrialit des risques et de leur probabilit doccurrence . Paragraphe 6 : Les rapports daudit doivent mentionner limportance critique de lexposition aux risques et son incidence sur la ralisation des objectifs .
MPA 2020-1 : Communication et approbation
Avril 2004
Paragraphe 1 : Il est suggr que : les programmes de travail de laudit interne, les prvisions deffectifs et le budget financier doivent dornavant tre approuvs par le Conseil plutt que par la direction gnrale comme mentionn dans la prcdente version de la MPA. LIFACI ne partage pas ce sentiment et conseille de sen tenir la formulation prcdente : le responsable de laudit interne doit soumettre, annuellement, la direction gnrale pour approbation et au Conseil pour information, les programmes de travail de laudit interne, les prvisions deffectifs et le budget financier . MPA remplace Paragraphes 2 et 3 : Le responsable de laudit interne a comme nouvelles responsabilits :
MPA 2030-1 : Gestion des ressources
Avril 2004
SEPTEMBRE 2006
Date de mise jour
volutions/Commentaires La slection de collaborateurs qualifis et comptents tant dans les domaines audits quen matire dapplication des mthodes daudit interne. La dfinition dobjectifs annuels de performance lintention des auditeurs internes. Si besoin, le recours des ressources partages, dautres consultants ou aux collaborateurs dautres services qui apporteront des comptences supplmentaires ou spcialises.
MPA 2030-2 : Les exigences de la SEC en matire dindpendance des auditeurs externes pour fournir des prestations daudit interne MPA 2030-3 : Les exigences franaises en matire dindpendance des commissaires aux comptes MPA 2040-1 : Rgles et procdures MPA 2050-1 : Coordination MPA 2050-2 : Acquisition de services daudit externe (*) MPA 2050-3 : Acquisition de services proposs par les cabinets daudit externe MPA 2060-1 : Rapports au conseil et la direction gnrale Avril 2004 Avril 2004 Avril 2004
MPA Supprime
Nouvelle MPA ddie aux Pratiques Professionnelles franaises
Aucun changement MPA enrichie de commentaires franais Aucun changement Nouvelle MPA ddie aux Pratiques Professionnelles franaises
Avril 2004
Avril 2004
Paragraphe 1 : Le responsable de laudit doit soumettre un rapport dactivit la direction gnrale et au conseil plusieurs fois par an , et non plus, comme dans lancienne version de la MPA, annuellement, et plus frquemment si ncessaire. Nouvelle MPA
MPA 2060-2 : Relations avec le comit daudit
SEPTEMBRE 2006
10
Modalits pratiques dapplication MPA 2100-1 : Nature du travail
Date de mise jour Avril 2004
volutions/Commentaires Paragraphe 5 : Le management tablit et maintient une culture dentreprise et notamment un climat thique qui tient compte de lexposition aux risques et qui inclut la mise en uvre de stratgies efficaces en matire de gestion des risques . Paragraphe 8, second tiret : Le systme de contrle interne est adquat , efficace et efficient. Suppression du comit daudit ou tout autre organe de direction dans l'ensemble des paragraphes. Seuls, le management et le Conseil ont la responsabilit de la scurit de linformation.
MPA 2100-2 : Scurit de linformation
Avril 2004
MPA 2100-3 : Le rle de laudit interne dans le processus de management des risques MPA 2100-4 : Le rle de laudit interne en labsence de processus de management des risques MPA 2100-5 : valuation des programmes de compliance (conformit aux rglementations)-aspects juridiques MPA 2100-6 : Le commerce lectronique : un impact sur les contrles et sur laudit MPA 2100-7 : Le rle de laudit interne dans lidentification et le reporting des risques environnementaux MPA 2100-8 : Lvaluation du dispositif mis en place par lorganisation pour protger la vie prive : rle de lauditeur
Aucun changement
Aucun changement
Aucun changement
Nouvelle MPA
Nouvelle MPA
Nouvelle MPA
SEPTEMBRE 2006
11
Modalits pratiques dapplication MPA 2100-9 : Revue des systmes dapplication MPA 2100-10 : Vrification par sondage MPA 2100-11 : Impact des contrles de pilotage des systmes dinformation MPA 2100-12 : Externalisation des activits relatives aux systmes dinformation MPA 2100-13 : Incidence des prestataires sur les contrles informatiques dune organisation MPA 2100-14 : Preuves daudit rassembler MPA 2110-1 : valuer le processus de management des risques MPA 2110-2 : Le rle de laudit interne dans le processus de continuit des oprations MPA 2120.A1-1 : valuer les processus de contrle interne et en rendre compte
Date de mise jour Avril 2005 Avril 2005 Avril 2005
volutions/Commentaires Nouvelle MPA Nouvelle MPA Nouvelle MPA
Avril 2005
Nouvelle MPA
Avril 2005
Nouvelle MPA
Avril 2005
Nouvelle MPA Aucun changement
Nouvelle MPA
Avril 2004
MPA remplace On ne parle plus seulement des processus de contrle mais des processus de management des risques et de contrle , ce qui suppose que les auditeurs doivent valuer et rendre compte des processus de contrle interne mais aussi des processus de management des risques. Paragraphe 4 : Ajout de Le plan daudit doit comporter une revue des principaux processus de gestion des risques en place dans lorganisation et mentionner les principaux risques identifis grce ces processus. Paragraphe 9 : Ajout de Le responsable de laudit interne doit prsenter la direction gnrale et au Conseil, gnralement une fois par an, un rapport sur ltat des processus de management des risques et de contrle de lorganisation.
12
SEPTEMBRE 2006
Modalits pratiques dapplication MPA 2120.A1-2 : Utiliser lauto-valuation des contrles pour valuer la pertinence des processus de contrle MPA 2120.A1-3 : Le rle de laudit interne en matire de reporting financier, de publication des informations et de certification par les dirigeants MPA 2120.A1-4 : Audit du processus de reporting financier MPA 2120.A4-1 : Critres de contrle
Date de mise jour
Aucun changement
Nouvelle MPA
Nouvelle MPA Avril 2004 MPA remplace Cette MPA a t entirement rcrite. La nouvelle version de cette MPA suppose que, dornavant, les auditeurs internes identifient le degr de risque que la direction gnrale est dispose prendre en fonction des objectifs et prvisions oprationnelles quelle sest fixs. Si la direction gnrale na pas prcis les principaux risques ni le degr de risque quelle est dispose prendre, laudit interne peut ly aider. Aucun changement
MPA 2130-1 : Le rle de laudit interne et de lauditeur interne en terme de culture thique MPA 2200-1 : Considrations relatives la planification Avril 2004
Paragraphe 1, tiret 4 : Le programme de mission doit : identifier les aspects techniques, les objectifs de lactivit, les risques, les procds et les transactions qui doivent tre audites . Aucun changement
MPA 2210-1 : Objectifs de la mission MPA 2210.A1-1 : valuation des risques dans la planification de la mission Avril 2004
MPA remplace Nature de la MPA : il a t rajout : quil appartient aux auditeurs internes dapprcier quels sont les lments ncessaires pour acqurir une assurance suffisante que les risques appropris sont identifis pour une mission donne .
SEPTEMBRE 2006
13
Date de mise jour
volutions/Commentaires Paragraphe 1 : Nouveau paragraphe. Paragraphe 6 : Il appartient lauditeur interne dtablir un rsum des rsultats obtenus suite lexamen de lvaluation des risques effectus par la direction, des informations de base et des conclusions des examens prliminaires.
MPA 2230-1: Ressources affectes la mission MPA 2240-1 : Programme de travail de la mission MPA 2240.A1-1 : Approbation des programmes de travail Avril 2004
Aucun changement Paragraphe 2 : rfrence la MPA 2340-1 rajoute afin dobtenir des lignes directrices plus dtailles. MPA remplace Paragraphe 1 : Le programme de travail de la mission doit tre approuv par crit par le responsable de laudit interne ou son dlgu avant le dmarrage de la mission, dans toute la mesure du possible. Lapprobation peut tre dabord obtenue oralement sil nest pas possible de lobtenir par crit avant le dmarrage de la mission. Les modifications apportes au plan de la mission doivent tre approuves temps . Nouvelle MPA
Avril 2004
MPA 2300-1 : Lutilisation dinformations caractre personnel par lauditeur interne dans le cadre des audits MPA 2310-1 : Identification des informations MPA 2320-1: Analyse et valuation Avril 2004
Aucun changement Paragraphe 4, rajout dune puce : Aprs avoir valu ces facteurs, les auditeurs internes doivent prendre en considration et utiliser, si ncessaire, dautres procdures daudit pour atteindre lobjectif de la mission, savoir : lvaluation des risques et lefficacit du processus de management des risques dans le domaine examin . Paragraphe 2 : Lorganisation, la conception et le contenu des dossiers de travail de laudit sont fonction de la mission. Les dossiers de travail doivent toutefois comprendre les lments suivants du processus : la planification de la mission, lvaluation des risques... .
MPA 2330-1 : Documentation des informations
Avril 2004
14
SEPTEMBRE 2006
Modalits pratiques dapplication MPA 2330.A1-1 : Contrle des dossiers daudit MPA 2330.A1-2 : Accs aux dossiers daudit aspects juridiques
Date de mise jour
volutions/Commentaires Aucun changement
Avril 2004
Paragraphe 1 : Il a t rajout : pour les autres procdures, la question de laccs aux dossiers est moins vidente et les solutions sont susceptibles de varier en fonction du droit national applicable lorganisation . Aucun changement
MPA 2330.A2-1 : Conservation des dossiers MPA 2340-1 : Supervision de la mission Avril 2004
Paragraphe 5 : Lvaluation et la validation laide dun logiciel des papiers de travail sous format lectronique ont t rajoutes la liste des techniques fournissant une preuve de la revue.
MPA 2400-1 : Communication des rsultats aspects juridiques MPA 2410-1 : Contenu de la communication
Avril 2004 Aucun changement
Avril 2004
Paragraphe 5 : Les conclusions ont t rajoutes, au mme titre que les observations et les opinions, dans la liste des rsultats devant tre communiqus. Paragraphe 8 : il est prcis que une opinion peut comporter une valuation globale des contrles ou du domaine examins, ou tre limite certains contrles ou certains aspects de la mission . Aucun changement
MPA 2420-1 : Qualit de la communication MPA 2421-1 : Erreurs et omissions MPA 2440-1 : Diffusion des rsultats Avril 2004
MPA supprime MPA remplace Lintitul de cette MPA a t chang. Au lieu de diffusion des rsultats , dsormais il faut lire destinataires des rsultats de la mission . Aucun changement
Avril 2004
MPA 2440-2 : Diffusion des rsultats lextrieur de lorganisation
Avril 2004
SEPTEMBRE 2006
15
Modalits pratiques dapplication MPA 2440-3 : La communication dinformations sensibles par la voie hirarchique ou en marge de celle-ci MPA 2500-1 : Surveillance des actions de progrs MPA 2500.A1-1 : Processus de suivi de la mission MPA 2600-1 : Acceptation des risques par la direction gnrale
Date de mise jour Avril 2004
Nouvelle MPA
Aucun changement
Aucun changement
Aucun changement
16
SEPTEMBRE 2006
MPA SRIE 1000

Missions, pouvoirs et responsabilits
1000 M ISSION ,
POUVOIRS ET RESPONSABILITS
LA MISSION, LES POUVOIRS ET LES RESPONSABILITS DE LAUDIT INTERNE DOIVENT TRE FORMELLEMENT DFINIS DANS UNE CHARTE, TRE COHRENTS AVEC LES NORMES ET DMENT APPROUVS PAR LE CONSEIL
MPA 1000-1 Charte daudit interne
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au moment dadopter la charte daudit interne. La prsente MPA na pas pour but de passer en revue lensemble des points examiner avant dadopter une charte mais de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. La mission, les pouvoirs et les responsabilits de laudit interne doivent tre dfinis dans une Charte. Le responsable de l'audit interne doit chercher obtenir lapprobation de la Charte par la direction gnrale ainsi que son acceptation par le Conseil, le comit d'audit ou tout organe dlibrant appropri. La Charte doit : tablir la position du service daudit interne dans lorganisation ; autoriser laccs aux documents, aux personnes et aux biens physiques, ncessaire la bonne ralisation des missions ; dfinir le champ de laudit interne. 2. La Charte du service daudit interne doit tre crite. Un document crit permet une soumission officielle la direction gnrale pour examen et approbation, et au Conseil pour acceptation. Il facilite en outre lvaluation priodique de la pertinence de la mission, des pouvoirs et des responsabilits de laudit interne. La diffusion dun docu OCTOBRE 2002
ment crit et officiel contenant la Charte de laudit interne est un lment essentiel pour la russite de laudit interne au sein de lorganisation. La mission, les pouvoirs et les responsabilits doivent tre dfinis et communiqus dans le but de prciser le rle de laudit interne et de fournir la direction gnrale et au Conseil une base dans lvaluation des activits de la fonction. En cas dinterrogation, la Charte est la rfrence crite officielle de l'accord pass avec la direction gnrale et le Conseil sur le rle et les responsabilits de laudit interne au sein de lorganisation. 3. Le responsable de l'audit interne doit priodiquement valuer si la mission, les pouvoirs, et les responsabilits dfinis dans la Charte permettent toujours au service daudit interne datteindre ses objectifs. Le rsultat de cette valuation priodique doit tre communiqu la direction gnrale et au Conseil.
1000.C1
La nature des missions de conseil doit tre dfinie dans la Charte daudit.
MPA 1000.C1-1 Principes directeurs de la ralisation des missions de conseil des auditeurs internes
Nature de cette Modalit Pratique dApplication : Selon la dfinition de laudit interne, Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit . Rappelons aux auditeurs internes que les Normes de qualification et de fonctionnement sappliquent aussi bien aux missions dassurance quaux missions de conseil. La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans toutes les missions de conseil. Les prestations de conseil vont des missions officielles, dfinies par un accord crit, aux activits telles que la participation des quipes charges de projets ou des comits de direction permanents ou temporaires. Il appartient aux auditeurs internes dexercer leur jugement professionnel pour apprcier, au cas par cas, dans quelle mesure les directives contenues dans la prsente MPA peuvent tre appliques. Certaines missions de conseil, comme la participation
4
OCTOBRE 2002
SRIE 1000 - MISSION, POUVOIRS ET RESPONSABILITS
un projet de fusion ou dacquisition ou des missions dextrme urgence (mise en uvre de plans de secours par exemple), peuvent ncessiter des drogations aux procdures qui rgissent habituellement les missions de conseil. Il est recommand aux auditeurs internes de tenir compte des principes directeurs suivants lors des missions de conseil. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner dans le cadre dune mission de conseil. Il appartient aux auditeurs internes de prendre toutes les prcautions ncessaires pour sassurer que les membres de la direction gnrale et du Conseil comprennent et adhrent au principe, aux rgles directrices et aux procdures de communication ncessaires la ralisation des missions de conseil. Le respect des Modalits Pratiques dApplication est facultatif.
1. Lapport de valeur Lapport de valeur de laudit interne est ralis au sein dune organisation lorsque les auditeurs internes interviennent selon des modalits bien adaptes sa culture et ses ressources. Cet apport de valeur, indiqu dans la dfinition de laudit interne, sapplique aux activits dassurance et de conseil, dont lobjet est dapporter de la valeur ajoute lorganisation par la mise en uvre dune approche systmatique et mthodique dans les domaines du gouvernement dentreprise, du management des risques et du contrle. 2. Cohrence avec la dfinition de laudit interne Laudit interne exige la mise en uvre dune mthodologie dvaluation rigoureuse et systmatique. Les prestations fournies relvent gnralement de l'assurance et du conseil. Toutefois, elles peuvent galement inclure des missions valeur ajoute diffrentes, ds lors quelles sont cohrentes avec la dfinition gnrale de laudit interne. 3. Activits qui vont au-del de lassurance et du conseil Les missions daudit interne peuvent prendre des formes multiples. De mme que lassurance et le conseil ne sont pas incompatibles, ils nexcluent pas la ralisation dautres missions telles que des enqutes ou autres prestations ne relevant pas proprement parler de laudit. Notons que de nombreuses prestations daudit auront la fois des dimensions dassurance et de conseil. 4. Interdpendance de lassurance et du conseil Les missions de conseil accroissent la valeur ajoute de laudit interne. Sil arrive frquemment que les missions dassurance dbouchent sur des missions de conseil, il faut aussi reconnatre que des missions dassurance peuvent galement dcouler de missions de conseil. 5. Prvoir les missions de conseil dans la Charte Les auditeurs internes effectuent traditionnellement diffrents types de missions de conseil allant de lanalyse des contrles intgrs dans le dveloppement de systmes, ltude des dispositifs de
OCTOBRE 2002
scurit ou la participation des groupes de travail chargs dexaminer les oprations et de formuler des recommandations, etc. Le Conseil (ou le comit d'audit) doit habiliter laudit interne effectuer dautres missions ds lors quelles nengendrent pas de conflit dintrt et quelles ne sont pas incompatibles avec ses obligations envers le Comit. Cette habilitation doit figurer dans la Charte de laudit interne. 6. Objectivit Les missions de conseil fournissent parfois lauditeur loccasion damliorer sa connaissance des processus de lorganisation ou des problmes soulevs pendant une mission (d'expression) dassurance ; elles naltrent pas ncessairement lobjectivit de lauditeur ou de laudit interne. Laudit interne nest pas une fonction de prise de dcisions. La dcision dadopter ou de mettre en place les recommandations formules lissue dune mission de conseil relve du management. Par consquent, lobjectivit de laudit interne ne devrait pas tre altre par les dcisions prises par le management la suite de telles missions. 7. Le fondement des missions de conseil au sein de laudit interne La plupart des prestations de conseil sinscrivent dans le prolongement naturel des missions dassurance et dinvestigations et peuvent consister en des recommandations, tudes ou valuations, formelles ou informelles. Laudit interne est idalement plac pour effectuer ce type de prestations tant donn (a) son adhsion aux critres les plus levs dobjectivit, et (b) ltendue de ses connaissances en matire de processus organisationnels, de risques et de stratgies. 8. Communication des informations essentielles Lune des principales fonctions de laudit interne est de fournir une assurance la direction gnrale et aux administrateurs du comit d'audit. Les missions de conseil ne sauraient tre accomplies sans divulguer les informations qui, aux yeux du responsable de l'audit interne, doivent tre communiques la direction gnrale et au Conseil. Toute prestation de conseil sinscrit dans ce contexte. 9. Comprhension par lorganisation des principes rgissant les missions de conseil Les organisations doivent avoir des principes de base rgissant la ralisation des missions de conseil, connus et compris de tous les membres de lorganisation. Ces principes doivent tre codifis dans la Charte dAudit approuve par le comit d'audit et diffuss dans lorganisation. 10. Missions de conseil formelles Il arrive frquemment que la direction confie des consultants externes des missions de conseil formelles dune dure significative. Toutefois, certaines entits peuvent estimer que le service daudit interne est le plus comptent pour accomplir ces missions de conseil. Lorsque laudit interne entreprend une telle mission, il doit la conduire selon une approche systmatique et mthodique. 11. Devoirs du responsable de l'audit interne Les missions de conseil permettent au responsable de l'audit interne dengager un dialogue avec le management sur certains
6
OCTOBRE 2002
points lis la gestion de lorganisation. Ce dialogue permet dadapter ltendue et le calendrier de la mission aux besoins du management. Toutefois, cest au responsable de l'audit interne de dcider des techniques daudit mettre en uvre et dinformer la direction gnrale et le comit d'audit lorsque la nature et limportance des rsultats mettent en vidence des risques significatifs pour lorganisation. 12. Rsolution des conflits ou situations imprvues Lauditeur interne demeure avant tout un auditeur interne. A ce titre, tous ses travaux sont rgis par le Code de Dontologie de lIIA et par les Normes de Qualification et de Fonctionnement figurant dans les Normes pour la Pratique Professionnelle de laudit interne. Tout conflit ou activit imprvus doivent tre rsolus conformment au Code de Dontologie et aux Normes.
MPA 1000.C1-2 Proccupations supplmentaires pour les missions de conseil formelles

Remarque particulire concernant la prsente MPA et les Normes correspondantes La prsente Modalit Pratique dApplication contient des recommandations qui concernent plusieurs Normes de mise en uvre pour lactivit de conseil. Outre la Norme 1000.C1, ces recommandations couvrent galement les Normes 1130.C1 et C2, 1210.C1, 1220.C1, 2010.C1, 2110.C1 et C2, 2120.C1 et C2, 2130.C1, 2201.C1, 2210.C1, 2220.C1, 2240.C1, 2330.C1, 2410.C1, 2440.C1 et C2, et 2500.C1. Les rfrences ces Normes figurent entre parenthses dans les titres de la prsente Modalit Pratique dApplication. Nature de cette Modalit Pratique dApplication : La prsente Modalit Pratique dApplication traite du mme sujet que la MPA 1000.C1-1, relative aux principes rgissant la ralisation de prestations de conseil. Ces deux MPA sont utiles aux auditeurs internes qui effectuent des prestations de conseil. Selon sa dfinition, Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit . Il convient de rappeler aux auditeurs internes que les Normes de qualification et de fonctionnement sappliquent aussi bien aux missions d'expression dassurance quaux missions de conseil.
OCTOBRE 2002
La prsente MPA met laccent sur les paramtres gnraux prendre en compte dans toutes les missions de conseil formelles. Les prestations de conseil vont des missions explicitement dfinies par un accord crit, aux activits telles que la participation des quipes charges de projets ou des comits de direction permanents ou temporaires. Il appartient aux auditeurs internes dexercer leur jugement professionnel pour apprcier, au cas par cas, dans quelle mesure les lignes directrices contenues dans la prsente MPA doivent tre appliques. Certaines missions de conseil, comme la participation un projet de fusion ou dacquisition ou la gestion de circonstances imprvues (mise en uvre de plans de secours par exemple), peuvent ncessiter des drogations aux procdures qui rgissent habituellement les missions de conseil. Il est recommand aux auditeurs internes de tenir compte des suggestions suivantes lors des missions de conseil formelles. La prsente recommandation na pas pour but de procder un expos exhaustif des points examiner dans le cadre dune mission de conseil formelle. Il appartient aux auditeurs internes de prendre toutes les prcautions ncessaires pour sassurer que les membres de la direction gnrale et du Conseil comprennent et adhrent au concept, aux rgles directrices et aux procdures de communication ncessaires la ralisation des missions de conseil formelles. Le respect des Modalits Pratiques dApplication est facultatif.
DFINITION DES PRESTATIONS DE CONSEIL FORMELLES : 1. Le glossaire annex aux Normes dfinit les activits de conseil comme suit : Conseils et services y affrents rendus au client donneur dordre dont la nature et le champ sont convenus au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et damliorer le fonctionnement dune organisation. Quelques exemples : consultation, conseil, facilitation, conception de processus et formation . 2. Le responsable de l'audit interne doit dfinir la mthodologie mettre en uvre pour distinguer les diffrents types de mission existants dans lorganisation. Il peut savrer opportun, dans certains cas, de regrouper au sein dune mission caractre mixte des prestations de conseil et dassurance ralises selon une approche commune. Parfois au contraire, il est prfrable de distinguer les composantes assurance et conseil de la mission. 3. Les auditeurs internes peuvent effectuer des prestations de conseil soit dans le cadre de leurs activits courantes, soit en rponse des demandes du management. Il appartient chaque organisation dexaminer le type dactivits de conseil proposer et de dterminer sil y a lieu dadopter des procdures ou des rgles spcifiques chaque type dactivits. Les diverses catgories concernes sont : les missions de conseil formelles planifies et faisant lobjet daccords crits ;
8
OCTOBRE 2002
les missions de conseil informelles prestations courantes, telles que la participation des comits permanents, des projets de dure dtermine, des runions ponctuelles, ainsi qu' des changes courants dinformations ; les missions de conseil exceptionnelles participation un projet de fusion et dacquisition ou un projet de changement de systme ; les missions de conseil en situation de crise participation une quipe constitue en vue de la reprise ou de la poursuite des activits aprs un sinistre ou tout autre vnement exceptionnel, ou dans une quipe investie dune mission temporaire dassistance afin de rpondre une demande ponctuelle ou de respecter un dlai inhabituel. 4. Dune faon gnrale, les auditeurs doivent sabstenir deffectuer une mission de conseil dans le seul but de se soustraire ou de permettre autrui de se soustraire aux normes habituellement applicables aux missions dassurance lorsque ces dernires sont plus appropries pour les services en cause. Cette rgle nexclut pas dadapter les mthodologies lorsquil savre que les prestations effectues antrieurement dans le cadre de missions dassurance relvent plutt dune mission de conseil. INDPENDANCE ET OBJECTIVIT DANS LE CADRE DES MISSIONS DE CONSEIL FORMELLES (NORME 1130.C1) : 5. Il peut arriver que les auditeurs internes soient sollicits pour effectuer des prestations de conseil relatives des activits dont ils ont pu tre prcdemment responsables ou pour lesquelles ils ont ralis des missions dassurance. Avant de proposer de telles prestations, le responsable de l'audit interne doit sassurer que le Conseil comprend et approuve les principes de la ralisation de prestations de conseil. Une fois ces principes acquis, il convient de mettre jour la Charte daudit interne pour y inclure les rgles relatives aux pouvoirs et aux responsabilits en matire de conseil. Laudit interne doit en outre rdiger des procdures appropries la conduite de ces missions. 6. Les auditeurs internes doivent rester objectifs lorsquils tirent des conclusions ou proposent des conseils lattention du management. Celui-ci doit tre inform sans dlai de toute situation susceptible daltrer lindpendance ou lobjectivit des auditeurs, que cette situation soit antrieure la mission de conseil ou quelle survienne durant celle-ci. 7. Il existe un risque daltration de lindpendance et de lobjectivit lorsque les missions dassurance sont ralises au cours de lanne qui suit une mission de conseil formelle. Lincidence de cette situation peut tre minimise par diverses mesures telles que : laffectation dauditeurs distincts entre les missions dassurance et de conseil ; la dsignation de superviseurs et managers diffrents ;
OCTOBRE 2002
le rattachement provisoire de lquipe charge de la mission de conseil au client donneur dordre ;

Par exemple, si des auditeurs internes sont prts un dpartement ou une unit, tels que le dpartement juridique ou le service scurit afin de mener une mission de conseil ou participer un projet spcifique, alors ils doivent tre superviss, grs et rattachs aux responsables de ce dpartement ou de cette unit.
et la mention dune possible altration de lindpendance et de lobjectivit. Le management doit rester responsable de lacceptation et de la mise en uvre des recommandations. 8. Il convient de veiller, en particulier dans le cadre de missions de conseil permanentes ou continues par nature, ce que les auditeurs internes nassument pas de faon inopportune ou fortuite des responsabilits de management non prvues dans la dfinition et les objectifs initiaux de la mission. CONSCIENCE PROFESSIONNELLE DANS LES MISSIONS DE CONSEIL FORMELLES (NORMES 1210.C1, 1220.C1, 2130.C1, ET 2201.C1) : 9. Lauditeur interne doit conduire les missions de conseil formelles avec la conscience professionnelle requise. A cet effet, il convient de bien apprhender les lments suivants : besoins des managers de lentit, notamment en ce qui concerne la nature, la communication et les dlais dmission des rsultats de la mission ; motivations ventuelles et raisons ayant pu conduire la demande de mission ; tendue des travaux ncessaires latteinte des objectifs de la mission ; comptences et ressources ncessaires pour effectuer la mission ; incidence sur ltendue du plan daudit prcdemment approuv par le comit daudit ; impact ventuel sur les futures missions daudit ; bnfices potentiels, en termes dorganisation, retirer de la mission. 10. Outre les conditions dindpendance, dobjectivit et de conscience professionnelle dcrites ci-dessus, lauditeur interne doit remplir les tches suivantes : organiser les runions appropries et recueillir les informations ncessaires pour valuer la nature et ltendue des prestations fournir ; sassurer que les bnficiaires des prestations adhrent aux dispositions de la Charte daudit interne, aux rgles et procdures daudit interne et aux autres dispositions rgissant la conduite des missions de conseil. Lauditeur interne doit refuser les missions de conseil qui sont prohibes par la Charte daudit interne, qui sont
10
OCTOBRE 2002
contraires aux rgles et procdures du service daudit interne, ou qui napportent pas de valeur ajoute ni ne rpondent aux intrts de lorganisation ; sassurer de la compatibilit de la mission de conseil avec le plan daudit. Ce plan, fond sur une analyse des risques, peut intgrer et sappuyer sur des missions de conseil, dans la mesure o elles contribuent assurer la couverture daudit ncessaire lorganisation ; formaliser, dans un accord ou plan crits, les termes gnraux, la comprhension, les produits attendus et les autres facteurs cls de la mission de conseil. Il est essentiel que lauditeur interne et les bnficiaires des prestations de conseil dfinissent dun commun accord les exigences en termes de rapport et de communication. TENDUE DES TRAVAUX DANS LE CADRE DE MISSIONS DE CONSEIL FORMELLES (NORMES 2010.C1, 2110.C1 ET C2, 2120.C1 ET C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1, ET 2440.C2) : 11. Comme indiqu ci-dessus, les auditeurs internes doivent dfinir les objectifs et ltendue de la mission de conseil dun commun accord avec les bnficiaires des prestations. Ces derniers doivent tre informs de toute rserve concernant lintrt, les avantages ou, le cas chant, les rpercussions ngatives de la mission de conseil. Les auditeurs internes doivent fixer ltendue des travaux de faon assurer ou prserver le professionnalisme, lintgrit, la crdibilit et la bonne rputation de laudit interne. 12. Dans le cadre de la planification des missions de conseil formelles, les auditeurs internes doivent dfinir les objectifs de faon rpondre aux besoins des managers bnficiaires des prestations. En cas de demandes particulires du management, les auditeurs internes peuvent envisager les mesures suivantes sils estiment que les objectifs atteindre dpassent les demandes exprimes par le management : convaincre le management dintgrer les objectifs complmentaires dans la mission de conseil ; ou consigner le fait que ces objectifs nont pas t poursuivis et mentionner cette observation dans la communication finale des rsultats de la mission de conseil ; et intgrer ultrieurement ces objectifs dans une mission dassurance distincte. 13. Les programmes de travail tablis dans le cadre de missions de conseil formelles doivent prciser et documenter les objectifs et ltendue de la mission ainsi que la mthodologie mettre en uvre pour atteindre ces objectifs. La forme et le contenu du programme sont susceptibles de varier selon la nature de la mission. Les auditeurs internes peuvent largir ou restreindre ltendue de la mission en fonction des demandes du management. Toutefois, ils doivent conserver lassurance que ltendue des tra OCTOBRE 2002
11
vaux, telle quelle est prvue, permettra datteindre les objectifs de la mission. Les objectifs, ltendue et les modalits de la mission doivent faire lobjet dun examen et dune actualisation priodiques durant les travaux. 14. Au cours des missions de conseil formelles, les auditeurs internes doivent veiller lefficacit des processus de management des risques et de contrle. Les risques ou les faiblesses significatives des processus de contrle doivent tre ports la connaissance du management. Dans certains cas, lauditeur interne devra galement en informer la direction gnrale, le comit daudit et/ou le Conseil. Les auditeurs doivent sappuyer sur leur jugement professionnel (a) pour dterminer limportance des risques ou des faiblesses et les mesures prises ou envisages pour les attnuer ou y remdier, et (b) rpondre aux attentes de la direction gnrale, du comit daudit et du Conseil en ce qui concerne la communication de leurs observations. COMMUNICATION DES RSULTATS DES MISSIONS DE CONSEIL FORMELLES (NORMES 2410.C1 ET 2440.C1) : 15. La communication du degr davancement et des conclusions des missions de conseil varie, tant sur le plan de la forme que sur celui du contenu, selon la nature de la mission et les besoins du client donneur d'ordre. Pour ce qui est des informations communiquer, les besoins sont gnralement dfinis par les bnficiaires des prestations de conseil et doivent correspondre aux objectifs fixs dun commun accord avec le management. Toutefois, les documents utiliss pour communiquer les conclusions des missions de conseil doivent comporter une description claire de la nature de la mission et mentionner toute limitation, restriction ou tout autre facteur devant tre ports la connaissance des destinataires. 16. Il peut arriver, dans certains cas, que lauditeur interne juge opportun de communiquer ses conclusions dautres personnes que les bnficiaires des prestations ou les commanditaires. Lorsquil procde une diffusion plus large de ses rsultats, lauditeur doit adopter la dmarche suivante : premirement, il examine les orientations qui dcoulent des termes de laccord affrent la mission de conseil et les communications qui sy rapportent ; deuximement, il sefforce dobtenir laccord des commanditaires ou des bnficiaires des prestations sur une communication plus large des conclusions aux personnes adquates ; troisimement, il examine les recommandations figurant dans la Charte daudit interne ou dans les rgles et procdures de laudit propos de la communication dans le cadre des missions de conseil ; quatrimement, il se rfre sur ce point aux dispositions du code de conduite ou du code dthique de lorganisation, et aux autres rgles, procdures ou directives administratives ;
12
OCTOBRE 2002
cinquimement, il se rfre aux Normes et au Code de Dontologie de lIIA, aux autres normes ou codes applicables laudit ou toute disposition lgale ou rglementaire concernant cette question. 17. Les auditeurs internes doivent diffuser au management, au comit daudit, au Conseil ou tout autre organe dlibrant de lorganisation, la nature, ltendue et les rsultats des missions de conseil formelles. Ils informent la direction gnrale et le comit daudit de laffectation des ressources daudit. La diffusion de comptes-rendus dtaills sur ces missions de conseil et de lensemble des conclusions ou recommandations nest pas requise. Nanmoins, une description approprie des missions de ce type et des recommandations importantes doit tre communique ; il sagit l dun aspect essentiel des responsabilits incombant aux auditeurs internes en vertu de la Norme 2060, relative aux rapports adresss au Conseil et la direction gnrale. EXIGENCE DE DOCUMENTATION DES MISSIONS DE CONSEIL FORMELLES (NORME 2330.C1) : 18. Les auditeurs internes doivent documenter les travaux effectus pour rpondre aux objectifs dune mission de conseil formelle et tayer leurs conclusions. Toutefois, en matire de documentation, les rgles applicables aux missions dassurance ne sont pas ncessairement transposables aux missions de conseil. 19. Les auditeurs sont invits adopter des procdures appropries en matire de conservation des documents et rsoudre toute question sy rapportant, telle que la proprit des dossiers relatifs aux missions de conseil, de faon assurer une protection adquate de lorganisation et viter dventuels malentendus en cas de demandes concernant ces dossiers. Certains dentre eux peuvent ncessiter un traitement particulier, notamment lorsquune procdure judiciaire, des exigences rglementaires, ou des questions dordre fiscal ou comptable sont en cause. SUIVI DES MISSIONS DE CONSEIL FORMELLES (NORME 2500.C1) : 20. Laudit interne doit effectuer un suivi des rsultats des missions de conseil dans les conditions convenues avec le client donneur dordre. Divers types de suivi peuvent tre envisags selon le type de mission. Ces modalits de suivi dpendent, notamment, de lintrt prt la mission par le management, ou de lvaluation, par lauditeur interne, des risques lis au projet, ainsi que de son importance pour lorganisation.
OCTOBRE 2002
13
MPA 1000.C1-3 Points supplmentaires pour les missions de conseil dans des organismes publics
Interprtation de la norme 1000-C1 (et des autres Normes de mise en uvre relatives aux missions de conseil) extraite des Normes internationales pour la pratique professionnelle de laudit interne Nature de la prsente Modalit Pratique dApplication : Lobjet de la prsente Modalit Pratique dApplication est similaire celui des Modalits Pratiques dApplication 1000.C1-1 et 1000.C1-2, qui portent sur les principes rgissant lexcution des missions de conseil. Chacune de ces Modalits Pratiques dApplication est utile aux auditeurs internes pour laccomplissement des missions de conseil. Selon la dfinition donne par les Normes, Laudit interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit. Il est rappel aux auditeurs internes que les Normes de qualification et les Normes de fonctionnement sappliquent tant aux missions dassurance quaux missions de conseil. La prsente Modalit Pratique dApplication contient des recommandations lintention des organismes daudit publics qui oprent conformment aux Normes, mais dont le rfrentiel local (rgles de gouvernement dentreprise, normes daudit, politiques et/ou lgislation) limite de faon plus stricte les prestations autres que les activits dassurance (activits de conseil). Les paramtres adopts par une organisation pour conduire ses activits de conseil doivent figurer dans la charte de laudit interne et doivent tre tays par les politiques et les procdures du service daudit interne. Les recommandations contenues dans la prsente Modalit Pratique dApplication peuvent aider les organisations laborer des politiques et des dispositions appropries pour accomplir des activits de conseil. Il appartient aux auditeurs internes de juger, dun point de vue professionnel, dans quelle mesure les recommandations contenues dans la prsente Modalit Pratique dApplication doivent tre appliques au cas par cas. Les auditeurs internes doivent tenir compte des suggestions suivantes lorsquils effectuent des missions de conseil. Le respect des Modalits Pratiques dApplication est facultatif.
14
SEPTEMBRE 2006
1. Contexte LIIA dfinit les activits de conseil comme suit : conseils et services y affrents rendus au client donneur dordre, dont la nature et le champ sont convenus au pralable avec lui. Ces activits ont pour objectifs de crer de la valeur ajoute et damliorer les processus de gouvernement dentreprise, de management des risques et de contrle dune organisation sans que lauditeur interne nassume aucune responsabilit de management. Quelques exemples : avis, opinion, assistance et formation. 2. Le rle des auditeurs Principes fondamentaux travers leurs missions dassurance (audit), les auditeurs contribuent garantir que la direction est comptable de la ralisation des objectifs de lorganisation et du respect des rgles internes et externes rgissant la conduite des activits et des oprations. Ces missions peuvent comporter un volet assistance sous la forme de recommandations visant apporter des amliorations. Toutefois, lauditeur nest pas responsable en dernier ressort de la ralisation ni de lapprobation de ces amliorations. Sil prend la responsabilit de mettre en uvre ou dapprouver des amliorations oprationnelles, que celles-ci aient t recommandes dans le cadre dune mission daudit (assurance) ou dans celui dune mission de conseil distincte, lauditeur compromet trs probablement lindpendance et lobjectivit indispensables laccomplissement de sa mission. Mme lorsquils assistent une organisation par des activits de conseil, les auditeurs doivent maintenir leur intervention dans les limites dont le respect garantit les principes fondamentaux de la fonction audit. Ces principes fondamentaux sont notamment les suivants : les auditeurs doivent tre indpendants et viter les relations et les situations de nature compromettre leur objectivit ; les auditeurs ne doivent pas auditer leurs propres travaux (1) ; les auditeurs ne doivent pas exercer de fonctions de direction ni prendre des dcisions relevant du management. Ces principes sont fondamentaux parce quils sous-tendent la proposition de valeur fondamentale de laudit, savoir le principe selon lequel un tiers objectif atteste de la crdibilit des dclarations de la direction ou fournit une assurance sur celle-ci. Ds lors, pour prserver leur capacit fournir une assurance, il appartient aux auditeurs de minimiser les risques datteinte leur indpendance lorsque le mme service daudit effectue galement des prestations de conseil.
(1) Ce principe a t formul par de nombreuses instances de normalisation. Il figure dans les recommandations publies par lIAASB/IFAC et notamment dans son Code dthique professionnelle, et dans un ouvrage intitul Generally Accepted Government Auditing Standards publi par le Government Accountability Office des tats-Unis (Normes gnralement admises pour laudit des organismes publics).
SEPTEMBRE 2006
15
Outre les lments fondamentaux ci-dessus, dautres situations risquent de porter atteinte lindpendance des auditeurs ; il sagit notamment des prestations de conseil : qui crent des intrts rciproques ; ou qui placent les auditeurs dans la position dun dfenseur de lentreprise (1). 3. Rgles directrices Les rglementations spcifiques qui soumettent des restrictions les travaux raliss par les auditeurs en marge de leur fonction daudit (assurance) peuvent sappliquer, selon le cas, soit uniquement aux auditeurs en charge de laudit externe (audit des tats financiers ou commissariat aux comptes), soit aux auditeurs ralisant tous types daudit. Par ailleurs, ces rglementations ont pu tre dictes dans le cadre de la lgislation relative la fonction audit, imposes par des organes de surveillance ou des instances rglementaires, ou insres dans les codes dthique ou les normes daudit applicables certaines organisations ou collectivits (2). Il incombe au responsable de laudit interne de sassurer que la charte du service daudit, ses politiques et ses procdures sont conformes aux rgles directrices en vigueur. Par ailleurs, mme lorsque laudit interne nest pas soumis des rgles restrictives pour ses activits de conseil, le responsable de laudit interne doit nanmoins sassurer que le systme dassurance qualit permet de matriser ou de minimiser les risques datteinte lindpendance ou lobjectivit des auditeurs. Dans le cas contraire, les missions de conseil pourraient avoir pour effet, long terme, de compromettre la capacit du service daudit assurer sa fonction daudit (assurance). En outre, lexercice, par un service daudit, dune mission de conseil qui compromet son indpendance peut empcher dautres auditeurs de sappuyer sur ces travaux. 4. Activits de nature compromettre lobjectivit ou lindpendance La capacit des auditeurs participer des prestations de conseil sans compromettre leur indpendance dpend, dans une certaine mesure, de la distinction quils oprent entre
(1) Ce risque est voqu dans le rapport Smith de janvier 2003 intitul Audit Committees Combined Code Guidance (Comits daudit Recommandations pour lapplication du Combined Code), rdig par un groupe dexperts dsigns par le Financial Reporting Council. Des solutions sont proposes, entre autres, dans les recommandations publies par lICAEW (Institute of Chartered Accountants in England and Wales). (2) titre dexemples de restrictions spcifiques, on peut citer, au Royaume-Uni, la norme daudit interne du secteur public n 2.4.2., aux termes de laquelle lobjectivit est prsume altre lorsquun auditeur pris individuellement examine une activit dans laquelle il a exerc par le pass des fonctions de direction, ou dans laquelle il a effectu une prestation de conseil. Cette norme est complte par des recommandations sur les bonnes pratiques en matire de conseil, selon lesquelles il est important, dans le cadre de ce rle, que lauditeur interne conseille la direction et nentreprenne pas les tches accomplir pour le compte de la direction, ou en se substituant celle-ci. Lacceptation des conseils de lauditeur interne par la direction na pas pour effet de transfrer ni de rduire la responsabilit de ses membres dans leurs domaines de comptences (3.5.3).
SEPTEMBRE 2006
16
lassistance ou le conseil au sens de prconisation, dune part, et lassistance sous la forme de ralisation de travaux qui sont du ressort de la direction, dautre part. Par exemple, le fait de donner des avis sur les contrles appropris lors de la conception dun systme, aura un impact limit sur lobjectivit de lauditeur propos de ce systme sil est clairement tabli que la direction a la responsabilit daccepter ou de rejeter ces avis. En revanche, si lauditeur a dirig lquipe charge de concevoir le systme, dcid des contrles retenir ou supervis la mise en place des contrles recommands, sa capacit future valuer objectivement ce systme sera altre de manire significative. Toutefois, cette distinction nest pas ncessairement aussi nette pour toutes les missions de conseil. Par consquent, les services audit doivent mettre au point des procdures de revue des missions de conseil potentielles et dterminer si elles prsentent un risque pour leur indpendance ou leur objectivit. La revue effectue pour dterminer cet impact sur lindpendance et lobjectivit futures doit tre documente. Cette documentation doit tre prsente aux valuateurs externes en cas de revue dassurance qualit. 5. Processus visant minimiser les risques datteinte lobjectivit ou lindpendance. Le service daudit doit mettre en place des contrles afin de rduire le risque que les projets de conseil ne compromettent lobjectivit des auditeurs pris individuellement, ou lindpendance du service daudit pris dans son ensemble. Les techniques utiliser cette fin sont notamment les suivantes : a. Dfinition dans la charte de paramtres concernant les activits de conseil. b. Politiques et procdures limitant le type et la nature des projets de missions de conseil et/ou le degr de participation ces projets. c. Mise en uvre dun processus dexamen des projets de conseil, de prslection assorti de limites pour lacceptation des missions risquant daltrer lobjectivit. d. Distinction des cellules conseil de celles ralisant les audits dassurance au sein du mme service daudit. e. Rotation des auditeurs dans le cadre des missions. f. Recours des prestataires extrieurs pour accomplir les missions de conseil, ou pour raliser les missions dassurance dans des activits pour lesquelles il a t jug que la participation antrieure du service daudit des prestations de conseil avait altr son objectivit/indpendance. g. Mention dans les rapports daudit lorsque lobjectivit tait altre par la participation une mission de conseil antrieure. Lannexe A contient des exemples de dispositions appropries pour certaines de ces techniques de contrle.
SEPTEMBRE 2006
17
Annexe A
Exemples de dispositions concernant les techniques de contrle utiliser pour minimiser les risques datteinte lindpendance de lauditeur
Dispositions de la charte dfinissant les paramtres pour les activits de conseil. Les dispositions de la charte prciseront les limites dans lesquelles le service daudit oprera. Toutefois, la charte nest pas cense numrer de faon dtaille les services spcifiques qui seront ou non fournis. Par consquent, si des principes de base concernant lindpendance figurent dj sous dautres rubriques de la charte, ou dans des normes daudit expressment applicables et rfrences, il suffit dinsrer simplement dans la charte un renvoi ces rgles en guise de paramtres pour les services fournir. Les trois exemples ci-dessous concernent deux cas dans lesquels les activits de conseil sont limites celles pour lesquelles lindpendance ou lobjectivit ne devraient pas tre compromises, et un cas dans lequel le service daudit peut tre sollicit pour effectuer des travaux qui relvent normalement de la responsabilit de la direction. Cas dans lesquels le service daudit limitera ses activits de conseil celles qui ne compromettent pas son objectivit ou son indpendance :
Lauditeur peut galement assister le maire, le conseil municipal et le personnel dencadrement dans lexercice de leurs fonctions, en leur communiquant en temps opportun des informations objectives sur la conduite des oprations de la ville ou en les conseillant sur les contrles de gestion appropris, conformment aux normes daudit intitules [intitul des normes applicables]. Le service daudit interne peut exercer dautres fonctions en marge de laudit dassurance, conformment aux autres dispositions de la prsente Charte, et rdiger puis prsenter dautres rapports, conformment aux demandes de la Commission.
Cas dans lequel le service daudit fournira un large ventail de services en marge de laudit, mme si certains de ces services risquent daltrer son objectivit ou son indpendance pour les travaux daudit :
Lauditeur peut tre invit ponctuellement participer des activits de lAgence en marge de laudit, afin dassister le directeur excutif et les cadres dans lexercice de leurs responsabilits, conformment lautorisation donne par le comit daudit.
18
SEPTEMBRE 2006
Politiques et procdures visant limiter le type et la nature des projets de conseil et/ou le degr de participation ces projets, ou mettre en place des contrles permettant de minimiser les risques datteinte lobjectivit ou lindpendance rsultant de la participation des missions de conseil. Si les auditeurs exercent effectivement des fonctions de direction pour lorganisation, le service daudit doit mettre en place des politiques et procdures appropries. En particulier, ces procdures doivent interdire aux intresss de planifier et de diriger les audits dassurance venir dans les domaines couverts par les activits de conseil, ou den effectuer la revue. En outre, si le service daudit accomplit une mission de conseil qui portera atteinte son indpendance ou son objectivit, lorgane qui supervise le service daudit (le comit daudit, par exemple) doit tre inform, avant le dbut de la mission, que lindpendance du service daudit sera altre pour tout travail daudit ralis lavenir dans le domaine concern. Si le service daudit procde nanmoins un audit ultrieur dans ce domaine, la mention de laltration de son indpendance doit tre mentionne dans le rapport daudit. Ces interdictions peuvent tre assouplies en cas dvolution significative dans le domaine en cause postrieurement la ralisation des prestations dassistance, ou si ces prestations taient soumises une norme minimale, telle quun plafond de 40 heures . Les exemples de politique et de procdure ci-dessous dcrivent des activits de conseil et incluent des dispositions (voir le texte soulign) qui limitent ces activits par des paramtres visant minimiser les risques datteinte lobjectivit et lindpendance des auditeurs.
Politique : outre les activits daudit dassurance, le service daudit effectue trois autres types de prestations pour les cadres de la collectivit ou sur demande de la Commission : assurance qualit pour les projets en cours, conseil et formation, et organisation dateliers dauto-valuation des contrles. Les paramtres affrents chaque type dactivit sont dcrits ci-dessous. Activits dassurance qualit : Dans le cadre de lassurance qualit, le service daudit municipal assurera un suivi rapproch des projets en cours et leur portera assistance en apprciant si : les objectifs des projets seront atteints et sont raisonnables ; toutes les options ont t identifies et ont fait lobjet dune analyse approfondie ; les analyses quantitatives et qualitatives sont exhaustives et exactes ; un plan a t tabli pour le projet et les agents en charge du projet adhrent ce plan ; les meilleures pratiques mises en uvre dans dautres collectivits pour raliser les objectifs des projets pourraient tre adoptes dans la ville.
SEPTEMBRE 2006
19
Activits de conseil et formation : Les auditeurs sont disponibles pour aider le personnel de la ville concevoir des systmes de responsabilisation des cadres et rorganiser les oprations. Les auditeurs ninterviennent qu titre de conseillers et lencadrement doit accepter la responsabilit de la mise en uvre des suggestions. Organisation dAteliers dauto-valuation des contrles : Dans le cadre de ce processus daudit, une quipe de salaris rencontre des auditeurs en vue dun dialogue structur sur les moyens mettre en uvre pour raliser ses objectifs de la manire la plus efficace et la plus efficiente. Des plans dactions sont tablis, plutt quun rapport daudit formel, afin de surmonter tout obstacle la ralisation des objectifs. Les membres de lquipe sont responsables de la mise en uvre des mesures prvues dans les plans dactions.
Les exemples de procdures ci-aprs contiennent des dispositions qui prcisent les mesures prendre lorsque le service daudit accepte des missions de conseil susceptibles de compromettre son indpendance et son objectivit lors de futures missions dassurance :
Lorsque le service daudit est sollicit par le comit daudit pour accomplir des missions de conseil qui, selon le responsable de laudit interne, altreront lindpendance de son service ou lobjectivit dun auditeur pris individuellement lors de travaux daudit ultrieurs, les procdures suivre sont les suivantes : 1. Avant le dbut de la mission de conseil, le responsable de laudit interne informe par crit le comit daudit que la mission demande portera atteinte lindpendance ou lobjectivit des auditeurs, en dcrivant la nature de cette atteinte et en indiquant ses consquences pour les futures missions daudit (par exemple, le service daudit devra refuser les audits venir dans le domaine concern, ou le comit daudit devra en confier la ralisation un prestataire tiers). Le responsable de laudit interne doit demander au comit daudit dindiquer par crit au service daudit sil doit effectuer la mission de conseil ou la refuser. 2. Si le comit daudit invite le service daudit effectuer la mission de conseil, le responsable de laudit interne mentionne latteinte lindpendance/ lobjectivit dans les documents suivants : documents relatifs la mission de conseil, avec copie aux membres de la direction responsables de cette mission ; procdures de planification annuelle des projets du service daudit ; communications du service daudit avec les prestataires externes dassurance qualit lors de la prochaine revue dassurance qualit.
20
SEPTEMBRE 2006
Si le comit daudit invite le service daudit raliser un audit dassurance couvrant des activits ou des oprations ayant fait lobjet, par le pass, dune mission de conseil conduite par ce service, alors que le responsable de laudit interne estimait quelle compromettrait lindpendance ou lobjectivit des auditeurs pour les travaux daudit venir, les procdures appliquer sont les suivantes : 1. Avant le dbut de la mission daudit, le responsable de laudit interne communique par crit avec le comit daudit, linforme de latteinte lindpendance/ lobjectivit, en donne une description et indique les solutions permettant de raliser les travaux avec un maximum dobjectivit (par exemple, en ayant recours un prestataire tiers, ou en demandant lassistance adresse aux auditeurs dentits partenaires ou dinstances rglementaires). 2. Si le comit daudit invite le service daudit effectuer la mission daudit dassurance, le responsable de laudit interne mentionne latteinte lindpendance/ lobjectivit dans les documents suivants : documents concernant la planification de la mission daudit ; rapport final relatif la mission daudit. 3. En outre, le responsable de laudit interne informe les prestataires externes dassurance qualit du service daudit de cet vnement et leur fournit toute la documentation y affrente lors de la prochaine revue dassurance qualit.
Processus de prslection des projets de conseil. Lorsquils acceptent et effectuent des prestations de conseil, les auditeurs doivent documenter les raisons qui les conduisent fournir ces prestations et dmontrer pourquoi, selon eux, elles ne sont pas contraires aux principes fondamentaux du rle de laudit. Ces informations doivent tre communiques aux valuateurs externes dans le cadre de lassurance qualit. Voici un exemple de procdure de prslection :
1. Ds rception dune demande concernant des activits de conseil, le dpartement daudit interne examine si ces prestations de services porteront atteinte, dans les faits ou en apparence, soit lobjectivit de lauditeur dsign, soit lindpendance du dpartement, pour mener des audits dassu rance ultrieurs dans le mme domaine. Sil estime que la mission constitue une atteinte lindpendance ou lobjectivit, la demande doit tre refuse. En cas de refus, les causes et la conclusion finale sont documentes dans un mmorandum adress au service demandeur. 2. Avant deffectuer les prestations de conseil, lauditeur qui en est charg documente avec le ou les demandeurs un accord stipulant que ces derniers sont responsables de laboutissement des travaux et quil leur appartient, par consquent, dtre en mesure, dans les faits et en apparence, de porter un jugement avis sur les rsultats des prestations de conseil. Le service daudit interne conclut avec le ou les demandeurs un accord concernant lobjectif, le champ et les limitations de la mission de conseil.
SEPTEMBRE 2006
21
MPA SRIE 1100

Indpendance et objectivit
1100 I N D P E N D A N C E
ET OBJECTIVIT
L'AUDIT INTERNE DOIT TRE INDPENDANT ET LES AUDITEURS INTERNES DOIVENT EFFECTUER LEUR TRAVAIL AVEC OBJECTIVIT
MPA 1100-1 Indpendance et Objectivit
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils valuent leur indpendance et leur objectivit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner au moment de conduire une telle valuation. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les auditeurs internes sont indpendants lorsquils peuvent exercer leur activit librement et de faon objective. Lindpendance permet aux auditeurs internes de porter des jugements sans partialit et sans prjug, ce qui est essentiel la bonne conduite des audits. Cet objectif est atteint grce leur position dans lorganisation et leur objectivit.
OCTOBRE 2002
1110
Indpendance dans l'organisation

Le responsable de l'audit interne doit relever d'un niveau hirarchique permettant aux auditeurs internes dexercer leurs responsabilits.
MPA 1110-1 Indpendance dans lorganisation
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour apprcier leur indpendance au sein de lorganisation. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner lors dune telle valuation. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les auditeurs internes doivent bnficier du soutien de la direction gnrale et du Conseil afin dobtenir la coopration des audits et de pouvoir exercer leur activit sans entrave. 2. Le responsable de l'audit interne doit dpendre dune personne de lorganisation ayant une autorit suffisante pour assurer son indpendance, lui garantir un large champ dintervention, une attention adquate aux communications faites dans le cadre des missions, et les actions appropries dcoulant des recommandations mises. 3. Idalement, le responsable de l'audit interne doit tre rattach, sur le plan fonctionnel, au comit d'audit, au Conseil ou tout autre organe dlibrant comptent et, administrativement, au Directeur Gnral de lorganisation. 4. Le responsable de l'audit interne doit pouvoir communiquer directement avec le Conseil, le comit d'audit ou tout autre organe dlibrant comptent. Une communication rgulire auprs du Conseil contribuera assurer son indpendance et sera un moyen pour le Conseil et le responsable de l'audit interne de se tenir rciproquement informs sur les problmes dintrt commun. 5. Il y a communication directe lorsque le responsable de l'audit interne assiste et participe rgulirement aux runions du Conseil, du comit d'audit ou de tout autre organe dlibrant appropri, qui portent sur leurs responsabilits de supervision en
4
OCTOBRE 2002
SRIE 1100 - INDPENDANCE ET OBJECTIVIT
matire daudit, de communication financire, de gouvernance et de contrle. La prsence et la participation active du responsable de l'audit interne ces runions permettent un change dinformations sur la planification et les activits de laudit interne. Le responsable de l'audit interne doit rencontrer en priv le Conseil, le comit d'audit ou tout autre organe dlibrant comptent, au moins une fois par an. 6. Lindpendance est favorise lorsque le Conseil intervient dans la nomination et dans le remplacement du responsable de l'audit interne.
MPA 1110-2 Rattachement du responsable de laudit interne

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de la mise en place ou de lvaluation du rattachement du responsable de laudit interne et des relations quil entretient avec les personnes/organes dont il relve. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner lors dune telle valuation. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Selon les Normes pour la Pratique Professionnelle de lAudit Interne (ci-aprs les Normes ), le responsable de laudit interne doit relever dun niveau suffisamment lev dans lorganigramme pour permettre au service daudit interne de remplir sa mission. Selon lIIA, le respect du critre dindpendance suppose que le responsable de laudit interne soit rattach fonctionnellement, au comit daudit ou un organe quivalent. Hirarchiquement, le responsable de laudit interne sera, pour des raisons dordre administratif, le plus souvent directement rattach au directeur gnral de lorganisation. Afin dclairer la prsente MPA, lIIA explicite ce quil entend par rattachement fonctionnel et rattachement administratif . Le rattachement fonctionnel du service daudit interne conditionne son indpendance et ses pouvoirs. ce titre, lIIA recommande que le responsable de laudit interne relve, fonctionnellement, du comit daudit, du conseil dadministration ou de tout autre organe dlibrant appropri. Sil en est ainsi, le rattachement fonctionnel implique que lorgane dlibrant : approuve la charte de laudit interne ; approuve lvaluation des risques effectue par laudit interne et le plan daudit correspondant ;
JUIN 2004
soit destinataire des rsultats des travaux daudit interne ou de tout autre point que le responsable de laudit interne estime ncessaire de communiquer, y compris lors de runions prives sans la prsence des dirigeants ; approuve toutes les dcisions relatives la nomination ou au remplacement du responsable de laudit interne ; approuve la rmunration annuelle et les augmentations de salaire du responsable de laudit interne ; senquiert, auprs du management et du responsable de laudit interne, dventuelles limitations du champ dintervention ou du budget, susceptibles dempcher laudit interne de mener bien ses missions. Le rattachement administratif ou hirarchique vise faciliter les activits courantes de laudit interne. En rgle gnrale, il porte sur : ltablissement des budgets et la comptabilit de gestion ; la gestion des ressources humaines, notamment lvaluation des performances et les rmunrations du personnel ; les communications internes et les flux dinformation ; la gestion des rgles et procdures internes. 2. La prsente MPA traite essentiellement des points prendre en compte pour dterminer ou valuer la position du responsable de laudit interne dans lorganigramme. Un rattachement appropri est essentiel pour garantir au service daudit interne lindpendance, lobjectivit et le statut ncessaires au bon accomplissement de sa mission. Il est galement primordial pour assurer un flux dinformations appropri et laccs aux principaux dirigeants et cadres sur lesquels repose lvaluation des risques et qui sont communiqus les rsultats des travaux daudit. Inversement, le responsable de laudit interne doit considrer que tout lien de nature compromettre lindpendance et lefficacit de son activit est une entrave srieuse son champ dintervention, et doit tre port la connaissance du comit daudit ou de lorgane quivalent. 3. La prsente MPA prcise en outre que le rattachement du responsable de laudit interne est fonction : de la nature de lorganisation (cote ou non cote) ; de sa taille ; des pratiques courantes en vigueur dans chaque pays ; de la complexit croissante des organisations (joint-ventures, socits multinationales avec filiales), et
6
JUIN 2004
de lvolution des activits daudit interne qui, de plus en plus, fournissent des services forte valeur ajoute et collaborent avec leurs clients sur les priorits et ltendue des missions. Par consquent, lIIA, sil estime que la structure idale consiste en un rattachement fonctionnel au comit daudit et un rattachement hirarchique au directeur gnral, admet nanmoins que dautres types de structure peuvent tre efficaces ds lors quil existe une nette distinction entre les liens fonctionnels et les liens administratifs et que des mesures appropries sont prises tous les niveaux pour maintenir lindpendance et le champ dintervention. Il appartient aux auditeurs internes dapprcier, avec leur professionnalisme et au cas par cas, dans quelle mesure les orientations contenues dans la prsente MPA doivent tre suivies. 4. Les Normes soulignent combien il est important que le responsable de laudit interne soit rattach une personne disposant de lautorit suffisante pour promouvoir son indpendance et assurer une large couverture de lorganisation par laudit. Toutefois, les Normes revtent volontairement un caractre quelque peu gnrique pour ce qui est des liens administratifs, car elles sont destines tre appliques dans lensemble des organisations, indpendamment de leur taille ou de tout autre facteur. Parmi les facteurs qui rendent toute gnralisation impossible figurent la taille et le type de lorganisation (non cote, publique, ou grand groupe). Le responsable de laudit interne doit donc tenir compte des points suivants pour apprcier si les liens hirarchiques en place sont appropris : Son suprieur administratif possde-t-il une autorit et un niveau hirarchique suffisants pour garantir lefficacit de la fonction ? Possde-t-il une culture approprie en matire de contrle et de gouvernement dentreprise pour assister le responsable de laudit interne dans ses fonctions ? Est-il suffisamment disponible et intress pour assister activement le responsable de laudit interne sur les questions daudit ? Comment peroit-il et soutient-il la liaison fonctionnelle en place ? 5. Le responsable de laudit interne doit galement sassurer que son indpendance nest pas compromise lorsque son suprieur hirarchique exerce dans lorganisation dautres fonctions entrant dans le champ dintervention de laudit interne. Par exemple, certains responsables de laudit interne sont administrativement rattachs au directeur financier, qui est galement responsable de la fonction comptable au sein de lorganisation. Le service daudit interne doit avoir toute latitude pour procder un audit et diffuser un rapport sur toute autre activit qui relve hirarchiquement de la mme personne et quil juge opportun dinclure dans son plan daudit. Toute limitation concernant ltendue des travaux affrents ces activits ou la diffusion de leurs rsultats doit tre porte la connaissance du comit daudit.
JUIN 2004
Lenqute sur la pratique de laudit interne en France en novembre 2002 a montr que dans 85 % des organisations rpondant (au nombre de 163), laudit interne est rattach la Direction gnrale ou au Prsident du Conseil contre 70 % en 1999, et que son rattachement la Direction financire nest plus que de 15 % contre 25 %, 3 ans plus tt. Dans le cadre de cette enqute, il a t recueilli lavis de prsidents de comits daudit sur le rattachement souhaitable de laudit interne ; voici les commentaires de deux dentre eux :
Jacques Friedmann (Prsident du comit daudit de Total)

Quant lindpendance de laudit interne, cest au Conseil dadministration de sen assurer mais cest essentiellement de la responsabilit de la Direction gnrale. Le Responsable de laudit interne ne peut qutre rattach au plus haut niveau, cest--dire au Prsident ou au Directeur gnral. Cest absolument indispensable. Cest la condition mme de lindpendance de laudit interne.
Jean Peyrelevade (Prsident du comit daudit de Suez)

Il a une liaison hirarchique qui est ncessairement par rapport sa Direction gnrale. Il a une liaison fonctionnelle avec le Prsident du Comit daudit.
6. Compte tenu de la tendance rcente au durcissement du cadre lgislatif et rglementaire rgissant linformation financire dans le monde entier, les rattachements fonctionnel et hirarchique du responsable de laudit interne doivent permettre au service daudit interne de rpondre, le cas chant, aux attentes croissantes du comit daudit ou dautres partenaires importants. Il arrive de plus en plus souvent que le responsable de laudit interne soit convi jouer un rle plus important en matire de gouvernement dentreprise et de management des risques. Son double rattachement doit permettre son service de rpondre plus facilement ces attentes. 7. Quels que soient les rattachements mis en place dans lorganisation, plusieurs mesures essentielles peuvent contribuer faire en sorte quils favorisent lefficacit et lindpendance de lactivit daudit interne. Rattachement fonctionnel : il doit sagir dune liaison directe avec le comit daudit ou lorgane quivalent, de faon garantir un niveau adquat dindpendance et de communication ; le responsable de laudit interne et le comit daudit (ou lorgane quivalent) doivent se runir parfois en priv sans la prsence des dirigeants, de faon renforcer lindpendance et la nature de leur liaison fonctionnelle ;
8
JUIN 2004
le comit daudit doit tre responsable en dernier ressort de lexamen et de lapprobation du plan annuel daudit et de toute modification importante le concernant ; le responsable de laudit interne doit tre en mesure de contacter librement et tout moment, sil le juge opportun, le prsident ou les membres du comit daudit, ainsi que le Conseil ou son prsident ; le comit daudit doit valuer au moins une fois par an les performances du responsable de laudit interne, et approuver sa rmunration annuelle et ses augmentations de salaire ; la charte de laudit interne doit mentionner clairement le rattachement fonctionnel et le rattachement administratif de laudit interne, ainsi que les principales activits gres par lun et lautre. Rattachement administratif-hirarchique : le responsable de laudit interne doit tre rattach, hirarchiquement, au directeur gnral ou un autre cadre dirigeant dune autorit suffisante pour lassister dans lexercice de ses activits courantes. Cette assistance consiste notamment bien positionner laudit interne et son responsable dans lorganigramme, de faon donner ce service limportance qui lui revient au sein de lorganisation. Le rattachement un chelon hirarchique trop faible peut avoir une incidence ngative sur limportance et lefficacit de laudit interne dans lorganisation ; le suprieur hirarchique ne doit pas dcider en dernier ressort du champ dintervention de laudit interne ni de la diffusion de ses rsultats ; le suprieur hirarchique doit faciliter un contact direct et ouvert avec les dirigeants et les cadres oprationnels. Le responsable de laudit interne doit tre en mesure de communiquer directement tous les niveaux de la hirarchie, y compris avec le Directeur gnral ; le suprieur hirarchique doit permettre la mise en place dune communication et de flux dinformations appropris de telle sorte que le service daudit interne et son responsable soient bien informs, dans des dlais convenables, des activits, des programmes et des projets de lorganisation ; les contrles et les contraintes budgtaires imposs par le suprieur hirarchique ne doivent pas compromettre la capacit de laudit interne accomplir sa mission.
Lenqute sur la pratique de laudit interne en France en novembre 2002 nous apprend que laudit interne est trs proche de la direction gnrale. En effet, un service daudit interne sur deux a au moins une runion formelle par trimestre avec elle. Les principaux sujets voqus au cours de ces runions sont la revue du plan daudit, lexamen des conclusions des missions, la revue de lvaluation des risques et le suivi des actions de progrs.
JUIN 2004
8. Les responsables de laudit interne doivent aussi envisager leurs relations avec les autres services investis dune fonction de contrle et de surveillance (management des risques, dontologie, scurit, juridique, thique, environnement, audit externe), et faciliter la communication au comit daudit des risques significatifs et des problmes lis aux contrles.
1110.A1 1110.A1
Laudit interne ne doit subir aucune ingrence lors de la dfinition de son champ dintervention, de la ralisation du travail et de la communication des rsultats.
MPA 1110.A1-1 Justification des demandes dinformations
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils sont invits justifier leurs demandes dinformations. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
Un auditeur interne est parfois invit par laudit ou par dautres parties expliquer lintrt que prsente un document demand pour la conduite de sa mission. La question de savoir sil faut ou non justifier durant la mission la ncessit de certains documents doit tre apprcie au cas par cas. La prsence dirrgularits significatives peut se traduire par un environnement moins propice que celui permettant une coopration normale entre auditeur et audit. Toutefois, il sagit l dun jugement quil appartient au responsable de l'audit interne de former en fonction des circonstances.
10
OCTOBRE 2002
1120
Objectivit individuelle
Les auditeurs internes doivent avoir une attitude impartiale et dpourvue de prjugs, et viter les conflits dintrts.
MPA 1120-1 Objectivit Individuelle
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour apprcier leur degr dobjectivit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Lobjectivit est une attitude desprit marque par lindpendance que les auditeurs doivent garder dans la ralisation de leurs missions. Les auditeurs internes ne doivent pas subordonner leur propre jugement en matire daudit celui dautres personnes.
On compltera cette dfinition de lobjectivit par limprieuse ncessit dutiliser des approches et des mthodes rigoureuses et donc objectives, ainsi que le dtaillent les normes de la srie 2100.
2. Lobjectivit ncessite que les auditeurs internes ralisent leurs missions de telle manire quils aient sincrement confiance dans le rsultat de leur travail et dans le fait quaucune concession significative nait t faite en matire de qualit. Les auditeurs internes ne doivent pas se trouver placs dans des situations o ils se sentiraient incapables de porter des jugements professionnels objectifs. 3. Les affectations au sein de lquipe doivent tre effectues de manire viter tout conflit dintrt ou manque dimpartialit potentiels ou rels. Le responsable de l'audit interne doit priodiquement sassurer auprs des auditeurs quaucun conflit dintrt ou aucune influence ne sont susceptibles daltrer cette indpendance. Une rotation rgulire des auditeurs internes au sein de lquipe est souhaitable. 4. Les travaux daudit doivent tre revus avant la diffusion des conclusions de laudit, afin de fournir une assurance raisonnable que le travail a t ralis avec objectivit.
OCTOBRE 2002
11
5. Le fait pour un auditeur interne daccepter une rmunration ou un cadeau de la part dun employ, client, fournisseur ou associ est contraire lthique. Ce type de comportement peut laisser supposer que lobjectivit de lauditeur a t altre, quil sagisse de missions en cours ou de missions futures de lauditeur. La nature des missions ne saurait en aucun cas justifier lacceptation de rmunrations ou de cadeaux. Lacceptation darticles publicitaires (tels que stylos, calendriers ou chantillons) mis la disposition du public et dune valeur minime ne devrait pas fausser les jugements professionnels des auditeurs internes. Ces derniers doivent rendre compte sans dlai leur suprieur hirarchique de toute offre de rmunrations ou de cadeaux importants.
12
OCTOBRE 2002
1130
Atteintes lindpendance et lobjectivit

Si lobjectivit ou lindpendance des auditeurs internes sont compromises dans les faits ou mme en apparence, les parties concernes doivent en tre informes de manire prcise. La forme de cette communication dpendra de la nature de latteinte lindpendance.
MPA 1130-1 Atteintes lindpendance ou lobjectivit
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au moment dexaminer les atteintes lindpendance et lobjectivit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les auditeurs internes doivent signaler au responsable de l'audit interne toutes les situations dans lesquelles lexistence dun conflit d'intrt ou dun parti pris sont susceptibles daltrer leur indpendance et leur objectivit. Le responsable de l'audit interne doit alors raffecter les auditeurs concerns. 2. Une limitation du champ dintervention est une restriction impose laudit interne lempchant de raliser ses objectifs et son planning. Des limitations de ce type peuvent, entre autres, restreindre : le domaine dintervention dfini dans la Charte ; laccs de laudit interne aux dossiers, au personnel, et aux biens physiques ncessaires la ralisation des missions ; le plan daudit lorsqu'il a t approuv ; la mise en uvre des procdures ncessaires la mission ; le budget et les ressources humaines qui ont t approuvs. 3. Une limitation du champ dintervention et ses rpercussions possibles doivent tre communiques, de prfrence par crit, au Conseil, au comit d'audit ou tout autre organe dlibrant appropri.
OCTOBRE 2002
13
4. Le responsable de l'audit interne doit juger sil convient dinformer le Conseil, le comit d'audit ou tout autre organe dlibrant appropri, des restrictions qui leur ont dj t communiques et quils ont acceptes. Cette information peut savrer ncessaire surtout lorsque des changements, au sein de lorganisation, du Conseil ou de la direction gnrale, ont eu lieu.
1130.A1
Les auditeurs internes doivent s'abstenir d'auditer des oprations particulires dont ils ont t auparavant responsables. L'objectivit d'un auditeur est prsume altre lorsqu'il ralise une mission d'assurance pour une activit dont il a eu la responsabilit au cours de l'anne prcdente.
MPA 1130.A1-1 Audit des oprations dont les auditeurs internes ont t auparavant responsables
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquil leur est demand dauditer une activit dont ils taient prcdemment responsables. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les auditeurs internes ne doivent pas exercer de responsabilits oprationnelles. Si la direction gnrale estime ncessaire de confier occasionnellement des auditeurs internes des tches trangres lAudit, il doit tre clairement prcis que ces missions nentrent pas dans le cadre des fonctions daudit interne. De plus, lobjectivit est prsume altre lorsque des auditeurs internes ralisent une mission dassurance pour une activit dans laquelle ils ont exerc une autorit ou une responsabilit au cours de lanne prcdente. Il faut tenir compte de cette atteinte lobjectivit lors de la diffusion des rsultats de laudit. Si les auditeurs internes sont chargs dexcuter des travaux qui ne relvent pas de laudit et qui sont susceptibles daltrer leur objectivit, tels que ltablissement de rapprochements bancaires, le responsable de l'audit interne doit informer la direction gnrale et le Conseil que ces travaux ne relvent pas dune mission dassurance et quil faut par consquent se garder den attendre des conclusions relevant dun audit.
14
OCTOBRE 2002
En outre, lorsque laudit interne exerce des responsabilits oprationnelles, il convient dtre particulirement vigilant et sassurer de lobjectivit des auditeurs quand une mission dassurance est entreprise ultrieurement dans le domaine considr. Lobjectivit des auditeurs internes est prsume altre lorsquils auditent une activit dont ils ont assum la responsabilit au cours de lanne prcdente. Ces circonstances doivent tre clairement prcises lors de la diffusion des rsultats dun audit portant sur un domaine dans lequel un auditeur a exerc des responsabilits oprationnelles. 2. Si les activits confies supposent lexercice dune autorit oprationnelle, lobjectivit de laudit est prsume altre pour ces activits. 3. Les membres du personnel muts ou temporairement affects au service daudit interne ne doivent pas participer, avant un dlai raisonnable, (au moins un an) laudit de leurs prcdentes activits. De telles participations doivent, en effet, tre considres comme altrant leur objectivit et il doit en tre tenu compte dans la supervision des travaux daudit et dans la diffusion de leurs rsultats. 4. Lobjectivit de lauditeur interne nest pas compromise lorsquil est amen recommander la mise en place de normes de contrle pour les systmes dinformation ou examiner des procdures avant leur mise en application. Par contre, son objectivit est prsume altre sil conoit, met en place, rdige les procdures y relatives ou exploite de tels systmes. 5. Lexcution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux daudit, ne compromet pas ncessairement leur indpendance dans la mesure o ils sont clairement mentionns dans le rapport daudit. Toutefois, le management et les auditeurs internes doivent veiller attentivement ce que ces travaux naltrent pas leur objectivit.
MPA 1130.A1-2 Responsabilits exerces par laudit interne au titre dautres fonctions
Nature de cette Modalit Pratique dApplication : La Modalit Pratique dApplication qui suit sadresse aux auditeurs internes qui doivent dcider sils acceptent ou non dexercer des fonctions oprationnelles autres que laudit. Lacceptation de telles responsabilits peut compromettre lindpendance et lobjectivit de lauditeur et doit tre vite dans la mesure du possible. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner pour valuer ces responsabilits ou ces fonctions. Le respect des Modalits Pratiques dApplication est facultatif.
OCTOBRE 2002
15
1. Certains auditeurs internes se voient attribuer ou acceptent des fonctions autres que laudit pour diverses raisons qui paraissent logiques au management de lorganisation. Les auditeurs internes sont de plus en plus souvent sollicits pour assumer des fonctions et des responsabilits susceptibles de compromettre leur indpendance ou leur objectivit. Les organisations, quelles fassent ou non appel public lpargne, doivent rpondre des exigences croissantes defficience et defficacit et ceci tout en rduisant leurs ressources ; certains auditeurs internes sont donc amens, la demande du management de lorganisation, assumer des fonctions qui font priodiquement lobjet dun audit interne. 2. Lindpendance et lobjectivit de lauditeur interne risquent dtre altres lorsque laudit interne ou un auditeur interne assument une fonction quils sont susceptibles dauditer, ou que le management envisage de leur attribuer. Pour apprcier limpact sur son indpendance et son objectivit, lauditeur interne doit tenir compte des facteurs suivants : les principes noncs par le Code de Dontologie et les Normes pour la Pratique Professionnelle de laudit interne ; les attentes des parties prenantes de lorganisation, notamment de ses actionnaires, du Conseil, du comit daudit, du management, du lgislateur, des instances publiques et rglementaires et des associations dintrt gnral ; les dispositions et/ou restrictions prvues par la charte de laudit interne ; les informations dont la communication est obligatoire en vertu des Normes ; la couverture ultrieure, dans le cadre du programme daudit, des fonctions ou responsabilits acceptes par lauditeur interne. 3. Pour dterminer sils peuvent accepter la responsabilit dune fonction autre que laudit, les auditeurs internes doivent tenir compte des facteurs suivants : selon le Code de Dontologie et les Normes de lIIA, laudit interne doit tre indpendant, et les auditeurs internes doivent accomplir leur mission avec objectivit ; les auditeurs internes doivent, sils le peuvent, sabstenir dexercer des fonctions, autres que laudit, qui font priodiquement lobjet dun audit interne ; si ce nest pas possible, il convient dinformer les parties concernes que cette situation est susceptible de porter atteinte lindpendance et lobjectivit de lauditeur, la nature des informations communiquer tant fonction de la gravit de cette atteinte ; lobjectivit dun auditeur est prsume altre lorsquil ralise une mission dassurance pour une activit dont il a eu la responsabilit au cours de lanne prcdente ; lorsque le management confie ponctuellement aux auditeurs internes des travaux ne relevant pas de laudit, il convient de bien prciser que les auditeurs internes ninterviennent pas en leur qualit dauditeurs ;
16
OCTOBRE 2002
les attentes des parties prenantes de lorganisation, y compris les exigences lgales ou rglementaires, doivent tre values en tenant compte du risque de non-objectivit ; si la charte de laudit interne contient des restrictions ou des clauses limitatives concernant lattribution aux auditeurs internes de fonctions autres que laudit, il convient de mentionner ces restrictions et den discuter avec le management. Si ce dernier insiste pour confier ces fonctions un auditeur, celui-ci consultera le comit daudit ou tout autre organe dlibrant appropri. A dfaut de disposition expresse de la charte, il convient de se rfrer aux lignes directrices figurant ci-dessous, qui sont subordonnes aux clauses de la charte. valuation les rsultats de lvaluation doivent tre analyss avec le management, le comit daudit et/ou les autres partenaires comptents. Il convient dexaminer un certain nombre de points, parfois interdpendants, et notamment de : apprcier limportance que revt la fonction oprationnelle pour lorganisation (en termes de chiffre daffaires, de dpenses, de rputation et dinfluence) ; valuer la dure de la mission confie et ltendue des responsabilits ; dterminer si le principe de la sparation des tches est bien respect ; tenir compte, lors de la communication, des possibles atteintes lobjectivit ou lindpendance de lauditeur, dans les faits ou en apparence ; Audit de la fonction et informations communiquer Ds lors que laudit interne exerce des responsabilits oprationnelles dans un domaine couvert par le plan daudit, lauditeur doit prendre en compte plusieurs pistes de rflexion : laudit peut tre ralis par un prestataire extrieur, par des auditeurs externes ou par le service daudit interne. Dans les deux premiers cas, le risque li au manque dobjectivit est minimis par le recours des auditeurs externes. Dans le dernier cas, lobjectivit serait fausse ; les auditeurs qui exercent des responsabilits oprationnelles ne doivent pas participer laudit des oprations dont ils ont la charge. Dans la mesure du possible, les auditeurs qui procdent lvaluation doivent tre superviss et rendre compte des rsultats de leurs travaux des personnes dont lindpendance et lobjectivit sont garanties ; il convient de mentionner les responsabilits oprationnelles exerces par lauditeur dans le cadre de la fonction en cause, limportance de ces oprations pour lorganisation (en termes de chiffre daffaires, de dpenses ou en fonction de tout autre critre pertinent), ainsi que le lien existant entre les personnes qui ont procd laudit de la fonction et lauditeur concern ; il convient dindiquer les responsabilits oprationnelles de lauditeur dans le rapport daudit et dans le compte-rendu que lauditeur adresse au comit daudit ou tout autre organe de direction.
OCTOBRE 2002
17
MPA SRIE 1200

Comptence et conscience professionnelle
1200 COMPTENCE
ET CONSCIENCE PROFESSIONNELLE
LES MISSIONS DOIVENT TRE REMPLIES AVEC COMPTENCE ET CONSCIENCE PROFESSIONNELLE

MPA 1200-1 Comptence et conscience professionnelle
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de la ralisation des missions. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. La comptence professionnelle est de la responsabilit du responsable de l'audit interne et de chaque auditeur interne. Le responsable de l'audit interne doit s'assurer que pour chaque mission, lquipe dauditeurs dsigns possde collectivement les connaissances, le savoir-faire et les comptences ncessaires pour mener correctement la mission. 2. Les auditeurs internes doivent respecter les normes de conduite de la profession. Le Code de Dontologie de lIIA dpasse la dfinition de laudit interne en incluant deux composantes essentielles : des principes applicables la pratique de laudit interne et lexercice de la profession en particulier les principes dintgrit, dobjectivit, de confidentialit et de comptence ; des rgles de conduite dcrivant le type de comportement attendu des auditeurs internes. Ces rgles, qui facilitent linterprtation des principes et leur application pratique, sont destines guider les auditeurs internes sur le plan de lthique.
OCTOBRE 2002
1210
Comptence
Les auditeurs internes doivent possder les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de leurs responsabilits individuelles. L'audit interne doit possder ou acqurir collectivement les connaissances, le savoir-faire et les autres comptences ncessaires l'exercice de ses responsabilits.
MPA 1210-1 Comptence
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes au moment dexaminer leur comptence. La prsente Modalit Pratique dApplication na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Tout auditeur interne doit possder certaines connaissances, un savoir-faire et des comptences prcises dans les domaines suivants : la comptence en matire dapplication des normes, procdures et techniques daudit est ncessaire la ralisation des missions. La comptence est la capacit utiliser ses connaissances dans les diverses situations susceptibles de se prsenter et dy faire face sans recourir de faon excessive des recherches et une assistance techniques ; la comptence en matire de principes et de techniques comptables est indispensable aux auditeurs qui travaillent beaucoup sur des documents et rapports financiers ; la comprhension des principes de management est ncessaire pour dtecter lexistence de dviations aux bonnes pratiques des affaires et en apprcier la porte et la matrialit. Cette comprhension implique une capacit appliquer des connaissances gnrales aux situations susceptibles dtre rencontres au cours des audits, de dtecter les dviations significatives et dtre capable de procder aux recherches ncessaires pour aboutir des solutions raisonnables ; il est, par ailleurs, ncessaire de possder une connaissance des principes de base en comptabilit, conomie, droit commercial, fiscalit, finance, mthodes quantitatives et technologies de linformation. Ces connaissances gnrales doivent permettre de reconnatre lexistence ou lventualit de problmes et de dterminer ainsi les recherches supplmentaires entreprendre ou lassistance obtenir.
4
JUIN 2004
SRIE 1200 - COMPTENCE ET CONSCIENCE PROFESSIONNELLE
2. Les auditeurs internes doivent disposer de bonnes qualits relationnelles et savoir communiquer efficacement. Les auditeurs internes doivent avoir le sens des relations humaines et savoir maintenir de bonnes relations avec les clients de la mission. 3. Les auditeurs internes doivent tre capables de communiquer oralement et par crit, de manire pouvoir exposer clairement et efficacement les objectifs, les apprciations, les conclusions et les recommandations de la mission. 4. Le responsable de l'audit interne doit dfinir des critres appropris de formation gnrale et dexprience pour pourvoir les postes dauditeurs internes, en considrant la nature des travaux et le niveau de responsabilit. Il est ncessaire dobtenir une assurance raisonnable sur les qualifications et la comptence des candidats. 5. Le personnel daudit interne doit possder collectivement les connaissances et le savoir-faire indispensables la pratique de la profession dans lorganisation. Il convient de procder une analyse annuelle des connaissances et des comptences des membres du service daudit interne, de faon mieux identifier les points amliorer grce des programmes de formation continue, des recrutements ou par la mise en uvre de ressources externes partages. 6. La formation continue est essentielle pour sassurer que le personnel du service daudit interne demeure parfaitement comptent (voir la Modalit Pratique dApplication 1230-1 pour les points spcifiques la formation continue). 7. Le responsable de laudit interne doit faire appel des experts extrieurs son service afin de soutenir ou de complter les travaux des auditeurs lorsque ces derniers ne possdent pas toutes les comptences requises dans un domaine donn (voir la Modalit Pratique dApplication 1210.A1-1 pour des informations plus spcifiques sur le recours des prestataires extrieurs au service audit).
JUIN 2004
1210.A1
Le responsable de l'audit interne doit obtenir lavis et lassistance de personnes qualifies si les auditeurs internes ne possdent pas les connaissances, le savoir-faire et les autres comptences ncessaires pour s'acquitter de tout ou partie de leur mission.
MPA 1210.A1-1 Recours des prestataires de services externes
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils envisagent de recourir des prestataires de services chargs dassister lactivit daudit interne. La prsente Modalit Pratique dApplication na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Laudit interne doit disposer du personnel ou recourir des prestataires de service extrieurs qualifis dans des disciplines telles que la comptabilit, laudit, lconomie, la finance, les statistiques, les technologies de linformation, lingnierie, la fiscalit, le droit, lenvironnement et tout autre domaine ncessaire pour pouvoir exercer ses responsabilits daudit interne. Toutefois, il nest pas ncessaire que chacun des membres du service soit lui-mme comptent dans toutes ces disciplines. 2. Un prestataire de service extrieur est une personne ou une organisation indpendante de lorganisation qui possde des connaissances, un savoir-faire et une exprience particuliers dans une discipline donne. Les prestataires de services incluent notamment les actuaires, les experts-comptables, les conseils en valuation, les spcialistes de lenvironnement, les experts en enqutes sur la fraude, les avocats, les ingnieurs, les gologues, les experts en scurit, les statisticiens, les spcialistes des technologies de linformation, les auditeurs externes de lorganisation et les autres cabinets daudit. Ils peuvent tre mandats par le Conseil, la direction gnrale ou le responsable de l'audit interne. 3. Laudit interne peut faire appel des prestataires de service notamment dans les cas suivants : missions daudit impliquant un savoir-faire et des connaissances particuliers dans des domaines tels que les technologies de linformation, les statistiques, la fiscalit,
6
OCTOBRE 2002
les langues trangres, ou la ncessit datteindre les objectifs fixs dans le planning ; valuation dactifs tels que terrains et immeubles, uvres dart, pierres prcieuses, investissements et instruments financiers complexes ; dtermination des quantits ou caractristiques physiques de certains biens tels que minerais et rserves de ptrole ; valuation des travaux achevs et restant achever dans le cadre de contrats en cours ; enqutes sur la fraude et la scurit ; valuations ralises selon des mthodes particulires telles que calculs actuariels concernant les engagements lis aux avantages sociaux ; interprtation de la lgislation, de la rglementation et des normes techniques ; valuation du programme dassurance qualit de lactivit d'audit interne conformment larticle 1300 des Normes ; fusions et acquisitions.
4. Lorsquil prvoit de recourir un prestataire de service extrieur et de sappuyer sur ses travaux, le responsable de l'audit interne doit valuer sa comptence, son indpendance et son objectivit au vu des particularits de la mission accomplir. Il convient de procder galement cette valuation si le prestataire de service extrieur est choisi par la direction gnrale ou par le Conseil, et si le responsable de l'audit interne prvoit de sappuyer sur ses travaux. Lorsque le responsable de l'audit interne ne choisit pas lui-mme le prestataire de service et si son valuation montre quil ne devrait pas sappuyer sur ses travaux, les rsultats de cette valuation doivent tre communiqus la direction gnrale ou au Conseil, selon le cas. 5. Le responsable de l'audit interne doit sassurer que le prestataire de service extrieur possde les connaissances, le savoir-faire et les comptences ncessaires pour accomplir sa mission. Pour valuer ces comptences, le responsable de l'audit interne tiendra compte des lments suivants : diplme, agrment ou autre titre attestant de la comptence du prestataire de service dans la discipline en question ; adhsion du prestataire de service un organisme professionnel comptent et adhsion au code de dontologie de cet organisme ; rputation du prestataire de service. La prise en compte de cet lment peut impliquer la consultation de tiers faisant habituellement appel aux travaux du prestataire ; exprience du prestataire de service dans le type de travaux quon envisage de lui confier ; niveau dtudes et formation du prestataire de service dans les disciplines lies la mission en question ; connaissances et exprience du prestataire de service dans le secteur dactivit de lorganisation.
OCTOBRE 2002
Ces qualifications sont requises non seulement de lassoci qui signe le contrat mais aussi du responsable quil dlgue sur place.
6. Le responsable de l'audit interne doit examiner les liens existant entre le prestataire de service extrieur, lorganisation et son service daudit interne, et sassurer que lindpendance et lobjectivit du prestataire de service seront garanties tout au long de la mission. Pour procder cet examen, le responsable de l'audit interne doit sassurer quaucun lien financier, professionnel ou personnel nempchera le prestataire de service de formuler un jugement et une opinion objectifs et impartiaux lors de la ralisation de sa mission et de lmission de ses rapports. 7. Pour apprcier lindpendance et lobjectivit du prestataire de service extrieur, le responsable de l'audit interne doit tenir compte des lments suivants : intrt financier ventuel dtenu par le prestataire de service dans lorganisation ; lien personnel ou professionnel entre le prestataire de service et le Conseil, la direction gnrale ou les autres membres de lorganisation ; liens tablis par le pass entre le prestataire de service et lorganisation ou les activits examines ; tendue des autres services rcurrents excuts par le prestataire de service pour lorganisation ; rmunration ou autres avantages perus, le cas chant, par le prestataire de service. 8. Si le prestataire de service est galement auditeur externe de lorganisation et si sa mission consiste en des travaux daudit approfondis, le responsable de l'audit interne doit sassurer que les travaux ainsi raliss ne remettent pas en cause lindpendance de lauditeur externe. Lexpression travaux daudit approfondis vise les services qui dpassent le cadre des normes daudit gnralement admises par la charte dontologique de la profession dauditeur externe.
En France, le Code de Dontologie Professionnelle de la Compagnie Nationale des Commissaires aux Comptes (C.N.C.C).
Si la mission qui leur est confie les amenait agir ou donner lapparence dagir comme des membres de la direction gnrale, du management ou des employs de lorganisation, alors leur indpendance serait compromise. En outre, il peut arriver que les auditeurs externes fournissent lorganisation dautres services, en matire de fiscalit ou de conseil notamment. Lindpendance doit tre apprcie eu gard la gamme complte des services rendus lorganisation. 9. Le responsable de l'audit interne doit obtenir suffisamment dinformations quant ltendue de la mission du prestataire de service extrieur, de faon pouvoir vrifier que ses travaux rpondent aux objectifs de laudit interne. Il peut savrer prudent de
8
OCTOBRE 2002
prciser ltendue de la mission et divers autres points dans une lettre de mission ou dans un contrat. Le responsable de l'audit interne devra examiner les points suivants avec le prestataire de service : objectifs et tendue de la mission ; points particuliers qui devront tre couverts dans les rapports remis au titre de la mission ; accs aux documents, aux personnes et aux biens corporels concerns ; informations concernant les hypothses et les procdures utiliser ; proprit et conservation des documents de travail tablis dans le cadre de la mission, le cas chant ; confidentialit des informations obtenues au cours de la mission et restrictions les concernant. 10. Lorsque le prestataire de service accomplit des travaux daudit interne, le responsable de l'audit interne doit exiger et veiller ce que ces travaux soient raliss conformment aux Normes pour la Pratique Professionnelle de laudit interne. Dans le cadre de la revue des travaux dun prestataire de service, le responsable de l'audit interne doit valuer la pertinence des travaux effectus. Cette valuation consiste notamment sassurer que les informations obtenues sont suffisantes pour justifier les conclusions formules et les solutions proposes et statuer sur les exceptions significatives ou les autres points inhabituels. 11. En cas de recours un prestataire de service extrieur, le responsable de l'audit interne peut, le cas chant, mentionner les services ainsi fournis dans les documents ou rapports mis au titre de la mission. Le prestataire de service doit en tre inform et, le cas chant, son accord doit tre obtenu avant toute mention de ses services dans ces documents.
OCTOBRE 2002
1210.A2
Lauditeur interne doit possder des connaissances suffisantes pour identifier les indices dune fraude, mais il nest pas cens possder lexpertise dune personne dont la responsabilit premire est la dtection et linvestigation des fraudes.
MPA 1210.A2-1 Responsabilits de lauditeur interne en matire de prvention, de dtection et dvaluation des risques de fraude
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en matire de fraude. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander un niveau minimum de connaissances sur la fraude et certaines mesures mettre en uvre. Le niveau de formation et dexprience requis pour un service daudit interne et pour ses membres variera en fonction des profils de poste et des prestations de conseil et dassurance que la direction gnrale et le conseil dadministration attendent du responsable de laudit interne. Ds lors, le niveau de comptences requis sera dautant plus lev que les auditeurs seront trs impliqus. Le respect des Modalits Pratiques dApplication est facultatif. La prsente MPA doit tre lue conjointement avec la MPA 1210.A2-2, Responsabilits de lauditeur interne en matire denqutes, de prsentation de rapports, de rsolution de problmes et de communication relatives la fraude .
DFINITION DE LA FRAUDE
On entend par fraude lensemble des irrgularits et actes illgaux commis sciemment, avec lintention de tromper ou de dformer. Certains actes, qualifis de fraude dans la prsente MPA et dans la MPA 1210.A.2-2, sont susceptibles de rpondre galement la dfinition juridique et/ou la dfinition courante de la corruption. Lauteur de la fraude sait que celle-ci peut entraner un avantage irrgulier son profit, au profit de lorganisation ou dautrui. La fraude peut tre perptre par des collaborateurs de lorganisation ou par des personnes extrieures celle-ci.
10
SEPTEMBRE 2006
1. Les fraudes commises au dtriment de lorganisation profitent gnralement un collaborateur, un tiers, ou une autre organisation, de manire directe ou indirecte. En voici quelques exemples : acceptation de pots-de-vin ou de dessous de table ; dtournement, au profit dun collaborateur ou dun tiers, dune opration qui aurait d engendrer un bnfice pour lorganisation ; dtournement de fonds ou de biens, et falsification des registres comptables pour dissimuler un acte, en rendant ainsi la dtection difficile ; omission ou interprtation fallacieuse dvnements, de transactions ou de donnes, avec lintention de tromper ; facturation de services ou de biens non rendus ou non fournis lorganisation ; carence intentionnelle dans des circonstances o des mesures sont requises par lentreprise ou la lgislation ; exploitation non autorise ou illgale dinformations confidentielles ; manipulation non autorise ou illgale de rseaux informatiques ou de systmes dexploitation ; vol. 2. Les fraudes commises pour le bnfice de lorganisation favorisent gnralement celle-ci en exploitant un avantage injuste ou malhonnte qui peut galement tromper une tierce partie. Les auteurs de tels actes en retirent gnralement un avantage personnel indirect, tel que le versement de primes ou des promotions. Voici quelques exemples de fraudes commises au profit de lorganisation : paiements irrguliers, tels que financements illgaux de partis politiques, pots-devin, dessous de table verss des reprsentants des pouvoirs publics et leurs intermdiaires, des clients ou des fournisseurs ; dclaration ou valorisation incorrecte de transactions, dlments dactif ou de passif, ou de revenus, avec lintention de tromper ; fixation incorrecte de prix de cession interne (par exemple, valuation de biens changs entre organisations lies) dans lintention damliorer fictivement les rsultats dexploitation dune organisation au dtriment dune autre ; transactions irrgulires et dlibres entre parties lies, au cours desquelles une partie reoit un avantage qui ne pourrait tre obtenu dans les conditions normales du march ; omission intentionnelle de comptabiliser ou de communiquer des informations significatives avec exactitude et exhaustivit, pour donner aux tiers une image trompeuse de la situation de lorganisation ; cession de biens fictifs ou ayant fait lobjet de fausses dclarations ;
SEPTEMBRE 2006
11
carence dlibre alors que des mesures sont requises par lentreprise ou la lgislation ; erreurs intentionnelles dans les dclarations fiscales afin de rduire le montant des impts ; activits commerciales prohibes par les lois, rgles, rglements ou contrats en cours. Il existe, outre la dfinition ci-dessus, diffrentes typologies de la fraude. Lauditeur a toute latitude pour examiner les informations publies par les cabinets et associations spcialiss dans lexpertise comptable ou les enqutes sur les fraudes, afin de dterminer la mthode de classification la mieux approprie pour son organisation.
LES CAUSES DE LA FRAUDE Les facteurs qui influent sur la fraude sont gnralement au nombre de trois : le risque, le mobile et la rationalisation. 1. Le risque Il peut arriver quun processus soit bien conu pour une situation habituelle, mais quune conjoncture apparaisse et gnre un dysfonctionnement, ou engendre des circonstances rendant les contrles inoprants. Le risque de fraude peut rsulter dune conception mdiocre des contrles ou de leur insuffisance. Par exemple, en cas de mise au point dun systme qui semble assurer la protection des actifs, mais auquel un contrle important fait dfaut. Quiconque a connaissance de cette lacune peut en profiter sans gros effort. Les personnes investies dune autorit peuvent provoquer des occasions pour droger aux contrles existants, parce que leurs subordonns ou la faiblesse des contrles leur permettent de contourner les rgles. 2. Le mobile Lauteur dune fraude peut rationaliser ses actes, mais il faut quil ait un mobile pour se comporter ainsi : le pouvoir constitue un trs bon mobile. Il peut sagir simplement de gagner lestime de sa famille ou de ses collgues. Par exemple, de nombreuses fraudes informatiques sont commises pour montrer que lauteur du piratage a le pouvoir dagir ainsi, et non pour nuire intentionnellement ; un autre mobile peut consister en la satisfaction dun dsir, tel que la cupidit ou une dpendance ; le troisime mobile correspond aux pressions rsultant de contraintes physiques ou exerces par des tiers.
12
SEPTEMBRE 2006
3. La rationalisation La plupart des personnes se considrent honntes, mme si elles commettent occasionnellement un acte rprhensible. Elles sont susceptibles, pour sen convaincre, de rationaliser ou de nier leurs actes, en considrant par exemple quelles avaient droit lobjet vol ou que, si les cadres enfreignent les rgles, les autres peuvent parfaitement en faire autant. Certains commettront des actes qui sont qualifis dinacceptables par lorganisation, mais qui sont cependant courants dans leur culture ou qui taient admis par leurs prcdents employeurs. Ds lors, ces collaborateurs ne respecteront pas des rgles qui nont aucun sens pour eux. Certains peuvent connatre des priodes de difficult financire dans leur vie, avoir succomb une dpendance coteuse ou tre confronts dautres pressions. Ils vont donc rationaliser en invoquant quils ne font quemprunter largent et quils le rembourseront lorsque leurs conditions de vie se seront amliores. Dautres peuvent avoir le sentiment quil nest pas rprhensible de voler une entreprise, et dpersonnalisent ainsi lacte commis. Les auditeurs ne sont pas toujours en mesure de connatre la rationalisation ou le mobile exact conduisant la fraude, mais ils sont censs possder une matrise des contrles internes suffisante pour identifier les risques de fraude. Ils doivent en outre comprendre les modes et les scnarios de fraude, connatre les signes de lexistence dun risque de fraude et les moyens de les prvenir. Les auditeurs doivent examiner les informations communiques par lIIA et par dautres associations ou organisations professionnelles afin de sassurer que leurs connaissances sont actualises.
VALUATION DU RISQUE DE FRAUDE ET DABUS Toutes les organisations sont exposes un certain degr de risque de fraude dans tout processus ncessitant une intervention humaine. Ce degr dexposition est fonction des risques de fraude inhrents lactivit de lorganisation, de lexistence de contrles internes efficaces permettant de prvenir ou de dtecter la fraude, ainsi que de lhonntet et de lintgrit des personnes impliques dans le processus. Le risque de fraude est la probabilit que la fraude se produise, ainsi que sa gravit ou ses consquences potentielles pour lorganisation lorsquelle se produit. La probabilit dune activit frauduleuse dpend, en rgle gnrale, de la facilit avec laquelle la fraude peut tre commise, des facteurs pouvant motiver la fraude et de lhistorique de lentreprise en matire de fraude. La gestion de la fraude consiste notamment en limiter ou en liminer les consquences, ce qui va au-del de la limitation ou de llimination dune perte financire. Par exemple, latteinte la renomme de certaines organisations peut avoir un impact considrable sur leur capacit attirer et fidliser un personnel qualifi ou une clientle pour leurs produits, et obtenir les moyens et autorisations ncessaires pour assurer la croissance et la viabilit long terme de lactivit.
SEPTEMBRE 2006
13
Pour valuer le risque de fraude, les auditeurs internes doivent sappuyer sur le modle de gestion des risques dentreprise utilis le cas chant dans lorganisation. dfaut, ils peuvent suivre les directives suivantes : 1. Comprendre les modes spcifiques de fraude auxquels lorganisation pourrait tre confronte. Dcrire et valuer la vulnrabilit de lorganisation ces types de fraude laide dun modle de risque couvrant tous les risques inhrents lorganisation. Ce modle de risque doit en outre reposer sur des catgories de risque cohrentes (autrement dit, il ne doit exister aucun chevauchement entre les zones risque) et tre suffisamment dtaill pour quune valuation des risques permette didentifier et de couvrir les zones prsumes haut risque. Le Committee of Sponsoring Organizations of the Treadway Commission a publi Enterprise Risk Management (COSO 2) (1), qui propose un modle utile couvrant notamment les points suivants : identification des vnements, notamment sances de brainstorming, entretiens, groupes de travail enqutes, recherche sectorielle et inventaires des vnements ; valuations des risques, incluant les probabilits et les consquences ; traitement des risques, notamment vitement, rduction, partage ou acceptation du risque ; activits de contrle, par exemple tablissement de liens entre les risques dune part et les programmes de lutte contre la fraude et les activits de contrle dautre part, afin den vrifier lefficacit ; pilotage, notamment plans et programmes daudit tenant compte de la fraude rsiduelle et du risque rsultant dabus. 2. Lvaluation des contrles destins prvenir ou rduire les risques de fraude auxquels une organisation est expose doit tenir compte du rapport cots/bnfices. Il convient galement dexaminer si la fraude peut tre commise par une personne seule ou si elle implique une complicit. En pratique, il nest pas possible ni rentable de prvenir la totalit des cas de fraude. Il faut galement tenir compte du fait que lorganisation sexpose des consquences ngatives en cas de soupons non fonds vis--vis de certains collaborateurs ou si elle donne limpression de ne pas avoir confiance en son personnel.
(1) Ouvrage traduit en 2005 par lIFACI et PwC sous le titre Le management des risques de lentreprise cadre de rfrence copyright en franais IFACI.
SEPTEMBRE 2006
14
LES LMENTS DE LA PRVENTION DE LA FRAUDE La prvention de la fraude est lensemble des mesures prises pour dissuader les fraudeurs potentiels et limiter les consquences en cas de fraude. Le contrle interne est le principal dispositif de prvention de la fraude. La responsabilit premire de la mise en place et du maintien dun systme de contrle interne doit tre confie la direction gnrale. Voici, titre dexemple, quelques lments de contrle dun programme de prvention de la fraude prsent dans le cadre du COSO Control Framework (COSO 1) (1). Chacun des lments mrite dtre pris en considration, quel que soit le cadre de contrle utilis par lauditeur. 1. Environnement de contrle. Il appartient aux entreprises dinstaurer un environnement de contrle appropri comprenant les lments suivants : un code de conduite, un code de dontologie ou une politique de lutte contre la fraude, afin que le ton soit donn au plus haut niveau de lorganisation ; des programmes de dontologie et un systme dalerte permettant de signaler les craintes ; des directives et des procdures en matire de recrutement et de promotion ; un contrle par le comit daudit, le conseil dadministration ou un autre organe de surveillance ; des enqutes sur les problmes signals et des solutions en cas dinfractions confirmes ; 2. valuation du risque de fraude. Il appartient aux organisations didentifier et dvaluer les risques associs la fraude, notamment le risque de prsentation dinformations financires trompeuses, de dtournement dactifs, de dpenses ou dencaissements irrguliers et dabus financier commis par les membres de la direction gnrale et ceux de lorganisation. Les entreprises doivent galement sassurer de lexistence dune sparation des tches adquate ; 3. Activits de contrle. Les entreprises doivent dfinir et mettre en uvre des contrles efficaces, comprenant des mesures prises par la direction gnrale pour identifier, prvenir les informations financires trompeuses ou lusage abusif dactifs de lorganisation, en attnuer les effets, et empcher tout contournement des contrles par les membres de la direction gnrale. En outre, les entreprises doivent mettre en place un processus de dclaration ou de certification par lequel leurs collaborateurs confirment quils ont lu et compris les procdures de la socit et quils sy conforment ;
(1) Ouvrage traduit en 1994 par lIFACI et PwC sous le titre La pratique du contrle interne COSO Report copyright IFACI.
SEPTEMBRE 2006
15
4. Information et communication. Il appartient aux entreprises de mettre en place un systme dinformation et de communication efficace en matire de fraude, comprenant par exemple la documentation et la diffusion de procdures, de directives et de rsultats. Ce systme peut galement comporter lorganisation dentretiens relatifs aux questions de dontologie, la formation du personnel ainsi que des circuits de communication, spcifiques. Il peut enfin prvoir ltude de limpact et de lutilisation des technologies aux fins de la prvention de la fraude, notamment celle de lutilisation de logiciels de contrle continu ; 5. Pilotage. Les organisations doivent procder des valuations continues et priodiques des rsultats et mesurer limpact de lutilisation de linformatique aux fins de la prvention de la fraude. Le rle de lauditeur interne Les auditeurs internes ont pour mission daider les entreprises prvenir la fraude en examinant et en valuant ladquation et lefficacit de leur dispositif de contrle interne, dispositif qui doit tre adapt limportance des risques potentiels au sein de lorganisation. Dans le cadre de leurs fonctions, les auditeurs internes doivent tenir compte des lments suivants : 1. Environnement de contrle. valuer les caractristiques de lenvironnement de contrle, procder des audits et des enqutes sur la fraude dans le cadre dune dmarche proactive, communiquer les rsultats des audits sur la fraude, et soutenir les efforts accomplis pour mettre en uvre des mesures correctives. Dans certains cas, les auditeurs internes peuvent galement assumer la responsabilit du systme dalerte ( hotline ) ; 2. valuation du risque de fraude. Examiner lvaluation du risque de fraude ralise par la direction gnrale, et en particulier les processus mis en uvre par celle-ci pour identifier, valuer et tester les modes et scnarios potentiels de fraude et dabus, notamment ceux impliquant des fournisseurs, des sous-traitants et dautres tiers ; 3. Activits de contrle. valuer la pertinence et lefficacit oprationnelle des contrles relatifs la fraude, sassurer que les plans et programmes daudit tiennent compte du risque rsiduel et prvoient des audits sur la fraude, valuer ladquation des moyens mis en uvre pour lutter contre la fraude ou le vol, et examiner les propositions concernant les modifications de la lgislation, de la rglementation ou des systmes, et leur impact sur les contrles ; 4. Information et communication. valuer lefficacit oprationnelle des systmes et procdures dinformation et de communication, et soutenir les projets de formation relatifs la fraude ;
15-1 16
SEPTEMBRE 2006
5. Pilotage. valuer les activits de pilotage et les logiciels informatiques y affrents ; raliser des enqutes ; assister le comit daudit dans son rle de surveillance des contrles et des questions lies la fraude ; concourir la mise au point dindicateurs relatifs la fraude ; sassurer, par le biais du recrutement et de la formation, que les membres du personnel possdent une exprience approprie en matire daudits ou denqutes sur la fraude.
DTECTION DE LA FRAUDE La direction gnrale et le service daudit interne ont un rle diffrent en matire de dtection de la fraude. Voici une description de leur rle respectif. Le rle de la direction gnrale en matire de dtection de la fraude Il appartient la direction gnrale de mettre en place un systme de contrle efficace et den assurer le maintien moyennant un cot raisonnable. Cette responsabilit implique la mise au point de certains contrles qui visent dtecter le mauvais fonctionnement dautres contrles. Le suivi de ces indicateurs peut permettre de constater quune fraude a pu se produire. Parmi ces contrles, on peut citer, titre dexemple, la mise en place et la diffusion dune hotline ou dun systme similaire que les clients ou les membres du personnel peuvent utiliser pour faire part de leurs plaintes ou de leurs proccupations. Les autres contrles de pilotage et de dtection incluent notamment les oprations suivantes : installation de systmes dalarme sur les portes et les fentres des locaux ; installation de camras de surveillance ; incorporation de contrles ddition dans les systmes dinformation ; ralisation dinventaires physiques ; audits ; examen et approbation des factures et des frais imputs aux centres de cot ; rapprochements de comptes. Le rle de lauditeur interne en matire de dtection de la fraude Dans la mesure o la fraude peut affecter les activits couvertes dans le cadre normal de laudit, les auditeurs internes sont tenus, en matire de dtection de la fraude, dexercer leurs fonctions avec conscience professionnelle , telle que dfinie par la Norme 1220 des Normes internationales pour la pratique professionnelle de laudit interne.
SEPTEMBRE 2006
15-2
Toutefois, la plupart des auditeurs internes ne sont pas censs possder des connaissances quivalentes celles dun spcialiste qui a pour principale fonction de dtecter la fraude et de mener des enqutes dans ce domaine. Par ailleurs, les procdures daudit, mme si elles sont mises en uvre avec la conscience professionnelle requise, ne garantissent pas, elles seules, que la fraude sera dtecte. Un systme de contrle interne bien conu permet dattnuer le risque de fraude. Les tests effectus par les auditeurs amliorent les chances de dtecter tout indice de fraude et, le cas chant, dapprofondir les recherches. En matire de dtection de la fraude, les responsabilits qui incombent lauditeur interne dans le cadre de ses missions sont les suivantes : tenir compte des risques de fraude pour valuer la pertinence des contrles et dterminer les travaux daudit raliser. Les auditeurs internes ne sont pas censs dtecter la fraude et les irrgularits, mais ils sont censs acqurir lassurance raisonnable que les objectifs de lentreprise sont atteints pour le processus examin, et que les dficiences significatives des contrles quelles rsultent dune simple erreur ou dune volont dlibre , sont dtectes ; possder une connaissance suffisante de la fraude pour pouvoir dceler les indices ( red flags ) dune fraude ventuelle. Cette connaissance porte notamment sur les caractristiques de la fraude, les techniques utilises pour commettre la fraude, et les divers modes et scnarios de fraude associs aux activits examines ; faire preuve de vigilance dans les situations propices la fraude, notamment en cas de contrles dficients. Lorsque des faiblesses importantes sont dtectes, les auditeurs internes doivent procder des vrifications supplmentaires afin didentifier dautres indices de fraude. Parmi les exemples dindices, on peut citer les transactions non autorises, les fluctuations soudaines du volume ou du montant des transactions, le fait de passer outre aux contrles, les exceptions inexpliques aux rgles dtablissement des prix et des pertes dexploitation dun montant exceptionnel. Les auditeurs internes ne doivent pas perdre de vue que la prsence simultane de plusieurs indices renforce la probabilit quune fraude ait t commise ; valuer les indices de fraude et dcider si dautres mesures sont ncessaires ou si une enqute doit tre recommande ; informer les autorits comptentes au sein de lorganisation sil savre quune fraude a t commise, afin quune enqute soit recommande.
15-3
SEPTEMBRE 2006
MPA 1210.A2-2 Responsabilits de lauditeur interne en matire denqutes, de prsentation de rapports, de rsolution de problmes et de communication relatives la fraude
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en matire de fraude. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander un niveau minimum de connaissances sur la fraude et certaines mesures mettre en uvre. Le niveau de formation et dexprience requis pour un service daudit interne et pour ses membres variera en fonction des profils de poste, tels que dfinis dans la charte du service audit, et des prestations de conseil et dassurance que la direction gnrale et le conseil dadministration attendent du responsable de laudit interne. Le niveau de comptences requis sera dautant plus lev que les auditeurs seront trs impliqus. Le respect des Modalits Pratiques dApplication est facultatif. La prsente MPA doit tre lue conjointement avec la MPA 1210.A2-1, Responsabilits de lauditeur en matire, de prvention, de dtection et dvaluation des risques de fraude . ENQUTES SUR LA FRAUDE La prsente section de la MPA ne concerne pas les audits effectus pour dtecter de faon proactive des indices de fraude dans les processus ou transactions dont lanalyse indique quils comportent un risque de fraude important. Elle concerne les enqutes inities en cas de craintes concernant des dficiences de contrles ou en cas de soupons dinfraction au sein de lorganisation. Les soupons peuvent rsulter dun processus de plainte formel, dinformations informelles ou dun audit, notamment dun audit effectu pour vrifier sil y a eu fraude. Une enqute sur la fraude consiste recueillir des informations suffisantes sur certains points et mettre en uvre les procdures ncessaires pour dterminer si une fraude a t commise, la perte ou les risques associs la fraude, les personnes impliques et les modalits de la fraude (comment elle a eu lieu). Les enqutes ont notamment pour effet et il sagit l dun point important de laver les innocents de tout soupon. Les enqutes doivent tre conues pour dcouvrir la vritable nature et ltendue de lactivit frauduleuse, et non pas seulement lvnement qui a pu dclencher lenqute. La ralisation dune enqute inclut llaboration de documents de travail ou dun dossier suffisants en vue dune procdure judiciaire.
SEPTEMBRE 2006
15-4
Les personnes qui procdent ou qui participent aux enqutes sur la fraude sont gnralement des auditeurs internes, des juristes, des enquteurs, des membres du personnel de scurit et dautres spcialistes faisant ou non partie de lorganisation. Les enqutes et les oprations entreprises pour les rsoudre doivent tre gres avec diligence en tenant compte de la lgislation locale. Le cas chant, les lois peuvent contenir des directives sur le mode et le lieu de ralisation des enqutes, les pratiques en matire de sanctions et de rparation et les communications. Il est dans lintrt dun auditeur, tant sur le plan professionnel que dun point de vue juridique, de cooprer de faon efficace avec le conseil juridique de lorganisation et de se familiariser avec les lois applicables. Les recommandations contenues dans la prsente MPA sont destines un public international et sont par consquent dordre gnral.
Le rle de la direction gnrale Il appartient la direction gnrale de mettre au point des contrles sur le processus denqute, et notamment de dfinir des politiques et procdures visant assurer lefficacit des enqutes ainsi que des normes concernant la gestion des rsultats des enqutes, la prsentation de rapports et les communications. Ces normes sont souvent documentes dans une procdure relative la fraude, et laudit interne peut tre impliqu dans llaboration de cette procdure. Ces procdures mentionnent imprativement les droits des personnes impliques, la qualification des personnes autorises mener les enqutes, ainsi que les lois en vigueur dans les pays et les collectivits locales o les fraudes ont t commises ou ont fait lobjet dune enqute. Elles doivent prciser ltendue des sanctions que la direction gnrale infligera aux collaborateurs, aux fournisseurs ou aux clients, notamment les mesures juridiques qui seront prises pour recouvrer les pertes ainsi que les poursuites civiles ou pnales. Il est important que la direction gnrale dfinisse clairement les pouvoirs et les responsabilits des divers participants une enqute, et en particulier la relation entre lenquteur et le conseiller juridique. Il est galement important quelle tablisse et quelle respecte des procdures minimisant les communications internes sur les enqutes en cours, en particulier dans leurs phases initiales. La procdure doit prciser quel sera le rle de lenquteur au niveau de la constatation de la fraude. La direction gnrale doit indiquer sil appartient lenquteur ou la direction gnrale de conclure la fraude, ou si lentreprise transmet les faits des autorits extrieures charges de conclure. Dans certains pays, seules les autorits judiciaires ou les autorits de police sont habilites conclure quune fraude a t commise. Lenqute peut dboucher simplement sur la conclusion que la procdure de lentreprise na pas t respecte.
15-5
SEPTEMBRE 2006
Le rle de laudit interne Le rle de laudit interne en matire denqutes doit tre dfini dans la charte daudit interne ainsi que dans les procdures relatives la fraude. Par exemple, laudit interne peut avoir la responsabilit premire des enqutes sur la fraude, constituer une ressource pour ces enqutes, ou sabstenir de toute participation aux enqutes (parce quil est charg den apprcier lefficacit). Chacun de ces rles peut tre acceptable, pour autant que limpact de ces activits sur lindpendance de laudit interne soit reconnu et gr de faon approprie. Afin de maintenir leur comptence, il appartient aux quipes charges des enqutes sur la fraude dacqurir une connaissance suffisante des diffrents modes de fraude, des techniques denqute et de la lgislation. Il existe des programmes nationaux et internationaux de formation et de certification destins aux enquteurs et aux experts lgistes. Si laudit interne est charg de sassurer de la ralisation des enqutes, il peut conduire une enqute avec le personnel de lorganisation, recourir des sous-traitants ou panacher ces deux formules. Dans certains cas, laudit interne peut galement faire appel, pour lassister, des collaborateurs de l'organisation qui ne font pas partie du service daudit. Il est souvent important de constituer lquipe charge de lenqute sans dlai. Si lorganisation a besoin dexperts externes, le responsable de laudit interne doit envisager de faire agrer au pralable le ou les prestataire(s) de services pour pouvoir disposer rapidement de ces ressources externes. Dans les entreprises o la responsabilit premire des enqutes nest pas attribue laudit interne, les auditeurs peuvent nanmoins tre convis contribuer la collecte dinformations et formuler des recommandations en vue damliorer le contrle interne. Le rle de lenquteur (que ce rle soit ou non confi laudit interne) Un plan denqute doit tre labor pour chaque enqute, conformment aux procdures ou aux protocoles denqute de lorganisation. Le responsable de lenqute doit dterminer les connaissances et les comptences ncessaires pour raliser lenqute de faon efficace, et affecter des personnes comptentes et appropries lquipe. Il convient dinclure dans ce processus lassurance quil nexiste aucun conflit dintrts potentiel avec les personnes faisant lobjet dune enqute ou avec dautres collaborateurs de lorganisation. Le plan denqute doit mentionner les mthodes mettre en uvre pour : collecter des lments probants : surveillance, entretiens ou dclarations crites ; documenter les preuves, en respectant les contraintes lgales quant la nature et lutilisation des preuves par lentreprise ;
SEPTEMBRE 2006
15-6
dterminer ltendue de la fraude ; dterminer les modalits de la fraude (techniques utilises pour commettre la fraude) ; valuer la cause ; identifier les auteurs de la fraude. nimporte quel stade de ce processus, lenquteur peut conclure que la plainte ou les soupons ntaient pas fonds et clore laffaire. Les oprations doivent tre coordonnes, au cours de lenqute, avec la direction gnrale, le conseiller juridique et dautres spcialistes tels que les responsables des ressources humaines et des risques dits assurables , si cela savre ncessaire. Les enquteurs doivent tre informs des droits des personnes concernes par lenqute et conscients de la renomme de lorganisation. Il convient dvaluer le degr et ltendue de la complicit laquelle la fraude a donn lieu travers lorganisation. Cette valuation peut tre primordiale pour sassurer que les preuves essentielles ne sont pas dtruites ni dtriores, et pour viter dobtenir des informations trompeuses auprs de personnes susceptibles dtre impliques. PRSENTATION DE RAPPORTS RELATIFS AUX FRAUDES Les rapports relatifs aux fraudes comprennent les diverses communications orales ou crites, provisoires ou dfinitives, adresses aux cadres dirigeants et/ou au conseil dadministration au sujet de ltat davancement et des rsultats des enqutes sur la fraude. Ces rapports peuvent tre prliminaires et tablis tout au long de lenqute. Un rapport crit peut tre tabli suite un compte-rendu oral adress aux membres de la direction gnrale et du conseil dadministration, afin de documenter les observations. La section 2400 des Normes contient des informations applicables la communication des rsultats des missions. Voici quelques recommandations supplmentaires concernant la prsentation de rapports internes sur la fraude : Un projet de communications finales sur la fraude doit tre soumis au conseiller juridique pour examen. Lorsque lorganisation est en mesure dinvoquer le secret professionnel du conseiller juridique et a opt pour cette solution, le rapport doit tre adress au conseiller juridique.
La MPA fait ici rfrence au droit amricain dans lequel le client attorney privilege permet de rendre confidentielles les informations, y compris pour le pouvoir judiciaire, en les plaant dans des conditions particulires, sous la sauvegarde dun avocat.
15-7
SEPTEMBRE 2006
Lorsquune fraude importante ou une perte de confiance ont t dmontres avec une certitude suffisante, les cadres dirigeants et le conseil dadministration en sont informs immdiatement. Il ressort parfois des rsultats de lenqute que la fraude a pu avoir une incidence ngative non dtecte auparavant sur la situation financire et les rsultats oprationnels de lorganisation pendant un ou plusieurs exercices pour lesquels des tats financiers ont dj t publis. Les cadres dirigeants et le conseil dadministration doivent tre informs de cette dcouverte. Un rapport crit ou une autre communication formelle doivent tre prsents lors de la conclusion de la phase denqute. Ce rapport indique le contexte dans lequel lenqute a t entreprise, le calendrier, les observations, les conclusions, la rsolution de lenqute et les mesures correctives prises (ou les recommandations) en vue damliorer les contrles. Selon la faon dont lenqute a t rsolue, il peut savrer ncessaire de rdiger le rapport de faon respecter la confidentialit vis--vis de certaines des personnes impliques. Le contenu de ce rapport est sensible, et doit rpondre aux besoins du conseil dadministration et de la direction gnrale, tout en tant conforme aux rgles et restrictions lgales ainsi quaux politiques et procdures de lentreprise. RSOLUTION DES INCIDENTS LIS LA FRAUDE La rsolution des incidents lis la fraude incombe la direction gnrale, et non lauditeur interne ou lenquteur. On entend par rsolution le fait de dterminer les mesures qui seront prises par lorganisation une fois lenqute sur les modalits de la fraude et sur son (ses) auteur(s) termine et les preuves examines. Les auditeurs internes doivent apprcier les faits qui ressortent des enqutes et conseiller la direction gnrale au sujet des solutions apporter aux faiblesses de contrle interne qui ont conduit la fraude. Les auditeurs doivent ajouter des tapes supplmentaires aux programmes daudit standard ou mettre au point des programmes daudit relatifs la fraude afin de faciliter la diffusion dinformations en cas de fraudes similaires lavenir. Les politiques et les procdures de la direction gnrale en matire de fraude (mentionnes ci-dessus dans la prsente MPA) doivent prciser les personnes habilites et responsables pour chaque processus. Les auditeurs internes peuvent tre impliqus en qualit de conseillers dans les processus suivants, condition que limpact de ces activits sur lindpendance de laudit interne soit reconnu et gr de faon approprie. La phase de rsolution peut comporter la totalit ou une partie des tapes suivantes : clture de lenqute vis--vis des personnes souponnes lorigine et dont linnocence a t constate ; conclusion de lenqute vis--vis de ceux qui ont fait part de leurs craintes ;
SEPTEMBRE 2006
15-8
sanctions infliges un collaborateur conformment aux normes de lentreprise, la lgislation sur lemploi en vigueur ou aux contrats de travail ; demande de restitution financire volontaire adresse un collaborateur, un client ou un fournisseur ; rsiliation des contrats avec les fournisseurs ; signalement de lincident aux autorits de police, aux instances rglementaires ou aux organes similaires, et coopration leur enqute ; introduction dune action pour litige au plan civil ou de procdures judiciaires similaires ; dpt dune demande de remboursement auprs des compagnies dassurance ; dpt dune plainte auprs de lassociation professionnelle dont dpend lauteur de la fraude. Outre leur rle de conseil, les auditeurs internes peuvent tre impliqus dans les oprations suivantes : suivi du processus denqute afin de sassurer que lorganisation met en uvre des politiques et procdures pertinentes et applique la lgislation en vigueur (lorsque laudit interne nest pas charg de conduire lenqute) ; localisation et/ou sauvegarde des actifs dtourns ou concerns ; soutien des actions entreprises par lorganisation sur le plan judiciaire, auprs des assurances ou dautres fins de rparation ; valuation et suivi des plans et pratiques de lorganisation en matire dinformation et de communication interne et externe postrieure lenqute ; suivi de la mise en uvre des recommandations concernant lamlioration des contrles afin dassurer leur efficacit, leur efficience et leur ralisation dans des dlais appropris. COMMUNICATIONS Afin de limiter le risque de diffusion non officielle dinformations non appropries et/ou inexactes, lauditeur interne peut conseiller la direction gnrale dans la dfinition dune stratgie de communication et dun plan tactique, et ce un stade de lenqute aussi prcoce que possible. Outre les rapports sur la fraude susmentionns, une enqute peut donner lieu deux types de communications : les communications publiques et les communications internes planifies. La meilleure faon de coordonner tous les commentaires faits par la direction gnrale lintention de la presse, des autorits de police ou dautres organes externes est de faire
SEPTEMBRE 2006
15-9
appel un conseiller juridique. Ces commentaires doivent maner exclusivement de porte-parole autoriss. Les communications internes constituent un outil stratgique utilis par la direction gnrale pour renforcer sa position en matire dintgrit, dmontrer quelle prend des mesures appropries en cas de non-respect des procdures de lentreprise, et montrer pourquoi les contrles internes sont importants. Ces communications peuvent revtir la forme dun article dans une lettre dinformation ou dun mmo de la direction gnrale, ou bien la situation peut tre cite titre dexemple dans le cadre du programme de formation de lorganisation relatif lintgrit. Ces communications ont lieu en rgle gnrale une fois laffaire rsolue en interne. Elles ne mentionnent pas les noms des auteurs de la fraude, ni aucun autre dtail li lenqute ds lors que celui-ci nest pas ncessaire pour le message ou quil est contraire la lgislation. Une enqute et ses rsultats peuvent poser dimportants problmes de stress ou de dmoralisation qui sont susceptibles de perturber le fonctionnement de lorganisation, en particulier lorsque la fraude est porte la connaissance du public. La direction gnrale peut prvoir des sessions interactives lattention des membres du personnel et/ou des stratgies visant renforcer lesprit dquipe afin de rsoudre cette situation de crise. FORMULATION DUNE OPINION SUR LE SYSTME DE CONTRLE INTERNE RELATIF LA FRAUDE Lauditeur interne peut tre invit par la direction gnrale ou par le conseil dadministration formuler une opinion sur le dispositif de contrle interne de lorganisation relatif la fraude. Les auditeurs doivent se rfrer diverses MPA de la srie 2410 et dautres recommandations pratiques publies par lIIA, notamment au document intitul Practical Considerations Regarding Internal Auditing Expressing an Opinion on Internal Controls (Aspects pratiques lis la formulation par laudit interne dune opinion sur les contrles internes), afin de dterminer sils ont suffisamment tenu compte des informations quils contiennent avant de formuler une opinion.
SEPTEMBRE 2006
15-10
1220
Conscience professionnelle
Les auditeurs internes doivent apporter leur travail la diligence et le savoir-faire que lon peut attendre dun auditeur interne raisonnablement averti et comptent. La conscience professionnelle nimplique pas l'infaillibilit.
MPA 1220-1 Conscience professionnelle

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils valuent leur conscience professionnelle. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. La conscience professionnelle porte sur la diligence et le savoir-faire que lon peut attendre dun auditeur interne raisonnablement prudent et comptent. La conscience professionnelle doit tenir compte de la complexit de la mission ralise. En agissant avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fautes intentionnelles, derreurs ou domissions, de manque defficacit, de gaspillage et de conflits dintrts. Ils devront tre spcialement vigilants vis--vis des situations et activits o des irrgularits ont le plus de chance de se produire. Enfin, ils doivent dtecter lexistence de contrles inefficaces et faire des recommandations visant promouvoir le respect des procdures et pratiques acceptables. 2. La conscience professionnelle implique la diligence et le savoir-faire raisonnables que lon apporte lexcution de ses missions et non linfaillibilit ou des performances exceptionnelles. Cela signifie que lauditeur procde des vrifications et des contrles raisonnablement approfondis, et non un examen dtaill et systmatique de toutes les oprations. En consquence, lauditeur interne ne peut donner une assurance absolue quil nexiste aucune anomalie ou irrgularit. Nanmoins, la possibilit dirrgularits ou de dviations importantes doit toujours tre envisage lorsque lauditeur interne entreprend une mission.
16
OCTOBRE 2002
MPA 1220-2 Outils daudit assists par ordinateur (CAATS)

Interprtation de la norme 1220.A2 extraite des Normes internationales pour la pratique professionnelle de laudit interne
Norme 1220-A2 Conscience professionnelle Pour remplir sa mission avec la conscience professionnelle requise, lauditeur interne doit envisager de recourir aux outils daudit assists par ordinateur et aux autres techniques danalyse des donnes
La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Use of Computer Assisted Audit Techniques (Utilisation des outils daudit assists par ordinateur) document G3. Cette directive daudit des systmes dinformation a t publie par lISACA en dcembre 1998. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils effectuent des missions au cours desquelles ils ont recours des outils daudit assists par ordinateur. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre pour raliser un audit informatique. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit Le respect des Modalits Pratiques dApplication est facultatif.
SEPTEMBRE 2006
16-1
1. Ncessit de publier des directives Les outils daudit assists par ordinateur constituent des outils importants pour lauditeur dans le cadre de ses travaux daudit. Ils regroupent diffrents types doutils et de techniques, tels que les logiciels gnraux daudit, des programmes utilitaires, des donnes de test, les outils de traage logique et de cartographie de logiciels dapplication, et les systmes experts daudit. Les outils daudit assists par ordinateur peuvent tre mis en uvre dans le cadre de diverses procdures daudit, parmi lesquelles on peut citer : les tests sur les informations dtailles concernant les transactions et les soldes ; les procdures de revue analytique ; les tests de conformit des contrles informatiques gnraux ; les tests de conformit des contrles dapplication ; les tests de pntration. Les outils daudit assists par ordinateur peuvent gnrer une forte proportion de preuves daudit recueillies dans le cadre dun audit. Par consquent, lauditeur doit planifier avec soin le recours ces outils et faire preuve de conscience professionnelle lors de leur mise en uvre. 2. Planification Dcision de mettre en uvre les outils daudit assists par ordinateur Facteurs prendre en compte Lorsquil planifie les travaux daudit, lauditeur doit envisager une combinaison approprie de techniques manuelles et de techniques daudit assistes par ordinateur. Les facteurs prendre en compte pour dcider sil convient ou non de recourir aux outils daudit assists par ordinateur sont notamment les suivants : connaissances, comptence et exprience de lauditeur dans le domaine informatique ; disponibilit des outils daudit assists par ordinateur et de ressources informatiques appropries ; efficacit et efficience du recours aux outils daudit assists par ordinateur par rapport aux techniques manuelles ; contraintes de temps ; intgrit du systme dinformation et environnement informatique ; niveau du risque identifi.
16-2
SEPTEMBRE 2006
Principales tapes de la planification Pour prparer la mise en uvre des outils daudit assists par ordinateur slectionns, lauditeur doit procder comme suit : dfinir les objectifs daudit des outils daudit assists par ordinateur ; dterminer si les quipements informatiques, programmes/systmes et donnes de lorganisation sont accessibles et disponibles ; dfinir les procdures mettre en uvre (par exemple chantillonnage statistique, nouveau calcul, confirmation, etc.) ; dfinir les besoins en matire de donnes de sortie ; dterminer les ressources ncessaires en termes de personnel, doutils daudit assists par ordinateur et denvironnement de traitement (quipements informatiques de lorganisation ou spcifiques laudit) ; obtenir laccs aux quipements informatiques, programmes/systmes et donnes, y compris les dfinitions de fichiers, de lorganisation ; documenter les outils daudit assists par ordinateur utiliser, notamment les objectifs, les organigrammes gnraux et les modes demploi. Dispositions prendre avec le service audit Les fichiers de donnes, notamment ceux qui contiennent des informations dtailles sur les transactions, ne sont souvent conservs que pendant une dure limite ; lauditeur doit donc prendre des dispositions en vue de la conservation des donnes couvrant la priode daudit approprie. Les modalits daccs aux quipements informatiques, programmes/systmes et donnes de lorganisation doivent tre prcises suffisamment lavance afin de minimiser lincidence sur lenvironnement de production de lorganisation. Lauditeur interne doit valuer lincidence des modifications apportes aux programmes/systmes de production sur la mise en uvre des outils daudit assists par ordinateur. cet effet, il tient compte de lincidence de ces modifications sur lintgrit et lutilit des outils daudit assists par ordinateur, ainsi que sur lintgrit des programmes/systmes et des donnes utiliss par lauditeur. Vrification des outils daudit assists par ordinateur Lauditeur doit obtenir une assurance raisonnable de lintgrit, de la fiabilit, de lutilit et de la scurit des outils daudit assists par ordinateur, grce des travaux appropris de planification, de conception, de vrification, de traitement et dexamen de la documentation. Ces travaux doivent tre entrepris avant de sappuyer sur les outils daudit assists par ordinateur. La nature, le calendrier et ltendue des vrifications sont fonction de la disponibilit commerciale et de la stabilit des outils daudit assists par ordinateur.
SEPTEMBRE 2006
16-3
Scurit des donnes et des outils daudit assists par ordinateur Lorsque les outils daudit assists par ordinateur sont mis en uvre pour extraire des informations en vue dune analyse de donnes, lauditeur doit vrifier lintgrit du systme dinformation et de lenvironnement informatique dont les donnes sont extraites. Les outils daudit assists par ordinateur sont parfois utiliss pour extraire des informations sensibles sur les programmes/systmes et des donnes de production dont la confidentialit doit tre prserve. Lauditeur doit conserver les informations relatives aux programmes/systmes et les donnes de production avec un degr appropri de confidentialit et de scurit. cette fin, il tient compte du degr de confidentialit et de scurit requis par lorganisation propritaire des donnes et par la lgislation en vigueur. Lauditeur doit mettre en uvre des procdures appropries et documenter les rsultats obtenus de faon assurer en permanence lintgrit, la fiabilit, lutilit et la scurit des outils daudit assists par ordinateur. titre dexemple, ces procdures doivent comporter un examen des contrles relatifs la maintenance et la modification des logiciels daudit intgrs, afin de sassurer que seules des modifications autorises ont t apportes aux outils daudit assists par ordinateur. Lorsque ces outils sintgrent dans un environnement dont lauditeur na pas la matrise, un niveau de contrle appropri doit tre mis en place afin didentifier les modifications qui leur sont apportes. Lorsque les outils daudit assists par ordinateur sont modifis, et avant de les utiliser, lauditeur doit sassurer de leur intgrit, de leur fiabilit, de leur utilit et de leur scurit grce des mesures appropries de planification, de conception, de vrification, de traitement et dexamen de la documentation. 3. Ralisation des travaux daudit Collecte des preuves daudit Lauditeur doit contrler la mise en uvre des outils daudit assists par ordinateur afin dobtenir lassurance raisonnable que les objectifs de laudit sont remplis et que les spcifications dtailles des outils daudit assists par ordinateur ont t respectes. cet effet, lauditeur doit procder comme suit : effectuer un rapprochement des totaux de contrle, le cas chant ; sassurer de la vraisemblance des donnes de sortie ; procder un examen de la logique, des paramtres et des autres caractristiques des outils daudit assists par ordinateur ; examiner les contrles informatiques gnraux de lorganisation qui sont susceptibles de contribuer lintgrit des outils daudit assists par ordinateur (par exemple les contrles relatifs aux modifications des programmes et laccs au systme, au programme et/ou aux fichiers de donnes).
16-4
SEPTEMBRE 2006
Logiciels gnraux daudit Lorsquil utilise des logiciels gnraux daudit pour accder aux donnes de production, lauditeur doit prendre des mesures appropries pour prserver lintgrit des donnes de lorganisation. Dans le cas de logiciels daudit intgrs, lauditeur doit tre impliqu dans la conception du systme ; en outre, le dveloppement et la maintenance des outils devront tre assurs dans le cadre des systmes/programmes dapplication de lorganisation. Programmes utilitaires En cas de recours des programmes utilitaires, lauditeur doit sassurer quaucune intervention non prvue na eu lieu au cours du traitement et que le programme utilitaire provient de la bibliothque de systmes approprie. En outre, lauditeur doit prendre des mesures appropries pour prserver lintgrit des systmes et des fichiers de lorganisation, car ces utilitaires peuvent facilement les endommager. Donnes de test Lorsquil utilise des donnes de test, lauditeur ne doit pas perdre de vue que ces donnes ne font que mettre en vidence le risque de traitement erron ; cette technique ne permet pas dvaluer les donnes de production relles. Par ailleurs, lauditeur doit tre conscient que lanalyse des donnes de test peut savrer extrmement longue et complexe, selon le nombre de transactions traites, le nombre de programmes tests et la complexit des programmes/systmes. Avant dutiliser des donnes de test, lauditeur doit vrifier que ces donnes naffecteront pas de faon permanente le systme oprationnel. Traage logique et cartographie de logiciels dapplication Lorsquil utilise des outils de traage logique et de cartographie des logiciels dapplication, lauditeur doit obtenir la confirmation que le code source valu a gnr le programme objet actuellement utilis aux fins de la production. Il ne doit pas perdre de vue que ces outils ne font que mettre en vidence le risque de traitement erron et ne permettent pas dvaluer les donnes de production relles. Systmes experts daudit En cas de recours des systmes expert daudit, lauditeur doit possder une connaissance approfondie des oprations du systme, de faon obtenir la confirmation que les chemins de dcision suivis sont appropris compte tenu de lenvironnement/des circonstances de laudit.
SEPTEMBRE 2006
16-5
4. Documentation des outils daudit assists par ordinateur Documents de travail Les diffrentes tapes du processus daudit assist par ordinateur doivent tre suffisamment documentes pour fournir des preuves daudit adquates. En particulier, les documents de travail doivent contenir des informations suffisantes pour dcrire la mise en uvre des outils daudit assists par ordinateur, notamment sur les points numrs ci-aprs. Planification La documentation doit prciser : les objectifs des outils daudit assists par ordinateur ; les outils daudit assists par ordinateur mettre en uvre ; les contrles effectuer ; les effectifs et le calendrier. Excution La documentation doit inclure : les procdures et les contrles relatifs la prparation et la vrification des outils daudit assists par ordinateur ; des informations dtailles sur les tests effectus laide des outils daudit assists par ordinateur ; des informations dtailles sur les donnes entres (donnes utilises, description de fichiers, par exemple), les traitements (organigrammes des outils daudit assists par ordinateur, logique, etc.) et les documents de sortie (fichiers journaux, rapports, par exemple) ; la liste des paramtres ou du code source utiliss. Preuves daudit La documentation doit inclure : les donnes de sortie produites ; une description des travaux danalyse effectus sur ces donnes ; les observations daudit ; les conclusions de laudit ; les recommandations formules dans le cadre de laudit.
16-6
SEPTEMBRE 2006
5. Rapports Description des outils daudit assists par ordinateur La section du rapport consacre aux objectifs, ltendue des travaux et la mthodologie doit contenir une description claire des outils daudit assists par ordinateur utiliss. Cette description doit donner au lecteur un bonne vue densemble, sans tre trop dtaille. La description des outils utiliss doit galement figurer dans le corps du rapport, avec les observations relatives leur mise en uvre. Si la description des outils utiliss est trop dtaille, ou si elle concerne plusieurs observations, une prsentation succincte doit figurer dans la section du rapport consacre aux objectifs, ltendue des travaux et la mthodologie, avec un renvoi une annexe contenant une description plus dtaille. Annexe Glossaire Outils de traage logique et de cartographie des logiciels dapplication : outils spcialiss qui peuvent tre utiliss pour analyser le flux de donnes travers la logique de traitement des logiciels dapplication et pour documenter cette logique, les chemins, les conditions de contrle et les squences de traitement. Lanalyse peut porter tant sur le langage de commande ou dordonnancement des travaux que sur le langage de programmation. Cette technique inclut la cartographie du programme/ systme, le traage logique, les points de contrle instantans, les simulations parallles et la comparaison des codes. Systmes expert daudit : il sagit de systmes expert ou de systmes daide la dcision qui peuvent tre utiliss pour assister les auditeurs au cours du processus dcisionnel en automatisant les connaissances de spcialistes dans le domaine examin. Cette technique inclut lanalyse automatise des risques, les logiciels systme, et les progiciels bass sur des objectifs de contrle. Outils daudit assists par ordinateur : dsigne tous les outils daudit automatiss, tels que les logiciels gnraux daudit, les programmes utilitaires, les donnes de test, les outils de traage logique et de cartographie des logiciels dapplication et les systmes expert daudit. Logiciels gnraux daudit : dsigne un programme ou une srie de programmes informatiques conus pour excuter certaines fonctions automatises. Ces fonctions incluent la lecture de fichiers informatiques, la slection, la manipulation, le tri ou la synthse de donnes, les calculs, la slection dchantillons et limpression de rapports ou de lettres sous un format spcifi par lauditeur. Cette technique inclut les logiciels acquis ou dvelopps des fins daudit et les logiciels intgrs dans les systmes de production.
SEPTEMBRE 2006
16-7
Donnes de test : transactions simules pouvant servir tester la logique du traitement, les calculs et les contrles rellement programms dans les applications informatiques. Les tests peuvent porter sur des programmes individuels ou sur un systme entier. Cette technique englobe les mcanismes de test intgrs et les valuations de systmes sur la base dun scnario de rfrence. Programmes utilitaires : programmes informatiques fournis par un fabricant de matriel informatique ou un vendeur de logiciels et utiliss dans le cadre du fonctionnement du systme dexploitation. Cette technique peut tre utilise pour examiner le droulement du traitement, les programmes de test, les interventions systme et les procdures oprationnelles, valuer les activits sur les fichiers de donnes et analyser les donnes affrentes la comptabilisation des travaux.
16-8
SEPTEMBRE 2006
1230
Formation professionnelle continue

Les auditeurs internes doivent amliorer leurs connaissances, savoir-faire et autres comptences par une formation professionnelle continue.
MPA 1230-1 Formation Professionnelle Continue

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en matire de formation professionnelle continue. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les auditeurs internes ont la responsabilit de maintenir jour leurs connaissances. Ils doivent se tenir informs des progrs accomplis et des dveloppements en cours dans le domaine des normes, procdures et techniques daudit. La formation continue peut sacqurir par ladhsion et la participation des associations professionnelles, par lassistance des confrences, sminaires, sessions dtudes, et la participation aux actions internes de formation, ainsi que par la participation des programmes de recherche. 2. Il est conseill aux auditeurs internes dobtenir une certification attestant de leur comptence, telle que le titre dauditeur interne Certifi (CIA, Certified Internal Auditor) ou tout autre titre dlivr par lIFACI au nom de l'IIA. 3. Les auditeurs internes certifis doivent suivre une formation professionnelle continue approprie de faon remplir les conditions requises dans le cadre de la certification qui leur a t dlivre. 4. Les auditeurs internes qui ne sont pas encore certifis sont invits suivre un programme de formation adapt en vue dobtenir la certification.
OCTOBRE 2002
17
MPA SRIE 1300

Programme dassurance et damlioration qualit
1300 PROGRAMME D'ASSURANCE ET D'AMLIORATION QUALIT
LE RESPONSABLE DE L'AUDIT INTERNE DOIT LABORER ET TENIR JOUR UN PROGRAMME D'ASSURANCE ET D'AMLIORATION QUALIT PORTANT SUR TOUS LES ASPECTS DE L'AUDIT INTERNE ET PERMETTANT UN CONTRLE CONTINU DE SON EFFICACIT. CE PROGRAMME INCLUT LA RALISATION PRIODIQUE DVALUATIONS INTERNES ET EXTERNES DE LA QUALIT, AINSI QUUN SUIVI INTERNE CONTINU. IL DOIT TRE CONU DANS UN DOUBLE BUT : AIDER L'AUDIT INTERNE APPORTER UNE VALEUR AJOUTE AUX OPRATIONS DE LORGANISATION ET LES AMLIORER, ET GARANTIR QU'IL EST MEN EN CONFORMIT AVEC LES NORMES ET LE CODE DE DONTOLOGIE
Le contrle continu de lefficacit de laudit interne suppose une dfinition claire de ses objectifs qui doivent tre prciss dans la charte. Assurer la qualit implique la satisfaction des attentes des diffrentes parties prenantes de laudit interne telles que la direction gnrale, le Conseil, les auditeurs externes, ainsi que les autorits de tutelle et de contrle publiques ou prives. Il est donc impratif de les identifier et de reconnatre leurs attentes. La charte de laudit interne doit donner les grandes orientations en la matire. Les attentes des parties prenantes peuvent tre explicites ou implicites. Si elles ne sont pas formellement exprimes, on peut considrer quun service daudit interne qui se conforme aux normes et au code de dontologie et qui apporte de la valeur ajoute lorganisation rpond leurs attentes implicites. Le programme dassurance et damlioration de la qualit doit certes tre conu pour satisfaire les attentes des parties prenantes mais aussi pour que ces dernires peroivent que leurs attentes sont satisfaites. Il est donc important de communiquer largement sur les rsultats des revues internes et externes afin de renforcer la confiance que peuvent avoir les parties prenantes dans le travail et les rsultats de laudit interne, et leur donner l'assurance que lorganisation est bien sous contrle. Les attentes et les parties prenantes peuvent voluer dans le temps, de mme que les normes pour la pratique professionnelle de laudit interne. Cest pourquoi le programme dassurance et damlioration de la qualit doit tre attentif ces volutions et sadapter en consquence. cet gard, le responsable de laudit interne aurait avantage sinspirer du Rfrentiel Professionnel de lAudit Interne, dvelopp par IFACI Certification (se reporter la MPA 1312-3 Certification des directions daudit interne ou des rfrentiels gnriques de management de la qualit tels que la srie ISO 9000 ou le modle EFQM.
JUIN 2004
MPA 1300-1 Programme dAssurance et dAmlioration Qualit

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils conoivent ou valuent les programmes qualit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner dans le cadre de llaboration ou de lvaluation de programmes dassurance qualit dtaills. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Vue densemble des programmes dassurance et damlioration qualit Il appartient au responsable de l'audit interne de mettre en place un service daudit interne dont les travaux couvrent lensemble des activits mentionnes dans les Normes et dans la dfinition de laudit interne donne par lIIA (Introduction aux Normes). cette fin, la norme 1300 prvoit que le responsable de laudit interne doit laborer et tenir jour un programme d'assurance et d'amlioration qualit. 2. Mise en uvre des programmes dassurance et damlioration qualit Il appartient au responsable de l'audit interne de sassurer de la mise en uvre de processus permettant de donner aux diverses parties prenantes de laudit interne lassurance raisonnable que ce service : respecte sa Charte, qui doit tre conforme aux Normes Internationales pour la Pratique Professionnelle de lAudit Interne et au Code de Dontologie ; fonctionne dune faon efficace et efficiente ; contribue, aux yeux des parties prenantes, crer de la valeur ajoute et amliorer le fonctionnement de lorganisation. Ces processus doivent comporter une supervision approprie, des valuations internes priodiques et un suivi continu de lassurance qualit, ainsi que des valuations externes priodiques. 3. Nature et porte des programmes dassurance et damlioration qualit Ces programmes doivent tre suffisamment dtaills pour couvrir tous les aspects du fonctionnement et de la gestion dun service daudit interne, tels quils ressortent des Normes et des meilleures pratiques de la profession. Les processus dassurance et damlioration qualit doivent tre mis en uvre ou superviss par le responsable de laudit interne. Exception faite des services daudit interne de dimension modeste, le responsable de laudit interne dlgue gnralement ses subordonns la plupart des
4
JUIN 2004
SRIE 1300 - PROGRAMME DASSURANCE ET DAMLIORATION QUALIT
tches affrentes au programme dassurance et damlioration qualit. Dans le cadre de structures importantes ou complexes (grand nombre dunits et/ou de sites, par exemple), le responsable de laudit interne doit mettre en place une fonction Assurance et amlioration qualit formelle, indpendante des cellules audit et conseil du service daudit interne. Cette fonction indpendante doit tre dirige par un manager du service daudit interne. Celui-ci, assist dun nombre limit de collaborateurs, naccomplit pas en principe lensemble des fonctions dassurance et damlioration qualit, mais il en assure la gestion et le suivi. 4. Points cls dun programme dassurance et damlioration qualit Le programme dassurance et damlioration qualit doit tre conu de faon optimiser les comptences et, dans toute la mesure du possible, les revues doivent tre gres par des personnes indpendantes des fonctions et des activits examines. Le programme dassurance et damlioration qualit doit prendre en considration les tches essentielles du service daudit interne numres ci-dessous et qui sont effectues soit par le responsable du service, soit par une personne ou une unit fonctionnelle place sous sa supervision : superviser llaboration et la mise en uvre des procdures daudit interne ; administrer/mettre jour le manuel de procdures de laudit interne ; assister le responsable et les managers du service daudit interne dans llaboration du budget et la gestion financire du service ; effectuer et mettre jour une analyse dtaille des risques daudit, notamment par la collecte et la prise en compte de nouvelles informations ayant une incidence sur cette analyse ; superviser le partage des responsabilits entre laudit interne, laudit externe et les autres fonctions dvaluation et dinvestigation ; administrer le fonctionnement gnral du systme dvaluation des risques daudit et de planification long terme ; assister le responsable et les managers du service daudit interne dans ce domaine ; fournir une assistance dans le cadre du processus global de planification des missions daudit et de conseil ainsi que du suivi des temps passs correspondant ; assister les managers daudit interne dans lacquisition, la maintenance et lutilisation des outils daudit et le recours dautres technologies ; grer le recrutement externe ainsi que la participation de laudit interne la rotation interne du personnel de lorganisation et aux programmes de dveloppement des managers ; superviser la formation/le perfectionnement du personnel (slection ou conception de stages de formation, par exemple), et ladministration des processus dvaluation des performances et dvolution de carrire correspondants, y compris le systme de suivi de lvolution professionnelle de chacun des collaborateurs ;
JUIN 2004
superviser le (les) systme(s) de statistiques/dindicateurs relatif(s) laudit interne et denqutes post audit ou autres (telles que des enqutes menes auprs des clients et des autres parties prenantes du service audit interne) ; administrer/contrler les activits dassurance qualit et damlioration des processus, notamment les valuations formelles, internes ou externes, de la qualit ;
LIFACI a mis en place une dmarche spcifique en lieu et place de lvaluation externe, dmarche qui suit les strictes exigences de la Norme Europenne 45011 (qui dfinit les exigences relatives aux organismes procdant aux certifications de produits ou de services) et la Norme Europenne 45012 (qui spcifie les exigences relatives aux organismes certifiant selon les normes ISO). Il sagit de la certification des directions daudit interne dont les modalits sont dcrites dans la MPA 1312-3.
superviser/administrer la collecte dinformations et llaboration des rapports priodiques de synthse prsents la direction et au comit daudit par laudit interne (y compris les rapports concernant les rsultats des valuations internes et externes de la qualit) ; grer/mettre jour la base de donnes dtaille utilise pour le suivi des recommandations et des plans daction dcoulant des missions daudit interne, des travaux des auditeurs externes et des autres fonctions dvaluation et de contrle internes ; aider le responsable, les cadres et le personnel du service daudit interne se tenir informs de lvolution des Normes, des meilleures pratiques mergentes de la profession et de la rglementation, ainsi que des autres questions dactualit ou des opportunits qui concernent la direction de laudit interne. Les termes assister , administrer , grer , superviser , contrler et mettre jour ne signifient pas ncessairement que ces tches sont accomplies en majeure partie par la (les) personne(s) exerant la fonction dassurance et damlioration qualit. Ces tches sont plutt affectes dautres cadres ou membres du service daudit interne, soit ponctuellement pour certaines dentre elles, soit plus long terme, mais elles sont supervises, administres, etc., par le biais du programme dassurance et damlioration de la qualit.
JUIN 2004
1310
valuations du programme qualit

L'audit interne ncessite l'adoption d'un processus permettant de surveiller et d'valuer l'efficacit globale du programme qualit. Ce processus doit comporter des valuations tant internes qu'externes.
MPA 1310-1 valuations du Programme Qualit
Ces valuations sont destines la fois : au responsable de laudit interne comme donne dentre lamlioration de la qualit de laudit interne, aux parties prenantes de laudit interne qui peuvent sappuyer sur leur rsultat pour conforter la confiance quelles accordent laudit interne.
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils conoivent ou quils valuent les programmes qualit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
Dans la MPA prsente, le concept dvaluation externe est mentionn maintes reprises. Ce concept ne rpond pas aux exigences dfinies par lIFACI qui propose en substitution une dmarche de certification (cf MPA 1312-3). La conformit la MPA 1310-1 sapprcie, selon lIFACI, en remplaant lexpression valuation externe chaque fois quelle est utilise dans la MPA prsente par certification .
1. Suivi des programmes qualit Ce suivi consiste en des valuations priodiques ou continues de lensemble des prestations daudit et de conseil effectues par laudit interne, et ne se limite pas lvaluation de son programme dassurance et damlioration qualit (voir la MPA 1300-1). Ces valuations priodiques ou continues doivent reposer sur des processus rigoureux et dtaills, comprenant la fois une supervision continue et la mesure des performances des prestations daudit et de conseil, ainsi que des contrles priodiques du respect des Normes. Ce suivi doit comporter une
JUIN 2004
valuation et une analyse continues dindicateurs de performances (ralisation du plan daudit, dure des missions, recommandations acceptes et satisfaction des clients, par exemple). Sil savre, suite ces valuations, que des amliorations doivent tre apportes par laudit interne, ces amliorations doivent tre mises en uvre par le responsable de laudit interne qui sappuie cette fin sur le programme dassurance et damlioration qualit. 2. Dfinition et frquence des valuations Les valuations internes continues (lexpression valuation interne tant synonyme des termes revue interne et auto-valuation employs dans les MPA) doivent faire partie intgrante de la supervision, de la revue et de lvaluation de laudit interne, comme indiqu dans la MPA 1311-1, paragraphes 2 et 3. Les valuations internes priodiques doivent tre ralises comme indiqu dans la MPA 1311-1, paragraphes 4 et 5. Les valuations externes priodiques du service daudit interne sont effectues par une personne ou une quipe comptente et exprimente en matire daudit interne et doivent tre ralises conformment aux MPA 1312-1 et 1312-2 (nouvelle MPA).
Ne correspondant pas au contexte franais et lapproche de certification propose par lIFACI ces deux MPAs ont t transfres en annexe, la suite des PAs amricaines.
Les services daudit interne sont tenus de procder des valuations internes continues ou priodiques depuis le 1er janvier 2002. En outre, une valuation externe doit tre effectue au minimum tous les cinq ans compter de cette date. Il est possible de droger lobligation deffectuer une valuation interne priodique au cours de lanne durant laquelle une valuation externe est ralise.
La frquence de la certification de IFACI Certification, qui se substitue aux valuations externes, est de trois ans et non de cinq ans. Cette frquence correspond aux exigences des Normes qualit. lissue de la certification, un programme de suivi est tabli comprenant des visites de surveillance annuelles et un audit de renouvellement au terme de trois ans. Ce programme permet de sassurer que lorganisation et les prestations de la direction daudit interne certifie sont maintenues au niveau dexigences requis par le rfrentiel de certification utilis.
3. valuation des programmes qualit Lobjet de cette valuation est dapprcier la qualit des travaux daudit interne et dmettre des recommandations en vue de leur amlioration. Lvaluation des programmes qualit porte notamment sur les points suivants :
8
JUIN 2004
respect des Normes et du Code de Dontologie, et notamment mise en uvre, dans des dlais appropris, dactions correctrices visant remdier toute non-conformit significative ; caractre adquat de la Charte, des objectifs, des rgles et des procdures de laudit interne ; contribution aux processus de management des risques, de gouvernement dentreprise et de contrle de lorganisation ; respect des lois, rglementations, normes administratives ou sectorielles en vigueur ; efficacit des processus damlioration continue et adoption des meilleures pratiques ; contribution de laudit interne la cration de valeur ajoute et lamlioration du fonctionnement de lorganisation. 4. Amlioration continue Tout programme dvaluation et damlioration de la qualit doit dboucher sur une modification approprie, effectue dans des dlais raisonnables, des ressources, des technologies, des processus et des procdures. 5. Communication des rsultats Par souci de transparence, le responsable de l'audit interne doit communiquer les rsultats des valuations externes et, si ncessaire, des valuations internes du programme qualit, aux diverses parties prenantes de laudit interne, telles que la direction gnrale, le Conseil et les auditeurs externes.
JUIN 2004
1311
valuations Internes
Les valuations internes doivent comporter : des contrles continus du fonctionnement de l'audit interne ; des revues priodiques, effectues par auto-valuation ou par d'autres personnes de l'organisation connaissant les pratiques d'audit interne et les Normes.
MPA 1311-1 valuations internes

Par valuation interne, on entend interne lorganisation mais pas au service daudit, lexception de lauto-valuation.
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils procdent des valuations internes de leur service. La prsente MPA na pas pour but de dcrire de faon exhaustive toutes les procdures mettre en uvre dans le cadre de ces valuations. Elle a seulement pour objet de formuler une srie de recommandations. Le respect des Modalits Pratiques dApplication est facultatif. 1. Vue densemble dun programme dassurance et damlioration qualit Il appartient au responsable de l'audit interne de mettre en place un service daudit interne dont les travaux couvrent lensemble des activits mentionnes dans les Normes et dans la dfinition de laudit interne donne par lIIA (cf. Introduction aux Normes). cette fin, la norme 1300 prvoit que le responsable de laudit interne doit laborer et tenir jour un programme d'assurance et d'amlioration qualit. Ce programme doit comporter des valuations internes continues et priodiques (lexpression valuation interne tant synonyme des termes revue interne et auto-valuation employs dans les MPA). Ces valuations continues ou priodiques doivent couvrir lensemble des prestations daudit et de conseil fournies par laudit interne et ne doivent pas tre limites lvaluation de son programme dassurance et damlioration qualit (voir la MPA 1300-1). 2. valuations internes continues Ces valuations sont gnralement incorpores dans les procdures et les pratiques courantes de gestion du service daudit interne. Elles doivent reposer notamment sur les processus et outils suivants :
10
JUIN 2004
supervision des missions selon les modalits dcrites dans la MPA 2340-1 relative la Supervision des missions ; listes de contrle et autres procds permettant de sassurer que les processus adopts par laudit interne (par exemple dans un manuel daudit et de procdures) sont suivis ; informations fournies, en retour, par les clients et les parties prenantes de laudit interne ; budgets par projet, systmes de suivi des temps passs, ralisation du plan daudit, recouvrement des cots ; analyses dautres indicateurs de performance (par ex. dure des missions et taux de recommandations acceptes). 3. Il convient de conclure sur la qualit des prestations, et deffectuer un suivi afin de sassurer que les amliorations appropries sont mises en uvre. 4. valuations internes priodiques Ces valuations correspondent gnralement des revues et des contrles de conformit ponctuels, finalit spcifique. Elles ont pour objet (a) de s'assurer du respect de la Charte de laudit interne, des Normes Internationales pour la Pratique Professionnelle de lAudit Interne (les Normes ) et du Code de Dontologie, et (b) dapprcier lefficacit du service, notamment sa capacit rpondre aux besoins de ses diverses parties prenantes. Le Manuel de lIIA relatif lvaluation de la qualit (Quality Assessment Manual), ou un ensemble comparable de lignes directrices et doutils, doivent servir de base aux valuations internes priodiques.
IFACI Certification a labor un Rfrentiel Professionnel de lAudit Interne sappuyant sur les Normes quil rpartit en : exigences de prestations ; exigences de moyens ; exigences de pilotage et de contrle. Ce Rfrentiel, conu aux fins de certification dune direction daudit interne par IFACI Certification, peut aussi tre utilis pour les valuations internes. Il est disponible auprs de lIFACI.
5. Les valuations priodiques peuvent : comporter des enqutes et des entretiens plus approfondis avec les parties prenantes de laudit interne ; tre ralises par les membres de laudit interne (auto-valuation) ;
JUIN 2004
11
tre ralises par des auditeurs internes certifis CIA, ou par dautres professionnels de laudit, intervenant dans dautres dpartements de lorganisation ;
LIFACI est centre dexamen du CIA en France.
combiner auto-valuation et prparation de documents revues ultrieurement par des auditeurs internes certifis CIA ou par dautres professionnels de laudit ; inclure une tude comparative des pratiques et des indicateurs de performance de laudit interne et des meilleures pratiques de la profession. 6. Une valuation interne priodique, ralise peu de temps avant une valuation externe, peut faciliter cette dernire et en rduire le cot. Si lvaluation externe prend la forme dune auto-valuation suivie dune validation indpendante (nouvelle MPA 1312-2), lvaluation interne priodique peut tenir lieu dauto-valuation dans le cadre de ce processus.
Cette disposition ne sinscrit pas dans la dmarche de certification d'IFACI Certification qui suit un processus clairement tabli et rpondant strictement aux exigences de la Norme Europenne 45011 qui fait loi en matire dorganismes procdant des certifications de produits ou de services. Lautovaluation suivie dune validation indpendante nest en aucune manire prvue dans le dispositif dIFACI Certification.
7. Il convient de conclure sur la qualit des prestations et prendre toute mesure approprie pour, en tant que de besoin, mettre en uvre les amliorations et assurer la conformit aux Normes. 8. Le responsable de l'audit interne doit mettre en place un systme de diffusion des rsultats des revues priodiques permettant de prserver la crdibilit du service et de garantir son objectivit. En rgle gnrale, les personnes charges des revues continues et priodiques doivent rendre compte au responsable de l'audit interne au cours de leurs revues et lui adresser directement leurs rsultats. 9. Communication des rsultats Le responsable de l'audit doit informer les personnes intresses extrieures laudit interne, telles que le Conseil, la direction gnrale, et les auditeurs externes, des rsultats des valuations internes, des plans daction mettre en uvre et de la mise en uvre effective de ces derniers.
Le responsable de laudit interne apprciera lopportunit et adaptera lampleur de la communication des rsultats pour chaque partie prenante. La communication des rsultats des revues internes aux auditeurs externes peut permettre de favoriser un climat de confiance propice la coopration entre audit interne et audit externe.
12
JUIN 2004
MPA 1311-2 Mise en place dindicateurs (valuations quantitatives et qualitatives) lappui des contrles de la performance de lactivit daudit interne
Nature de cette Modalit Pratique dApplication : La prsente MPA sinscrit dans le prolongement de la MPA 1311-1 et contient des recommandations concernant la mise en place dindicateurs de mesure de la performance de lactivit daudit interne. Ces recommandations nont pas vocation constituer le support unique pour la mise en place dindicateurs de performance, mais complter les Normes internationales pour la pratique professionnelle de laudit interne (ci-aprs les Normes ) et les autres pratiques courantes en matire dvaluation. La prsente MPA contient des exemples dindicateurs spcifiques, jugs essentiels par les responsables de laudit interne ; toutefois, il nexiste pas de srie dindicateurs universelle, pertinente pour toutes les activits daudit. La mise en place dindicateurs, tant quantitatifs que qualitatifs, est importante car elle permet de dmontrer les performances du service audit aux principales parties prenantes. Le respect des Modalits Pratiques dApplication est facultatif.
Introduction Aux termes de la Norme 1310, laudit interne ncessite ladoption dun processus permettant de surveiller et dvaluer lefficacit globale du programme qualit. Ce processus doit comporter des valuations tant internes quexternes. La MPA 1311-1 suggre de sappuyer sur lanalyse dindicateurs de performance, entre autres lments, pour procder ces revues internes. Outre le respect des Normes, les indicateurs de performance de lactivit daudit peuvent porter sur les points suivants : niveau de contribution lamlioration des processus de management des risques, de contrle et de gouvernement dentreprise, ralisation des objectifs majeurs fixs, apprciation du taux de ralisation du plan daudit, amlioration de la productivit du personnel, amlioration du rapport cot-efficacit du processus daudit, augmentation du nombre de plans dactions visant amliorer les processus, planification et supervision satisfaisantes des missions, capacit rpondre efficacement aux besoins des parties prenantes, caractre suffisant des revues dassurance qualit, etc.
SEPTEMBRE 2006
12-1
Mise en place du processus dvaluation des performances Pour dfinir des indicateurs de performance pertinents, le responsable de laudit interne doit mettre en place un processus permettant : didentifier les critres de performance essentiels (satisfaction des parties prenantes internes, par exemple). La prsente MPA suggre de retenir les critres suivants : satisfaction des parties prenantes, processus daudit interne, capacits dinnovation et comptences ; de dfinir des stratgies et des indicateurs par critre de performance. Les stratgies doivent tre mises en uvre selon des modalits conformes aux Normes, dautres normes professionnelles appropries ainsi quaux lois et rglements en vigueur, et permettre de donner satisfaction aux parties prenantes. Lutilisation dindicateurs de performance peut tre un lment du processus dvaluation interne mis en uvre par lactivit daudit interne pour se conformer aux Normes ; de sassurer que les indicateurs de performance font rgulirement lobjet dun suivi, danalyses et de reporting. Le responsable de laudit interne doit sassurer que les indicateurs mis en place sont appropris compte tenu du volume dactivit, du secteur concern, du pays, des lois et rglements nationaux et de lenvironnement dans lequel lorganisation opre. Les indicateurs de performance doivent tre spcifiques lorganisation et il est dconseill au responsable de laudit interne de sappuyer sur des indicateurs gnraux qui ne sont pas significatifs compte tenu de lactivit spcifique du service audit. Le schma A figurant la fin de la prsente Modalit Pratique dapplication contient des exemples dindicateurs qui pourraient tre considrs comme importants par les responsables de laudit interne. Identification des critres de performance essentiels Comme indiqu ci-dessus, le responsable de laudit interne doit identifier les critres de performance essentiels, tels que la satisfaction des parties prenantes, les processus daudit, les capacits dinnovation et les comptences de laudit interne. Le comit daudit, les cadres dirigeants, certains organismes publics externes, les instances rglementaires et les auditeurs externes peuvent, entre autres, figurer parmi les parties prenantes. Les processus daudit comprennent notamment lvaluation des risques, la planification et les mthodologies daudit. Pour les capacits dinnovation et les comptences, on peut retenir, par exemple, lutilisation efficace des technologies, la formation et la connaissance du secteur.
12-2
SEPTEMBRE 2006
Dfinition des stratgies et des indicateurs par critre de performance Les Normes, dautres normes professionnelles en vigueur, les plans stratgiques de lorganisation et de lactivit daudit interne, les lois et rglements, ainsi que la charte et la mission de laudit interne, constituent un support efficace pour dterminer les stratgies appropries pour chaque critre de performance. Les stratgies et les indicateurs par critre de performance reposent sur ce support et sur une analyse de la satisfaction des parties prenantes. Le schma 1 ci-dessous contient des exemples de critres de performance :
Parties prenantes internes et externes En rgle gnrale, les principales parties prenantes (ou principaux clients ) de lactivit daudit interne sont scindes en deux catgories : les parties prenantes internes qui comprennent, par exemple, le conseil dadministration/comit daudit, la direction gnrale et les cadres oprationnels ; les parties prenantes externes, parmi lesquelles peuvent figurer les instances rglementaires et laudit externe. Le responsable de laudit interne doit recenser les parties prenantes pertinentes, ainsi que tous les produits et services importants, ou qui devraient ltre, aux yeux de chaque partie prenante. Il lui appartient dvaluer leur degr actuel de satisfaction et leurs priorits, ainsi que les carts dtects. Ces valuations peuvent tre ralises au moyen dentretiens, de runions et/ou de questionnaires. En cas dcarts, il est conseill au responsable de laudit interne dlaborer un plan daction appropri.
SEPTEMBRE 2006
12-3
Il peut savrer ncessaire de procder des rapprochements des degrs de satisfaction des diverses parties prenantes afin de les corroborer. Les points examiner pour recenser les parties prenantes et valuer leur satisfaction sont notamment les suivants : tendue de la rglementation pour lorganisation et/ou lactivit audit ; relations avec les principales parties prenantes internes et externes ; nature de lorganisation (publique ou prive, par exemple). Processus daudit interne Il convient de tenir compte des Normes de fonctionnement de lIIA/IFACI pour dfinir les critres dvaluation des performances applicables aux processus daudit interne. Les principales prestations requises par la charte daudit interne doivent galement tre prises en compte. Des critres spcifiquement adapts aux missions de conseil en gestion [qui ne suivent pas ncessairement les mmes processus que les missions daudit] et aux enqutes de fraude, mentionnes dans la charte de laudit interne, peuvent tre dfinis. Voici des exemples de critres applicables aux processus daudit interne et des points valuer pour chaque critre : a. valuation des risques/Planification des audits Un retour dinformations est-il obtenu des principales parties prenantes (comit daudit, direction gnrale et auditeur externe) pour savoir si laudit interne a trait efficacement les questions lies aux risques ? Laudit interne value-t-il dans quelle mesure les principaux domaines risques sont examins ? b. Planification et ralisation de la mission daudit Des plans daudit appropris, intgrant le champ de la mission, les objectifs, le calendrier et les ressources alloues, sont-ils tablis pour chaque mission ? Les audits sont-ils raliss conformment aux mthodologies daudit tablies et aux pratiques en vigueur ?
12-4
SEPTEMBRE 2006
c. Communication et prsentation de rapports Un retour dinformations est-il obtenu des principales parties prenantes sur la qualit, le niveau de dtail et la frquence des communications des rsultats de laudit ? Laudit interne value-t-il dans quelle mesure les principales recommandations sont mises en uvre ? Capacits dinnovation et comptences Il convient de tenir compte des Normes de qualification et des Normes de fonctionnement pour dfinir les critres dvaluation des performances relatifs aux capacits dinnovation et aux comptences de laudit interne. Voici des exemples de critres et de points valuer : a. Formation Les valuations en place permettent-elles de sassurer que les auditeurs reoivent une formation suffisante (heures de formation par collaborateur, participation des formations sur les thmes essentiels, etc.) ? La satisfaction des auditeurs en matire de formation est-elle value ? Le nombre de certificats obtenus par lquipe fait-il lobjet dun suivi ? b. Utilisation des technologies Des objectifs ont-ils t fixs en matire de formation du personnel lutilisation des technologies ? Des indicateurs sont-ils en place pour sassurer que ces objectifs sont atteints ? Des objectifs ont-ils t fixs en matire dutilisation des technologies pour soutenir efficacement les tests et analyses daudit ? Des indicateurs sont-ils en place pour sassurer que ces objectifs sont atteints ? c. Connaissance du secteur Des indicateurs sont-ils en place pour sassurer que le personnel possde une connaissance suffisante du secteur, de lactivit, des oprations et des principales fonctions (par exemple, valuation de la participation des ateliers dorientation, des projets daudit dans des domaines cls, des travaux oprationnels) ?
SEPTEMBRE 2006
12-5
Mise en place dun processus efficace dvaluation et de reporting des performances Le responsable de laudit interne doit mettre en place un processus dvaluation qui favorise ladhsion aux objectifs assigns au service audit et qui comporte une valuation approprie de la ralisation de ces objectifs. Un processus permanent efficace comprend les lments suivants : des indicateurs de performance conformes aux Normes, aux objectifs stratgiques cls ainsi quaux lois et rglements en vigueur. Il peut sagir dindicateurs tant qualitatifs que quantitatifs. Les points valuer doivent consister en des objectifs et/ou des normes clairs, mesurables, ralisables et ralistes ; des processus cohrents de collecte, de synthse et danalyse des donnes, permettant un retour dinformations dans des dlais appropris ; des processus permettant de sassurer que les indicateurs sont actualiss au fur et mesure de lvolution des attentes, de la situation, des priorits et des objectifs ; des rapports sur les rsultats du processus dvaluation lattention des responsables de dpartement et des principales parties prenantes ; un rapport annuel, lattention du comit daudit, sur lefficacit de laudit interne. Le tableau 2 ci-dessous contient un exemple concernant les modalits dapplication du processus dvaluation des performances. Cet exemple porte sur les indicateurs de performance relatifs aux capacits dinnovation et aux comptences, et notamment sur le lien entre la stratgie de lentreprise et la stratgie de laudit. Stratgie de lorganisation Exploiter les capacits des systmes cls afin dtablir les principaux rapports financiers et rapports de gestion et dautomatiser les contrles internes
Stratgie daudit interne Exploiter les fonctions de reporting des systmes cls afin dauditer les applications sous-jacentes aux principaux processus audits
Critre de performance : capacits dinnovation et comptences Stratgie : recruter du personnel et le former lmission de rapports informatiss et laudit Indicateurs : heures de formation par auditeur sur les systmes concerns nombre de collaborateurs ayant lexprience de laudit de systmes
12-6
SEPTEMBRE 2006
Pour des recommandations plus dtailles et des exemples, veuillez consulter la liste cidessous. Modalits Pratiques dApplication concernes et autres sources MPA 2100-3 : Le rle de laudit interne dans le processus de management des risques MPA 2140-4 : Le rle de laudit interne en labsence de processus de management des risques MPA 1300-1 : Programme dassurance et damlioration qualit MPA 1310-1 : valuations du programme qualit MPA 1311-1 : valuations internes MPA 1312-1 : valuations externes MPA 1312-2 : valuations externes et auto-valuation avec validation indpendante des rsultats MPA 1320-1 : Rapports relatifs au programme qualit MPA 1330-1 : Audits effectus conformment aux Normes Autres sources : Manuel dvaluation de la qualit publi par The Institute of Internal Auditors. Le management des risques de lentreprise Cadre de rfrence, Committee of Sponsoring Organizations of the Treadway Commission (COSO). 20 Questions Directors Should Ask About Internal Audit (20 questions que les administrateurs devraient poser sur laudit interne), de John Fraser et Hugh Lindsay. Cet ouvrage est publi sur le site web de lIIA. Il a t parrain par The IIA Research Foundation, the Canadian Institute of Chartered Accountants, et the Institute of Corporate Directors. Global Auditing Information Network de lIIA (GAIN). Ce rseau dinformations permet aux organisations de comparer la taille de leur dpartement daudit, lexprience et lexpertise de ses membres et dautres indicateurs, aux moyennes obtenues pour des organisations de taille similaire de leur secteur. A Balanced Scorecard Framework for Internal Auditing Departments (Un tableau de bord prospectif lintention des services daudit interne), de Mark L. Frigo, Ph.D., CPA, CMA. Ce livre a t parrain par the Institute of Internal Auditors Research Foundation.
SEPTEMBRE 2006
12-7
Le schma A ci-dessous a t extrait et adapt partir de louvrage intitul A Balanced Scorecard Framework for Internal Auditing Departments . Ce schma recense les valuations de performance qui ont t juges importantes par un chantillon de responsables de laudit interne. Il convient de slectionner des indicateurs de performance spcifiques rpondant aux besoins propres de son service.
12-8
SEPTEMBRE 2006
1312
valuations Externes
Des valuations externes doivent tre ralises au moins tous les cinq ans par un valuateur ou une quipe qualifis et indpendants extrieurs l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet du besoin ventuel d'augmenter la frquence de ces valuations externes, ainsi que des qualifications et de l'indpendance de l'valuateur ou de l'quipe d'valuation externes ; en particulier, tout conflit d'intrt potentiel doit tre examin. Ces discussions doivent aussi porter sur l'adquation de l'exprience de l'valuateur ou de l'quipe d'valuation la taille, la complexit et au secteur d'activit de l'organisation.
MPA 1312-1 valuations externes MPA 1312-2 valuations externes et auto-valuation avec validation indpendante des rsultats
Les traductions franaises de la PA originale 1312-1 valuations externes et de la PA 1312-2 valuation externe et auto-valuation avec validation indpendante des rsultats figurent en annexe (Partie III : Practice Advisories de The IIA Professional Practices Framework).
MPA 1312-3 Certification des directions daudit interne

Cette MPA a t labore par lIFACI qui a mis en place une dmarche spcifique et plus adapte, en lieu et place de lvaluation externe : la certification des directions daudit interne. Elle se substitue aux PA 1312-1 et 1312-2 Nature de cette Modalit Pratique dApplication Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils souhaitent faire certifier leur service daudit interne afin de rpondre aux exigences de la norme 1312. La prsente MPA na pas pour but de procder un expos exhaustif de tous les points examiner dans le cadre dune certification. Elle a seulement pour objet de formuler une srie de recommandations. Le respect des Modalits Pratiques dApplication est facultatif. 1. Considrations dordre gnral Les raisons qui ont amen lIFACI proposer une certification La certification a trouv sa raison dtre dans la norme 1312 qui exige que des valuations externes du service daudit interne soient menes au moins tous les cinq ans.
SEPTEMBRE 2006
13
Mais tant donn que nous n'avons aucune certitude que les revues telles quexposes par la MPA 1312-1 seront ralises par les organismes ayant les comptences adquates ; que par ailleurs, en raison des lectures diffrentes que lon peut faire des normes professionnelles, ces valuations risquent dtre htrognes et donc difficilement comparables ; quenfin, mme effectues par des organismes comptents, elles risquent de n'tre reconnues que par un cercle troit dinitis, l'IFACI a considr qu'il tait ncessaire de proposer une autre offre et surtout daller plus loin que ces simples valuations externes. Quelles sont les raisons qui doivent amener les services daudit interne se faire certifier ? Pour apporter sa pleine contribution la cration de valeur ajoute, laudit interne doit constamment communiquer sur les services quil propose, sur ses critres et exigences propres de qualit et sengager se conformer des rfrentiels reconnus au plan international. Pour y parvenir, il est indispensable que le service daudit interne se dote de procdures et de mthodes de travail permettant le respect de ces rfrentiels, quil value rgulirement la conformit de ses activits et services aux exigences de qualit fixs et la satisfaction de ses clients, et enfin, quil mette en uvre un plan damlioration de la qualit. Tout ceci trouve son aboutissement dans une large communication de ce que fait laudit interne et des engagements quil a pris, ce qui permet de renforcer le positionnement du service au sein de lorganisation, de dynamiser lquipe daudit interne et de promouvoir le rle et lapport de laudit interne auprs de ses clients et parties prenantes. 2. Loffre de certification : Le certificat que propose lIFACI a pour objet de donner une assurance sur la qualit des prestations et le respect des normes de laudit interne ou de la norme ISO 9001. Ce certificat, dlivr par lorganisme de rfrence quest lIFACI, sera de ce fait crdible, ce qui permettra aux directions daudit interne de sen prvaloir auprs de leur direction gnrale, de leur comit daudit, de leurs parties prenantes mais galement des pouvoirs publics. Ce certificat vient complter le dispositif dj existant, savoir les Normes, le Code de Dontologie et le CIA (Certified Internal Auditor) et consacrer encore davantage le professionnalisme de laudit interne. Trois offres de certifications existent : La certification selon le Rfrentiel Professionnel de lAudit Interne : il sagit de certifier le contenu et le niveau de services rendus par la direction daudit interne par rapport un rfrentiel trouvant sa source et sa lgitimit dans les normes de lIIA. La certification ISO 9001 version 2000 qui porte sur les caractristiques et les principes de fonctionnement du Systme de Management de la Qualit (SMQ) des directions daudit interne. Le SMQ est lensemble cohrent des ressources humaines, des rgles et des moyens permettant dassurer un niveau de qualit du service rendu et lamlioration continue de lactivit.
14
JUIN 2004
La certification combine. LIFACI propose dabord et avant tout la premire certification qui sappuie sur un rfrentiel exigeant et pragmatique fond sur les Normes Professionnelles de lAudit Interne de lIIA/IFACI, Normes reconnues au niveau international. Ce rfrentiel a t prpar par une quipe de professionnels de laudit interne, dment valid par un comit de validation, compos de reprsentants des directions daudit interne, dutilisateurs et dexperts en audit interne. 3. Les rfrentiels et leur plan de contrle associ Le Rfrentiel Professionnel de lAudit Interne et son plan de contrle : ce rfrentiel est structur selon les rgles de prsentation des rfrentiels qualit avec des exigences de prestations, de moyens, de pilotage et de contrle. Il sappuie sur les normes professionnelles de laudit interne, ce qui lui confre sa lgitimit et intgre les remarques formules par le comit de validation, ce qui en fait un rfrentiel la fois exigeant et pragmatique. Le comit de validation est compos de 15 personnes rparties entre 3 collges : les responsables de services daudit interne, les utilisateurs de laudit interne, les experts. Le rfrentiel saccompagne dun plan de contrle qui explicite les caractristiques certifier en termes de points de contrle et de preuves possibles. Il assure une homognit des travaux des auditeurs et des conclusions du comit de certification. La norme ISO 9001 et son plan de contrle : cest un rfrentiel gnrique qui peut sappliquer tous les services dune entreprise et donc notamment un service daudit interne. Il fournit les exigences relatives au systme de management de la qualit que le service doit mettre en place en vue de la certification. Le plan de contrle associ dcoule directement de la norme ISO 9001. En raison du caractre gnrique de cette norme, un guide dapplication un service daudit interne a t labor. Il sert de document de travail aux auditeurs certificateurs. 4. Lorganisation mise en place Elle a dbut avec la cration de la SARL IFACI Certification. IFACI Certification doit elle-mme rpondre des exigences de qualit, ce qui a amen la rdaction dun manuel qualit, de rgles de certification et de procdures de travail. Le rfrentiel professionnel de laudit interne et son plan de contrle associ ont t labors par lquipe projet et soumis au comit de validation, voqu prcdemment. Deux des points cls de cette dmarche sont limpartialit et dindpendance de la certification. Pour les assurer, un comit de certification a t cr. Il se compose de reprsentants des services daudit interne, des utilisateurs de laudit interne et dexperts. Son rle majeur est dassurer limpartialit de toute dcision de certification, les rsultats de chaque audit tant examins et valids par deux membres du comit de certification, donc deux personnes nayant pas particip laudit lui-mme. Enfin, IFACI Certification a constitu un rseau dauditeurs, professionnels de laudit interne et/ou de la qualit, forms au rfrentiel et au processus de certification.
JUIN 2004
15
Toute cette organisation rpond aux exigences strictes des Normes europennes 45011 (qui dfinit les exigences relatives aux organismes procdant aux certifications de produits ou services) et 45012 (qui spcifie les exigences relatives aux organismes certifiant selon les normes ISO). 5. Qualifications requises pour tre auditeur certificateur Les auditeurs certificateurs approuvs par IFACI Certification sont soit des consultants soit des salaris. Les auditeurs approuvs doivent suivre une formation dispense par IFACI Certification. Cette formation porte la fois sur la politique qualit dIFACI Certification, sur la dmarche daudit, sur les rfrentiels utiliss et les rgles de certification. Les auditeurs et le responsable de lquipe sont valus aprs chaque mission, respectivement par le responsable de lquipe et par le comit de certification. Ces valuations sont analyses par IFACI Certification et suivies dactions correctives si ncessaires. Lquipe daudit doit collectivement respecter les critres ci-aprs : Certification audit interne : tre formateur dans le domaine des normes professionnelles de laudit interne ou avoir suivi une formation reconnue celles-ci ou au Rfrentiel Professionnel d'Audit Interne, avoir une exprience de trois ans au minimum de la pratique de laudit interne, au cours dune priode rcente, avoir au moins un membre CIA (Certified Internal Auditor), certificat dlivr par lIIA/IFACI, tre indpendant de lorganisation dont le service daudit interne est audit. Certification audit qualit : avoir suivi une formation reconnue soit au niveau national soit international pour auditeurs ou responsables daudit, conformment aux exigences de la norme ISO 19011, avoir particip au moins quatre audits qualit ou un quivalent de vingt jours pendant les deux dernires annes, tre indpendant de lorganisation dont le service daudit interne est audit. 6. Indpendance Les auditeurs dIFACI Certification ainsi que les membres du Comit de Certification signent une clause de confidentialit et de renoncement lactivit de conseil affrente lobjet de la certification. De plus, le fait que chaque dossier de certification soit revu et valid par deux membres de ce mme Comit qui nont pas particip la mission donnent une assurance supplmentaire quant limpartialit de la dcision prise.
16
JUIN 2004
7. Le processus de certification Le schma ci-aprs en reprend les principales tapes :

Le SAI adresse sa demande IFACI CERTIFICATION IFACI CERTIFICATION examine sa recevabilit Le SAI reoit une proposition d'intervention incluant une slection d'auditeurs 1re option : Les auditeurs ralisent un diagnostic ou un audit blanc Mise niveau des prestations du service d'audit interne ou du SMQ 2e option : Les auditeurs ralisent l'audit de certification Les conclusions de l'audit sont prsentes au Comit de Certification Le Comit de Certification valide les conclusions de l'audit et propose la dlivrance du certificat Un programme de suivi de la certification est tabli (audit annuel de suivi et audit de renouvellement tous les trois ans)
En mme temps que lenvoi de la proposition dintervention au service candidat, IFACI Certification lui demande un certain nombre de documents en vue de raliser une revue documentaire pralable. Celle-ci est dterminante dans la mesure o elle permettra dorienter le service vers un diagnostic ou un audit blanc si elle rvle un grand nombre dcarts avec le rfrentiel (diagnostic) ou quelques carts ou incertitudes (audit blanc) ou encore de reporter laudit en cas de lacune majeure. Raliser lune ou lautre, ou les deux, de ces missions permet au service daudit interne de bien se prparer la certification et de se mettre niveau par rapport au rfrentiel. En revanche, ni le diagnostic ni laudit blanc ne garantissent la dtection de toutes les non-conformits existantes, ntant pas aussi exhaustifs quun audit de certification. La mise niveau qui suivra ventuellement ne sera en aucune manire ralise par IFACI Certification qui sinterdit toute prestation de conseil (comme dj not, les audi JUIN 2004
17
teurs certificateurs signent, cet gard, une clause de renoncement toute prestation de conseil pour le service concern, pour les deux annes qui suivent lintervention). Ceci permet de prserver lobjectivit d'IFACI Certification. 8. Quel est le retour sur investissement escompt dune certification ? Pour un service daudit interne : la certification lui offre lopportunit de sengager concrtement dans un plan damlioration continue de la qualit et de lamener slever au niveau des meilleures pratiques. Par ailleurs, la certification, en rvlant certaines insuffisances, peut convaincre la direction gnrale de la ncessit dallouer laudit des ressources supplmentaires et dlargir son champ dintervention. Enfin, et cela nest pas le moindre des avantages, elle contribue vendre laudit interne auprs de la direction gnrale, du comit daudit, des audits, bref de toutes les personnes que les auditeurs certificateurs sont amens rencontrer dans le cadre de leurs diligences. Pour la direction gnrale : elle atteste la capacit de laudit interne jouer efficacement son rle en matire de contrle, de management des risques et de gouvernement dentreprise. Ceci est dautant plus important que la Loi de Scurit Financire et le Sarbanes OIxley Act attribuent un rle minent laudit interne dans le domaine du contrle interne. Ainsi une direction daudit interne certifie est un gage de son professionnalisme et une assurance de la qualit de ses travaux, sur lesquels le prsident pourra sappuyer, en toute confiance, pour rdiger son rapport. Mentionner cette certification dans le rapport du prsident pourra tre peru, par le march, comme un signe fort de la volont de la direction de se donner les moyens davoir la matrise de son systme de contrle interne. Le rgulateur comme les investisseurs devraient s'en rjouir. .
18
JUIN 2004
1320
Rapports relatifs au programme qualit

Le responsable de l'audit interne doit communiquer au Conseil les rsultats des valuations externes.
MPA 1320-1 Rapports relatifs au programme qualit
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils communiquent les rsultats du programme qualit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Au terme dune valuation externe, un rapport doit tre prpar dans lequel lvaluateur exprime son opinion sur le respect des Normes par le service de laudit interne. Le rapport doit aussi traiter du respect de la Charte daudit et des autres normes applicables, et inclure toutes recommandations appropries. Le rapport doit tre adress la personne ou lorgane qui a demand lexamen. Le responsable de l'audit interne doit prparer un plan dactions crit pour rpondre aux commentaires importants et aux recommandations contenus dans le rapport. Il appartient galement au responsable de l'audit interne dassurer un suivi appropri de la mise en place des actions correctrices. 2. Lvaluation du degr de conformit aux Normes constitue un point cl des valuations externes. Lquipe qui en est charge doit connatre les Normes pour tre en mesure de vrifier leur application par le service daudit interne et pour pouvoir formuler une opinion cet gard. Toutefois, comme indiqu dans la Modalit Pratique dApplication n 1310-1, ces critres ne sont pas les seuls prendre en compte pour valuer les performances dudit service.
LIFACI recommande de se reporter aux modalits dcrites dans la MPA 1312-3 Certification des directions daudit interne .
JUIN 2004
19
1330
Utilisation de la mention Conduit conformment aux Normes

Les auditeurs internes sont encourags indiquer dans leurs rapports que leurs activits sont conduites conformment aux Normes pour la pratique professionnelle de l'audit interne . Toutefois, ils ne peuvent utiliser cette mention que si les valuations du programme d'amlioration qualit dmontrent que l'audit interne fonctionne conformment aux Normes.
MPA 1330-2 Audits effectus conformment aux Normes
La traduction franaise de la PA originale 1330-1 : Audits effectus conformment aux Normes figure en annexe : The IIA Professional Practices Framework (Partie III : Practice Advisories). La MPA 1330-2 a t labore par lIFACI afin de rpondre la dmarche spcifique mise en uvre en lieu et place de lvaluation externe : la certification des directions daudit interne.
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes avant toute utilisation de lexpression effectus conformment aux Normes Internationales pour la Pratique Professionnelle de lAudit Interne . La prsente MPA na pas pour but de procder un expos exhaustif. Elle a seulement pour objet de complter les Normes. Le respect des Modalits Pratiques dApplication est facultatif. 1. Considrations dordre gnral Les valuations internes du service daudit interne ont pour objet, notamment, de formuler une opinion sur le respect des Normes Internationales pour la Pratique Professionnelle de cette activit et du Code de dontologie. Elles incluent, si ncessaire, des recommandations. Ces valuations peuvent prsenter un intrt considrable pour le responsable de l'audit interne et pour les autres membres de lquipe. Seules les personnes qualifies peuvent procder ces valuations. 2. La certification recommande et dlivre par lIFACI (cf MPA 1312-3) sappuie sur le Rfrentiel Professionnel de lAudit Interne qui trouve sa lgitimit dans les Normes
20
JUIN 2004
de laudit interne. De ce fait, la certification permet dapprcier la conformit de la direction daudit interne aux Normes, en matire de prestations dlivres, de moyens employs et de mesure de pilotage et de contrle. Cette certification doit tre suivie daudits de surveillance annuels et renouvele tous les trois ans. 3. Utilisation de la mention de conformit aux Normes On peut utiliser lexpression conduit conformment aux Normes , conforme aux Normes , ou respect des Normes si la direction de laudit interne a men une dmarche concluante de certification selon le Rfrentiel Professionnel de lAudit Interne. La direction daudit interne est mme encourage communiquer largement dans lorganisation sur lobtention de sa certification qui lui confre une lgitimit et une crdibilit accrue (utilisation du logo IFACI Certification sur les rapports, sur la Charte daudit interne, sur les supports de communication de la direction daudit interne,). Si la direction daudit interne ne suit pas une dmarche de certification, se reporter la MPA 1330-1 insre dans lannexe du classeur : The IIA Professional Practices Framework (partie III : Practice Advisories). 4. Avant toute utilisation des formules ci-dessus par laudit interne, tout cas de nonconformit mis en vidence par une valuation interne de la qualit, et de nature altrer la capacit de ce service sacquitter de ses responsabilits, doit tre rsolu de faon adquate. Il en est de mme pour la certification qui ne peut tre dlivre que si le service daudit interne apporte la preuve de la mise en uvre dactions correctives dans les trois mois qui suivent la fin de la mission de certification. Les cas de non-respect des Normes qui ont une incidence sur le champ dintervention ou le fonctionnement de laudit interne doivent tre communiqus la direction gnrale et au Conseil.
JUIN 2004
21
MPA SRIE 2000

Gestion de laudit interne
2000 GESTION
DE LAUDIT INTERNE
LE RESPONSABLE DE L'AUDIT INTERNE DOIT GRER CETTE ACTIVIT DE FAON GARANTIR QUELLE APPORTE UNE VALEUR AJOUTE L'ORGANISATION
MPA 2000-1 Gestion de lAudit Interne Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils grent laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le responsable de l'audit interne a le devoir de grer laudit interne de faon approprie, afin que : 1) le travail daudit rponde aux objectifs gnraux et responsabilits dcrits dans la Charte, approuvs par le Conseil et, le cas chant, par la direction gnrale ;
Cette nouvelle formulation qui laisse entendre que le Conseil peut approuver seul les objectifs gnraux et les responsabilits de laudit Interne, na pas notre adhsion. Nous proposons lancienne formulation qui tait rdige ainsi : Le responsable de laudit interne a le devoir de grer laudit interne de faon approprie, afin que le travail daudit rponde aux objectifs gnraux et de responsabilits dcrits dans la Charte, approuvs par la direction gnrale et accepts par le Conseil . Cette formulation correspond mieux globalement la culture de nos organisations.
2) les ressources de laudit interne soient utilises de faon efficace et efficiente ; 3) le travail daudit soit conduit conformment aux Normes Internationales pour la Pratique Professionnelle de lAudit Interne (les Normes ).
JUIN 2004
La gestion efficace et efficiente des ressources de laudit interne implique que le responsable de laudit interne se sente investi dun rle majeur dans le recrutement et la formation de son quipe. Il lui appartient en consquence de convaincre la direction gnrale et la direction des ressources humaines de la ncessit de professionnaliser cette activit et donc de dvelopper cette fin une vigoureuse action de communication. Pour ce faire, il doit prendre en compte tous les paramtres entrant dans cette gestion (nombre, qualit,). En cas de dsaccord avec la direction des ressources humaines, il est important que laudit interne puisse se tourner vers le comit daudit qui il appartient darbitrer en dernier recours. Cette facult doit tre inscrite dans la Charte de laudit interne.
JUIN 2004
SRIE 2000 - GESTION DE LAUDIT INTERNE
2010
Planification
Le responsable de l'audit interne doit tablir une planification fonde sur les risques afin de dfinir les priorits cohrentes avec les objectifs de lorganisation.
MPA 2010-1 Planification Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils tablissent la planification. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. La planification de laudit interne doit tre cohrente avec la charte daudit et les buts de lorganisation. Le processus de planification comporte la dfinition : 1) dobjectifs ; 2) dun programme de missions ; 3) de prvisions deffectifs et de budgets financiers ; 4) de rapports dactivit. 2. Les objectifs de laudit interne doivent pouvoir tre atteints dans le cadre des plans oprationnels et des budgets fixs et, dans la mesure du possible, doivent tre mesurables. Ils doivent tre complts par des critres de mesure et un calendrier de ralisation.
Les objectifs et les critres de mesure de lefficacit de laudit interne sont voqus dans cette MPA traitant du processus de planification. En effet, ds la planification se profile lobligation de rsultats pour laudit interne, avec la fixation dobjectifs mesurables et ralisables ( doivent pouvoir tre atteints ) et la mesure effective de ces objectifs in fine. Les objectifs mesurables sentendent dsormais en terme damlioration de la matrise des risques.
OCTOBRE 2002
3. Le programme de missions doit prciser : a) les activits auditer, b) la date des missions, c) une estimation du temps ncessaire tenant compte de ltendue de la mission prvue ainsi que de la nature et de ltendue des travaux daudit raliss par dautres intervenants. 4. Les points prendre en considration pour ltablissement des ordres de priorit sont : a) la date et les rsultats de la prcdente mission ; b) une valuation jour des risques et de lefficacit des dispositifs de management des risques et de contrle ; c) les demandes manant de la direction gnrale, du comit d'audit et dautres organes de direction ; d) les problmatiques actuelles relatives au gouvernement dentreprise ; e) les changements importants survenus dans lactivit, les tches oprationnelles, les programmes, les systmes et les contrles ; f) les opportunits de raliser des bnfices dexploitation ; g) les modifications intervenues dans lquipe daudit interne et ses aptitudes. Le planning des travaux doit tre suffisamment flexible pour faire face des demandes de missions non prvues.
Cette MPA assoit le positionnement de laudit interne dans le processus de management des risques, lvaluation des risques et lefficacit du processus de management des risques apparaissant clairement comme lun des objectifs prioritaires pour ltablissement de la planification. Il convient de discuter et de fixer de manire consensuelle les critres de mesure de cet objectif avec les propritaires des risques et les risk managers. Concernant le point (d), nous vous recommandons de vous reporter la MPA 2130-1 intitule Le rle de laudit interne et de lauditeur interne en terme de culture thique qui traite de la contribution de laudit interne au processus de gouvernement dentreprise.
OCTOBRE 2002
MPA 2010-2 La prise en compte des risques pour llaboration du plan daudit Nature de cette Modalit Pratique dApplication : La planification de laudit interne doit reflter la stratgie adopte par lorganisation en matire de risques. Il convient dadopter une approche coordonne afin dexploiter les synergies qui existent entre le processus de management des risques de lorganisation et son dispositif daudit interne. Il peut savrer ncessaire de prendre en compte dautres lments que ceux contenus dans la prsente MPA. Le respect des Modalits Pratiques dApplication est facultatif. 1. Toute organisation est confronte un certain nombre dincertitudes et de risques qui peuvent laffecter de faon ngative ou positive. Les risques peuvent tre grs de diffrentes manires : ils peuvent tre accepts, vits, transfrs ou matriss. Les contrles internes constituent une mthode couramment utilise pour rduire limpact ngatif potentiel des risques et incertitudes. 2. La planification de laudit interne doit tre tablie sur la base dune valuation des risques pouvant affecter lorganisation. En fin de compte, le principal but de laudit est de fournir au management des informations pour attnuer les consquences ngatives que ces risques font courir la ralisation des objectifs de lorganisation, ainsi quune valuation de lefficacit du systme de gestion des risques mis en place par le management. Le degr ou la matrialit des risques peuvent tre attnus par la mise en place de contrles.
Pour mener bien cette mission, il est important que laudit interne ait une bonne comprhension du processus de management des risques. Pour cela, il doit bien apprhender les rles respectifs de laudit interne, des risk managers, du comit daudit et du comit des risques sils existent. Sil apparat que ceux-ci sont insuffisamment prcis ou non coordonns, laudit interne doit en informer la direction gnrale et lui faire part de ses recommandations en vue damliorer la gestion des risques de lorganisation. Nous renvoyons aux MPA 2100-3 et 2100-4 qui traitent prcisment du rle de lauditeur interne dans le processus de management de risque et en labsence dun tel processus.
3. La dmarche daudit peut intgrer certaines composantes du plan stratgique de lorganisation, de faon tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, les plans stratgiques refltent lattitude de lorganisation face aux risques et le degr de difficult que comporte la ralisation des objectifs fixs. Laudit est gnralement affect par les rsultats du dispositif de management des risques. En principe, le plan stratgique de lorganisation doit tenir compte de lenvironnement dans lequel elle opre. Les facteurs lis cet environnement influeront vraisemblablement sur la dmarche daudit et lvaluation des risques.
JUIN 2004
4. La dmarche et la planification daudit doivent tre actualises afin dintgrer les changements dorientation, dobjectifs et de priorit dcids par la direction gnrale. Il est conseill dexaminer lapproche daudit, au minimum une fois par an, afin de ladapter aux stratgies et aux orientations les plus rcentes de lorganisation. Il peut savrer ncessaire, dans certains cas, de procder une mise jour rgulire (trimestrielle, par exemple) des plans daudit en fonction de lvolution des orientations dfinies par la direction. 5. Le plan des missions daudit doit tre tabli, entre autres, sur la base dune valuation des principaux risques. Il convient de dfinir des priorits de faon affecter les ressources en fonction du caractre significatif des risques. Le responsable de l'audit interne a, sa disposition, divers modles de risques pour laider dfinir les zones daudit prioritaires. La plupart de ces modles dterminent lordre de priorit des missions en fonction de facteurs de risque tels que limpact financier, la liquidit des actifs, la comptence du management, la qualit des contrles internes, le niveau de changement ou de stabilit, la date de la dernire mission daudit, la complexit, les relations avec le personnel et ladministration, etc. Les mthodes et les techniques utilises dans le cadre des missions daudit, pour effectuer des tests et valider lexposition aux risques, doivent tenir compte de la matrialit des risques et de leur probabilit doccurrence.
Parmi les divers modles de risques existants, citons par exemple : le COSO report (tats-Unis, traduit en franais par lIFACI et PricewaterhouseCoopers et disponible auprs de lIFACI sous le nom La pratique du contrle interne : le COSO report ), qui sera suivi prochainement dune tude, actuellement en cours " Enterprise Risk Management Framework ; le CoCo Report (Canada, disponible auprs de lInstitut Canadien des Comptables Agrs www.cica.ca) ; le Turnbull Report (Angleterre, disponible auprs de The Institute of Chartered Accountants in England and Wales www.icaew.co.uk/internal control sous le nom de Internal control Guidance for Directors on the Combined Code ) ; les modles prsents dans le cahier de la recherche Management des risques , publi par lIFACI ; les modles proposs dans les sminaires de lIFACI sur lvaluation et la matrise des risques et sur la cartographie des risques. Bien entendu, il appartient chaque service daudit interne de les analyser et de se les approprier.
6. Les notes et les rapports adresss au management doivent comporter des conclusions sur le management des risques et des recommandations visant rduire les risques. Pour permettre au management de bien apprhender le degr de risque, il est essentiel que les rapports daudit mentionnent limportance critique de lexposition aux risques et son incidence sur la ralisation des objectifs.
8
JUIN 2004
2020
Communication et approbation
Le responsable de l'audit interne doit communiquer la direction gnrale et au Conseil son programme et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible dintervenir en cours dexercice. Le responsable de l'audit interne doit galement signaler l'impact de toute limitation de ses ressources.
MPA 2020-1 Communication et approbation Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils communiquent et recherchent lapprobation du programme et des besoins de laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le responsable de l'audit interne doit soumettre, annuellement, la direction gnrale pour approbation et au Conseil pour information, les programmes de travail de laudit interne, les prvisions deffectifs et le budget financier. Il doit galement signaler et faire approuver tout changement ultrieur significatif. Lobjectif des programmes de travail, des prvisions deffectifs et du budget est dinformer la direction gnrale et le Conseil de ltendue des missions daudit et, le cas chant, des limites qui y sont apportes. 2. Les programmes de travail, les prvisions deffectifs et le budget financier approuvs, ainsi que tous les changements importants survenus en cours dexercice, doivent contenir suffisamment de renseignements pour permettre au Conseil de dterminer si les objectifs et les programmes de laudit interne correspondent ceux de lorganisation et du Conseil communiqus par crit.
OCTOBRE 2002
2030
Gestion des ressources

Le responsable de l'audit interne doit veiller ce que les ressources affectes cette activit soient adquates, suffisantes et mises en uvre de manire efficace pour raliser le programme approuv.
MPA 2030-1 Gestion des Ressources Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils valuent les ressources de laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les prvisions deffectifs et le budget incluant le nombre dauditeurs, les connaissances, le savoir-faire et les autres comptences ncessaires pour effectuer le travail, doivent tre dtermins en fonction des programmes de travail, des activits administratives, de la formation gnrale et professionnelle et des efforts de recherche et de dveloppement engags.
Il convient de rappeler que le budget dun service daudit interne, ralis en collaboration avec la direction des ressources humaines et la direction du contrle de gestion, se compose de trois lments : un budget deffectifs, avec un plan de recrutement (pluriannuel) et une prvision de mobilits externes ; un budget financier, avec des crdits dtudes, dhonoraires, de sous-traitance, de moyens coordonns avec les auditeurs externes, des frais de dplacement ; un budget logistique (locaux, vhicules,). Ce budget doit permettre doptimiser la structure et lorganisation du service daudit interne en fonction de la couverture daudit et des contraintes financires.
2. Le responsable de l'audit interne doit tablir un programme de recrutement et de dveloppement des ressources humaines de laudit interne. Ce programme doit prvoir : des descriptions de fonction, chaque niveau de responsabilit ;
10
JUIN 2004
la slection de collaborateurs qualifis et comptents tant dans les domaines audits quen matire dapplication des mthodes daudit interne ; une formation initiale et un plan de formation permanent pour chacun des auditeurs internes ; la dfinition dobjectifs annuels de performance lintention des auditeurs internes ; lvaluation des performances de chaque auditeur interne, au moins une fois par an ; des conseils aux auditeurs internes sur leurs performances personnelles et leur dveloppement professionnel ; le renouvellement de lquipe daudit interne.
La gestion du processus de recrutement est fonction du degr dindpendance du plan ressources humaines de laudit interne par rapport celui de lorganisation dans son ensemble. Un degr dindpendance fort permet de slectionner les collaborateurs les mieux adapts et de tenir compte dexigences de lorganisation telles que les redploiements de comptences, les priorits en interne, le plan social, la grille de rmunrations,
3. Le responsable de laudit interne doit envisager de recourir des ressources partages, dautres consultants ou aux collaborateurs dautres services, qui apporteront des comptences supplmentaires ou spcialises en cas de besoin. MPA 2030-3 Les exigences franaises en matire dindpendance des commissaires aux comptes Nature de cette Modalit Pratique d'Application : Cette MPA ne vise pas seulement lindpendance des commissaires aux comptes lorsquils ralisent des prestations daudit interne mais de manire gnrale toutes les exigences et rgles concernant leur indpendance. Le respect des Modalits Pratiques d'Application est facultatif. La LSF (Loi de Scurit Financire vote le 1er aot 2003) instaure de nouvelles exigences en matire dindpendance des auditeurs externes. Cette Loi sapplique toutes les socits anonymes quil sagisse de socits cotes ou non cotes. La LSF ne sapplique pas, par contre, aux socits par actions simplifies (SAS).
1. Cration du Haut Conseil du Commissariat aux Comptes Selon larticle 100 de la LSF (art. L. 821-1 du Code de Commerce), il est institu
JUIN 2004
11
auprs du Garde des Sceaux un Haut Conseil du Commissariat aux Comptes (H3C) ayant pour missions : dassurer la surveillance de la profession avec le concours de la Compagnie Nationale des Commissaires aux Comptes (CNCC) ; de veiller au respect de la dontologie et de lindpendance des commissaires aux comptes. Pour ce faire, le H3C est en particulier charg : didentifier et de promouvoir les bonnes pratiques professionnelles ; dmettre un avis sur les normes dexercice professionnel labores par la CNCC avant leur homologation par arrt du garde des sceaux, ministre de la justice ; dorganiser des programmes de contrle priodique ; dapprcier la sparation entre les missions de contrle lgal des comptes et les missions de conseil. Le H3C comprend, nomms par dcret pour six ans renouvelables : trois magistrats ; le prsident de lAMF ou son reprsentant ; un reprsentant du Ministre charg de lconomie ; un professeur des universits spcialis en matire juridique, conomique ou financire ; trois personnes qualifies dans les matires conomiques et financires ; trois commissaires aux comptes ; un commissaire du gouvernement dsign par le Garde des Sceaux (il sige avec voix consultative). 2. Lindpendance des commissaires aux comptes et la prvention des conflits dintrts Le Code de Dontologie des commissaires aux comptes pose lindpendance comme un principe fondamental de la profession et la dfinit comme se manifestant non seulement par une attitude desprit qui sexprime dans lintgrit, lobjectivit, la comptence, mais aussi par le fait dviter toute situation qui par son apparence pourrait conduire les tiers la remettre en cause . La LSF (art. 104 compltant la section 2 du chapitre II du titre II du livre VIII du Code de Commerce par lart. L 82216) prvoit quun dcret en Conseil dtat approuve un Code de Dontologie de la profession. Celui-ci va donc voluer et devrait tre dfinitif en juin 2004. La prsente MPA fera alors lobjet dune actualisation. Larticle L. 822-10 du Code de commerce fait tat de lindpendance des commissaires aux comptes Les fonctions de commissaire aux comptes sont incompatibles :
12
JUIN 2004
avec toute activit ou tout acte de nature porter atteinte son indpendance ; avec tout emploi salari ; toutefois, un commissaire aux comptes peut dispenser un enseignement se rattachant lexercice de sa profession ou occuper un emploi rmunr chez un commissaire aux comptes ou chez un expert-comptable ; avec toute activit commerciale, quelle soit exerce directement ou par personne interpose . Larticle 104 de la LSF complte la section 2 du chapitre II du titre II du livre VIII du Code de Commerce par lArt. L 822-11. - 1. Le commissaire aux comptes ne peut prendre, recevoir ou conserver, directement ou indirectement, un intrt auprs de la personne dont il est charg de certifier les comptes, ou auprs dune personne qui la contrle ou qui est contrle par elle ( ) . Le second alina prvoit que le Code de Dontologie dfinit les liens personnels, financiers et professionnels, concomitants ou antrieurs la mission du commissaire aux comptes, incompatibles avec lexercice de celle-ci. Le Code de Dontologie prcise galement les restrictions apporter la dtention dintrts financiers par les salaris et collaborateurs du commissaire aux comptes dans les socits dont les comptes sont certifis par lui. Art. L 822-11. II. Il est interdit au commissaire aux comptes de fournir la personne qui la charg de certifier ses comptes, ou aux personnes qui la contrlent ou qui sont contrles par celle-ci au sens des I et II de larticle L. 223-3, tout conseil ou toute autre prestation de services nentrant pas dans les diligences directement lies la mission de commissaire aux comptes, telles quelles sont dfinies par les normes dexercice professionnel (). Le Code de Dontologie des commissaires aux comptes prcise que nentrent pas notamment dans la mission du commissaire aux comptes, ds lors quils sont sans lien avec la vrification des comptes : les conseils dans des domaines tels que le marketing, la communication ou linformation, les conseils lis lactivit de production de la socit (exemple : mise au point de logiciels), le conseil en organisation, le conseil en gestion, le conseil juridique et fiscal. Larticle L. 822-11 poursuit Lorsqu'un commissaire aux comptes est affili un rseau national ou international, dont les membres ont un intrt conomique commun et qui n'a pas pour activit exclusive le contrle lgal des comptes, il ne peut certifier les comptes d'une personne qui, en vertu d'un contrat conclu avec ce rseau ou un membre de ce rseau, bnficie d'une prestation de services, qui n'est pas directement lie la mission du commissaire aux comptes selon l'apprciation faite
JUIN 2004
13
par le Haut Conseil du commissariat aux comptes en application du troisime alina de l'article L. 821-1. La LSF introduit dautres exigences en matire dindpendance des commissaires aux comptes au vu des lments suivants : les investissements raliss par les commissaires aux comptes ou par les membres de leur famille dans les organisations audites ; les contrats de travail conclus entre les auditeurs ou les membres de leur famille et les organisations audites ; ltendue des services rendus par les cabinets daudit aux organisations audites. 3. Les conditions de nomination des commissaires aux comptes : Larticle 105 de la LSF qui vient modifier lart. L. 225-228 du Code de Commerce stipule que Les commissaires aux comptes sont proposs la dsignation de l'assemble gnrale par un projet de rsolution manant du conseil d'administration ou du conseil de surveillance ou, dans les conditions dfinies par la section 3 du prsent chapitre, des actionnaires. Lorsque la socit fait appel public l'pargne, le conseil d'administration choisit, sans que prennent part au vote le directeur gnral et le directeur gnral dlgu, s'ils sont administrateurs, les commissaires aux comptes qu'il envisage de proposer . Larticle 113 de la LSF qui modifie lart. L. 621-22 du Code montaire et financier : I. L'Autorit des Marchs Financiers est informe des propositions de nomination ou de renouvellement des commissaires aux comptes de personnes faisant appel public l'pargne et peut faire toute observation qu'elle juge ncessaire sur ces propositions. Ces observations sont portes la connaissance de l'assemble gnrale ou de l'organe charg de la dsignation ainsi que du professionnel intress. II. Elle peut demander aux commissaires aux comptes de personnes faisant appel public l'pargne tous renseignements sur les personnes qu'ils contrlent. 4. Le rle de laudit interne :
Le responsable de laudit interne doit faciliter la communication entre le service daudit interne, la direction et le comit daudit au sujet des rgles relatives lindpendance des commissaires aux comptes. Il est essentiel que lensemble des parties concernes ait une vision commune de la rglementation susmentionne et veillent dun commun accord son application.
14
JUIN 2004
2040
Rgles et procdures
Le responsable de l'audit interne doit tablir des rgles et procdures fournissant un cadre lactivit.
MPA 2040-1 Rgles et Procdures Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils tablissent des rgles et des procdures. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
La forme et le contenu des rgles et procdures crites doivent tre adapts la taille et la structure de laudit interne, ainsi qu la complexit de son travail. Des manuels administratifs et techniques ne doivent pas ncessairement tre tablis pour toutes les entits daudit interne. Un petit service daudit interne peut tre dirig dune manire informelle. Son personnel peut tre dirig et contrl au jour le jour par une supervision troite et des notes de service. Par contre, dans un service daudit interne important, il est essentiel de disposer de rgles et procdures formalises et compltes pour guider les auditeurs vers un respect systmatique des normes de fonctionnement de laudit interne.
Il est important davoir des protocoles ou procdures internes laudit interne qui sinscrivent dans le cadre de conventions rgissant les rapports entre les socits dun mme groupe : par exemple, existence dun audit groupe et de services daudit dcentraliss dans les filiales cotes ou participation minoritaire dans une socit filiale. Certaines procdures, telles que la validation des programmes et le reporting, relvent parfois dune approbation par le Conseil. Quelles que soient la taille et la structure de laudit interne, il est recommand, au minimum, dtablir une charte graphique pour les rapports ou toute autre forme de communication, afin quils conservent pour tout auditeur la mme forme et quils soient identifiables immdiatement comme des produits de laudit interne par tout collaborateur de lorganisation.
OCTOBRE 2002
15
2050
Coordination
Le responsable de l'audit interne doit partager les informations et coordonner les activits avec les autres prestataires internes et externes de services dassurance et de conseil, de manire assurer une couverture adquate des travaux et viter dans toute la mesure du possible les double emplois.
MPA 2050-1 Coordination
Cette norme et la MPA qui sy rapporte sont fondamentales. Elles encouragent ce quil y ait un dialogue et une relation de confiance entre laudit interne et le commissaire aux comptes ; tous deux gagneront dans cette coopration davantage quils ny perdront. Il convient de bien distinguer dans la locution les prestataires internes et externes de services dassurance et de conseil les commissaires aux comptes des autres prestataires avec lesquels laudit interne nentretient pas la mme relation de confiance et de coopration. Lorsque les indications de la prsente MPA ne concernent que les commissaires aux comptes, cela est clairement prcis. Toutefois, cette relation de coopration et dchange de travaux ne doit pas faire oublier que des informations dlicates, destines a priori la Direction Gnrale et/ou au Comit dAudit, figurant dans les rapports daudit sont susceptibles dtre connues lextrieur de lorganisation. En effet, les rapports daudit interne doivent tre communiqus aux commissaires aux comptes et la justice sils en font la demande. Pour le secteur bancaire, le rglement du CRBF 97-02 modifi, prcise que les rapports sur le contrle interne et la surveillance des risques sont adresss chaque anne aux commissaires aux comptes et au secrtariat gnral de la Commission Bancaire. Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection.
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour coordonner les travaux avec les autres intervenants chargs de missions dassurance et de conseil. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
JUIN 2004
16
1. Les travaux daudit interne et daudit externe doivent tre coordonns afin que toutes les activits ou fonctions soient audites sans redondance ou double emploi. Le champ dintervention de laudit interne implique une approche systmatique et mthodique pour valuer et amliorer lefficacit des processus de management des risques, de contrle et de gouvernement dentreprise. Le champ dintervention de laudit interne est prsent dans la Norme 2100. Paralllement, lexamen ordinaire de lauditeur externe consiste obtenir suffisamment dinformations probantes pour donner une opinion sur la rgularit et la sincrit globales des tats financiers. Ltendue du travail des commissaires aux comptes est dtermine par leurs normes professionnelles, et ceux-ci sont responsables pour juger de la suffisance des procdures appliques et des preuves obtenues aux fins dexprimer leur propre opinion sur les tats financiers.
La Compagnie Nationale des Commissaires aux Comptes prconise galement cette coordination avec laudit interne. Selon la Norme 2-502, le commissaire aux comptes prend en considration des activits de laudit interne, ainsi que leur incidence ventuelle sur ses propres procdures daudit . Mme si le commissaire aux comptes conserve lentire responsabilit de lopinion exprime sur les comptes ainsi que de la dfinition de la nature, du calendrier et de ltendue de ses procdures daudit, certains aspects des travaux de laudit interne peuvent lui tre utiles . Mais, le commissaire aux comptes () prend lentire responsabilit de lopinion exprime sur les comptes. Cette responsabilit ne peut en aucune faon tre rduite par un partage des travaux et donc par lutilisation faite des travaux de laudit interne. Ds lors, tous les jugements relatifs laudit des comptes relvent de la responsabilit du commissaire aux comptes .
2. La surveillance des travaux de commissariat aux comptes, y compris la coordination avec laudit interne, est gnralement du ressort du Conseil.
En France, le comit daudit peut assumer plus prcisment ce rle puisque, selon le Rapport Bouton paru en septembre 2002 Pour un meilleur gouvernement des entreprises cotes (rapport du groupe de travail prsid par Daniel Bouton, constitu la demande de lAFEP et du MEDEF en vue dexaminer plusieurs questions relatives au gouvernement dentreprise et la qualit de linformation et de la communication financire), le comit des comptes (/daudit) devrait entendre rgulirement le commissaire aux comptes mais galement le responsable de laudit interne dont il sinforme rgulirement du programme de travail.
La coordination doit relever du responsable de l'audit interne. Celui-ci doit avoir lappui en fait du Conseil pour coordonner efficacement les travaux daudit.
JUIN 2004
17
En France, la coordination audit interne/audit externe dans un certain nombre de socits cotes reste encore du ressort du Directeur Financier. Il est souhaitable que le responsable de laudit interne, dans le cadre de ses responsabilits et si son rattachement lui en donne la possibilit, prenne en charge ce processus.
3. En coordonnant le travail des auditeurs internes avec celui des auditeurs externes, le responsable de l'audit interne doit veiller ce quil ny ait pas duplication du travail des auditeurs externes par le travail fourni par les auditeurs internes au regard de la norme 2100. Dans la mesure permise par les obligations professionnelles et organisationnelles en matire de certification des comptes, les auditeurs internes doivent mener les missions de faon favoriser au maximum la coordination et lefficacit du travail daudit.
Il est donc souhaitable que le responsable de laudit interne assiste aux runions darbitrage du planning des commissaires aux comptes et aux runions de restitution des rsultats.
4. Le responsable de l'audit interne peut accepter deffectuer des travaux pour les auditeurs externes lors de la certification annuelle des comptes. Les travaux effectus par les auditeurs internes pour aider les auditeurs externes sacquitter de leur responsabilit sont soumis toutes les dispositions des Normes pour la Pratique Professionnelle de laudit interne . 5. Le responsable de l'audit interne doit rgulirement valuer la coordination entre les auditeurs internes et externes. Ces valuations peuvent aussi inclure des apprciations sur lefficacit et lefficience des fonctions daudit interne et externe et sur leur cot global. 6. En exerant son rle de surveillance, le Conseil peut demander au responsable de l'audit interne dvaluer la performance des auditeurs externes. En rgle gnrale, ce type dvaluation sinscrit dans le cadre de la coordination des travaux daudit interne et daudit externe, qui incombe au responsable de l'audit interne, et ne doit tre tendu dautres domaines qu la demande expresse de la direction gnrale ou du Conseil. Lvaluation des performances des auditeurs externes doit tre suffisamment taye pour justifier les conclusions formules. Lorsquelle a trait la coordination des travaux daudit interne et daudit externe, cette valuation doit reposer sur les critres dcrits par la prsente MPA. 7. Lorsquelle va au-del de la simple coordination avec les auditeurs internes, lvaluation des performances des auditeurs externes peut couvrir notamment les points suivants : connaissance et exprience professionnelles ; connaissance du secteur dactivit de lorganisation ;
18
JUIN 2004
indpendance ; expertises directement lies la mission ; anticipation des besoins de lorganisation et ractivit ; relative stabilit des principaux collaborateurs ; qualit des relations de travail ; respect des engagements contractuels ; valeur ajoute des services rendus lorganisation.
8. Le responsable de l'audit interne doit communiquer la direction gnrale et au Conseil les conclusions concernant la coordination entre auditeurs internes et auditeurs externes, accompagnes, le cas chant, de commentaires sur les performances des auditeurs externes.
Laudit interne peut galement jouer un rle fondamental en alertant la direction gnrale et/ou le comit daudit lorsque la pression exerce sur les commissaires aux comptes et les rductions dhonoraires ne permettent plus dassurer lefficacit et la qualit de leurs travaux de contrle.
9. Les auditeurs externes sont parfois tenus, en vertu de leurs normes professionnelles, de sassurer que certaines informations sont communiques au Conseil. Le responsable de l'audit interne doit consulter les auditeurs externes et prendre connaissance de leurs observations, qui peuvent porter sur les points suivants : facteurs susceptibles dinfluer sur lindpendance des auditeurs externes ; faiblesses de contrle interne significatives ; erreurs et irrgularits ; actes illgaux ; avis du management et estimations comptables ; ajustements daudit significatifs ; dsaccords avec le management ; difficults rencontres lors de laudit.
Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu : de larticle 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : () les commissaires aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et renseignements dont ils ont pu avoir connaissance raison de leurs fonctions , des normes professionnelles mises par la Compagnie Nationale des Commissaires aux Comptes (CNCC).
JUIN 2004
19
10. La coordination des travaux daudit implique des rencontres priodiques pour discuter des sujets dintrt mutuel ; Couvertures des zones daudit. Les plans daudit des auditeurs internes et externes doivent tre changs afin de sassurer que la couverture des zones daudit est coordonne et que la duplication des travaux est minimise. Un nombre suffisant de rencontres doit tre prvu pendant les missions daudit. Ceci permet dassurer la coordination du travail et en particulier de dcider, compte tenu des observations et recommandations de chacun, de modifier le programme dintervention.
Selon la Norme 2-502 de la CNCC : Le commissaire aux comptes acquiert une connaissance suffisante des activits de laudit interne dans le cadre de la planification de ses travaux et de la dfinition dune approche daudit efficace . La coordination avec laudit interne est plus efficace lorsque des runions ont lieu des intervalles rguliers.
Accs rciproque aux programmes et aux dossiers de travail. Il peut tre important pour lauditeur interne davoir accs aux programmes et dossiers de travail des auditeurs externes afin quil puisse sappuyer sur le travail de ces derniers, dans lexercice de sa propre mission. Il est de la responsabilit de lauditeur interne de respecter le caractre confidentiel des informations auxquelles il accde. De mme, laccs aux programmes et dossiers de travail de lauditeur interne doit tre donn aux auditeurs externes afin que ceux-ci puissent sappuyer, dans lexercice de leurs fonctions, sur le travail des auditeurs internes.
Le secret professionnel auquel sont astreints les commissaires aux comptes, voqu supra, et la confidentialit de certaines informations auxquelles ont accs les auditeurs internes et quil nest pas souhaitable de communiquer aux commissaires aux comptes constituent des limites cet accs rciproque.
change des rapports daudit et des notes de synthse adresss au management. Les rapports finaux daudit interne, les commentaires du management et les suivis de mission effectus par les auditeurs internes doivent tre accessibles aux auditeurs externes. Ces rapports aident les auditeurs externes dterminer et ajuster ltendue de leurs travaux.
Nous renvoyons au commentaire formul en tte de la MPA sur la ncessit de prsenter les faits avec discernement, prudence et circonspection. La CNCC est galement favorable cet change de rapport ainsi quen atteste la norme 2-502 : Le commissaire aux comptes doit tre inform des rapports daudit interne et y avoir accs. () De mme, il informe laudit interne, dans les limites et le respect des principes et rgles applicables en matire de secret professionnel, de toute question significative pouvant avoir une incidence sur les travaux de laudit interne.
20
JUIN 2004
Il est important pour les auditeurs internes davoir accs aux courriers adresss par les auditeurs externes au management. Les points abords dans ces courriers aident les auditeurs internes planifier les domaines auditer en priorit, dans le cadre de la planification venir. Une fois la lettre de recommandation tudie par le management et le Conseil et aprs la dcision par ceux-ci dengager des mesures correctives, le responsable de l'audit interne doit sassurer que toute mesure approprie a t prise et que tout suivi a t effectu. Comprhension mutuelle des techniques, des mthodes et de la terminologie daudit. En premier lieu, le responsable de l'audit interne doit connatre ltendue du travail que prvoient les auditeurs externes et doit sassurer que le travail des auditeurs internes et externes rpond aux exigences de la Norme 2100. Cette assurance ncessite la comprhension du principe de matrialit utilis par les auditeurs externes dans leurs programmes de travail et la nature, ltendue des procdures quils mettent en uvre. Ensuite, le responsable de l'audit interne doit sassurer que les techniques, les mthodes et la terminologie employes par les auditeurs externes sont suffisamment bien comprises par les auditeurs internes afin de pouvoir : (1) coordonner le travail des auditeurs internes et externes, (2) valuer le travail des auditeurs externes pour sy appuyer, (3) sassurer que les auditeurs internes qui travailleront avec les auditeurs externes peuvent communiquer efficacement avec eux. Enfin, le responsable de l'audit interne doit fournir suffisamment dinformation afin de permettre aux auditeurs externes de comprendre les techniques, les mthodes et la terminologie utilises par les auditeurs internes. Il facilite ainsi lutilisation par les auditeurs externes du travail des auditeurs internes. Il peut tre plus efficace pour les auditeurs internes et externes dutiliser des techniques, des mthodes et une terminologie similaires afin de coordonner efficacement leur travail et que chacun puisse sappuyer sur le travail de lautre.
Rciproquement, lauditeur interne doit galement pouvoir sappuyer sur les travaux des auditeurs externes. Voici les recommandations du Comit de Ble dans son document publi en aot 2001 sur Laudit interne dans les banques et les relations des autorits de tutelle avec les auditeurs : Relations entre les auditeurs internes et les auditeurs externes Principe n 16
JUIN 2004
21
Les autorits de tutelle doivent encourager les contacts entre les auditeurs internes et externes de faon rendre leur collaboration aussi relle et efficace que possible. 64. Les auditeurs externes ont une influence notable sur la qualit des contrles internes, en raison de leurs activits d'audit et notamment, de leurs entretiens avec la direction gnrale et le Conseil d'Administration ou le Comit d'Audit, sil existe, ainsi que par leurs recommandations pour l'amlioration du contrle interne. 65. Il est en gnral admis que l'audit interne est utile pour dterminer la nature, le calendrier et l'tendue des procdures d'audit externe. Cependant, lauditeur externe (le Commissaire aux comptes en France) est seul responsable de son opinion sur les tats financiers. Lauditeur externe doit tre avis des travaux daudit interne, avoir accs aux rapports pertinents et tre tenu inform de tout problme significatif qui a retenu l'attention de l'auditeur interne et qui pourrait avoir une incidence sur son travail. De mme, lauditeur externe doit informer l'auditeur interne de tout problme important qui pourrait le concerner. 66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec celui des auditeurs externes. La coordination entre les services d'audit ncessite des rencontres priodiques pour s'entretenir de questions d'intrt commun, procder l'change des rapports d'audit et des notes de la direction et convenir de techniques, mthodes et terminologies communes. Coopration entre les autorits de tutelle, les auditeurs externes et les auditeurs internes. Principe n 18 La coopration entre autorit de tutelle, auditeur externe et auditeur interne a pour objectif de rendre les travaux de toutes les parties concernes plus rationnels et efficaces afin d'optimiser le contrle. La coopration peut se matrialiser par des runions priodiques. 76. L'objectif de la coopration est de rendre la contribution de tous les intervenants concerns plus efficiente et efficace afin d'optimiser le contrle de l'autorit de tutelle, mme si chaque intervenant assume en priorit ses propres responsabilits. 77. Dans certains pays, cette coopration se matrialise par des rencontres priodiques. Il se peut que l'autorit de tutelle juge la prsence de la Direction Gnrale opportune lors de ces rencontres. Au cours de ces runions, chacun apporte des informations sur des domaines d'intrt commun et une attention particulire est porte aux domaines qui seront contrls et sur le calendrier de travail. Les trois parties en prsence voquent aussi la mise en uvre par l'organisation des recommandations des auditeurs internes et externes.
22
JUIN 2004
78. La coopration prsuppose une relation de confiance entre la banque, lauditeur externe et l'autorit de tutelle. Sans confiance, la coopration n'est pas possible. En consquence, l'autorit de tutelle attend de la Direction Gnrale de la banque une information sur les dcisions, les faits ou les dveloppements qui pourraient avoir une influence significative sur la situation de la banque.
MPA 2050-2 Acquisition de services daudit externe La traduction de cette MPA se trouve en annexe la suite de la Practice Advisory 2050-2 en anglais. Une MPA spcifique au contexte franais est en cours d'laboration en collaboration avec la Commission des Oprations de Bourse (COB) et la Compagnie Nationale des Commissaires aux Comptes (CNCC). Elle vous sera adresse ds que sa rdaction sera acheve.
MPA 2050-3 Acquisition de services proposs par les cabinets daudit externe Interprtation de la norme n 2050 extraite des Normes pour la Pratique Professionnelle de laudit interne Cette MPA a t crite par lIFACI. Elle correspond au contexte franais et est le pendant de la Practice Advisory 2050-2, labore par lIIA et plus particulirement applicable aux tatsUnis. La MPA 2050-3 en reprend toutefois les orientations qui sont valables galement en France. Nature de cette Modalit Pratique dApplication Il est conseill aux responsables de laudit interne de tenir compte des suggestions suivantes en cas dacquisition de services des cabinets daudit externe (ces services concernent la fois les missions de certification des comptes missions lgales que les missions de type contractuel. Lorsque les indications infra ne sappliquent quaux missions de certification de comptes par les commissaires aux comptes, il lest clairement prcis. La prsente recommandation na pas pour but de procder un expos exhaustif des points examiner dans les divers cas susceptibles de se prsenter. Elle rappelle un certain nombre de repres lgislatifs ou non quil convient de suivre, notamment en matire de slection des commissaires aux comptes et lorsque lorganisation fait appel des cabinets daudit externe pour raliser dautres travaux que ceux lis la mission lgale de certification des comptes.
JUIN 2004
23
Voir la MPA 2030-3 intitule Les exigences franaises en matire dindpendance des commissaires aux comptes et la MPA 2050-1 intitule Coordination (des prestations daudit interne et externe). Le respect des Modalits Pratiques dApplication est facultatif. 1. La participation de lauditeur interne au processus de slection et dvaluation des commissaires aux comptes de lorganisation ou la dcision concernant le renouvellement de leur mandat, peut revtir des formes diverses : participation nulle, rle de conseil auprs du management ou du comit daudit, assistance ou participation au processus, gestion ou audit du processus. Selon les Normes de lIIA, les auditeurs internes doivent partager les informations et coordonner les activits avec les autres prestataires internes et externes de services dassurance et de conseil . Leur participation au processus de slection ou de renouvellement des commissaires aux comptes et la dfinition de ltendue de leurs travaux, est donc recommande.
En France, le responsable de laudit interne peut mettre un avis sur la nomination des commissaires aux comptes, propose par le Conseil, dans le cadre des runions du comit daudit.
2. Lapprobation dune procdure par le Conseil ou le comit daudit peut faciliter la mise en uvre dun processus de consultation priodique des prestataires daudit externe dans le cadre des oprations courantes, de telle sorte que les prestataires en place ne peroivent pas ces consultations comme un signe de mcontentement de lorganisation. Il appartient aux auditeurs internes, en labsence de procdure spcifique, de dterminer si ces services relvent dautres procdures dachat de services en vigueur dans lorganisation. Le cas chant, lauditeur interne doit faciliter la mise en place de procdures appropries. 3. Les procdures de slection ou de renouvellement des commissaires aux comptes doivent respecter pour les socits qui y sont soumises la Loi de Scurit Financire (LSF) du 1er aot 2003 (parution au Journal Officiel du 2 aot 2003) :
Art. 105 de la LSF qui vient modifier lart. L. 225-228 du Code de Commerce Les commissaires aux comptes sont proposs la dsignation de l'assemble gnrale par un projet de rsolution manant du conseil d'administration ou du conseil de surveillance ou, dans les conditions dfinies par la section 3 du prsent chapitre, des actionnaires. Lorsque la socit fait appel public l'pargne, le conseil d'administration choisit, sans que prennent part au vote le directeur gnral et le directeur gnral dlgu, s'ils sont administrateurs, les commissaires aux comptes qu'il envisage de proposer. . Art.113 de la LSF qui modifie lart. L. 621-22 du Code montaire et financier : I. L'Autorit des marchs financiers est informe des propositions de nomination ou de renouvellement des commissaires aux comptes de personnes faisant appel public l'pargne et peut faire toute observation qu'elle juge ncesJUIN 2004
24
saire sur ces propositions. Ces observations sont portes la connaissance de l'assemble gnrale ou de l'organe charg de la dsignation ainsi que du professionnel intress. Quant au Rapport Bouton de septembre 2002 Pour un meilleur gouvernement des entreprises cotes , il faisait les recommandations suivantes Lors de lchance de leur mandat, la slection ou le renouvellement des commissaires aux comptes devraient tre prcds, sur dcision du Conseil, dun appel doffres supervis par la comit des comptes (comit daudit) qui veille la slection du mieux-disant et non du moins-disant . Le comit devrait formuler un avis sur le choix des commissaires et le montant des honoraires sollicits, et faire part de sa recommandation au Conseil dadministration. Par ailleurs, le Rapport Bouton met des recommandations sur les relations entretenir avec les commissaires aux comptes : En-dehors de laudition rgulire des commissaires aux comptes y compris hors la prsence des dirigeants, le Comit (des comptes/daudit) devrait piloter la procdure de slection des commissaires aux comptes, formuler un avis sur le montant des honoraires sollicits pour lexcution des missions de contrle lgal et soumettre au Conseil dadministration le rsultat de cette slection. Le Comit devrait se faire communiquer les honoraires verss par la socit et son groupe au cabinet et au rseau des commissaires et sassurer que leur montant ou la part quils reprsentent dans le chiffre daffaires du cabinet et du rseau ne sont pas de nature porter atteinte lindpendance des commissaires aux comptes. Dune manire gnrale, il veille au respect des rgles garantissant lindpendance des commissaires aux comptes prconises dans le prsent rapport .
4. Indpendance des commissaires aux comptes et incompatibilit de fonctions

Larticle 104 de la LSF vient complter le Code de Commerce par un Art. L. 82211. II. Il est interdit au commissaire aux comptes de fournir la personne qui la charg de certifier ses comptes, ou aux personnes qui la contrlent ou qui sont contrles par celle-ci au sens des I et II de larticle L. 223-3, tout conseil ou toute autre prestation de services nentrant pas dans les diligences directement lies la mission de commissaire aux comptes, telles quelles sont dfinies par les normes dexercice professionnel () . Le Code de Dontologie professionnelle de la Compagnie nationale des commissaires aux comptes (texte dapplication de larticle 9) stipule que Peuvent entrer dans la mission du commissaire aux comptes les avis, recommandations et conseils portant sur des positions prises, proposes ou envisages par la socit vrifie dans les domaines ci-aprs : traduction comptable doprations de toute nature au regard de la rgularit et la sincrit des comptes, informations financires.
JUIN 2004
25
Font galement partie de la mission du commissaire aux comptes, car ils contribuent la rendre plus efficace, les conseils, avis et recommandations portant sur llaboration des : manuels des principes et mthodes comptables, systmes et organisation comptables, procdures et, de manire gnrale, toutes mesures tendant amliorer le contrle interne. Le commissaire aux comptes peut dans ce cadre, si on le lui demande, prciser les rformes souhaitables ou donner son avis sur celles suggres par les conseils de la socit ; mais il excderait sa mission sil procdait lui-mme la mise en place des rformes ou en assumait la direction effective et par consquent la responsabilit. Par contre, nentrent pas notamment dans la mission du commissaire aux comptes, ds lors quils sont sans lien avec la vrification des comptes : les conseils dans des domaines tels que le marketing, la communication ou linformation, les conseils lis lactivit de production de la socit (exemple : mise au point de logiciels), le conseil en organisation, le conseil en gestion, le conseil juridique et fiscal. Pour le rapport Bouton, et en ce qui concerne les socits cotes, la mission de contrle lgal devrait tre exclusive de toute autre. Le cabinet slectionn devrait renoncer pour lui-mme et le rseau auquel il appartient toute activit de conseil (juridique, fiscal, informatique,) ralise directement ou indirectement au profit de la socit qui la choisi ou de son groupe. Toutefois, aprs approbation du Comit des comptes, des travaux accessoires ou directement complmentaires au contrle des comptes pourraient tre raliss, tels que des audits dacquisition, mais lexclusion des travaux dvaluation. Le Rapport Bouton donne des indications supplmentaires en nonant que : - La dure du mandat, fixe 6 ans, et son caractre renouvelable, sont aussi une garantie de lindpendance. Mais la rotation des signataires des comptes au nom des cabinets dans les grands rseaux, comme le dcalage dans le temps de lchance des mandats des commissaires aux comptes sont particulirement souhaitables. Cette exigence de mobilit est consacre par larticle 104 LSF qui vient complter le code de commerce dun article 822-14 : Il est interdit au commissaire aux comptes, personne physique, ainsi qu'au membre signataire d'une socit de commissaires aux comptes, de certifier durant plus de six exercices conscutifs les comptes des personnes morales faisant appel public l'pargne . noter que ces dispositions ne sont applicables que trois ans aprs la promulgation de la LSF. Elles ne remettent pas en cause les mandats des commissaires aux comptes qui seront alors en cours dans la limite de six ans compter de la promulgation de cette loi.
JUIN 2004
26
5. Le renouvellement priodique du mandat des prestataires en place, (autres que les commissaires aux comptes), sans consultation dautres fournisseurs potentiels doit faire lobjet dune documentation approprie. 6. Le processus de slection doit tre dcrit dans un programme mentionnant les membres du comit de slection, les principales tches accomplir, les dates prvisionnelles de chaque phase du processus, les candidats potentiels consulter, la nature et ltendue des services requis, ainsi que les modalits de communication des informations aux candidats potentiels. Au dbut du processus de slection, lorganisation concerne peut inviter tous les candidats potentiels une runion au cours de laquelle le management leur donne des informations sur la demande de services et leur remet un dossier ou un rapport dcrivant les prestations requises. Cette runion gnrale peut tre suivie de runions individuelles sur site organises pour chaque candidat en prsence des reprsentants des dirigeants concerns. Dautres formes de runions et/ou de transmission dinformations peuvent savrer plus pratiques ou mieux adaptes certains cas particuliers. 7. Il peut savrer ncessaire de procder aux consultations en deux tapes, afin de faciliter le processus de slection et de ramener le nombre de prestataires potentiels un nombre raisonnable de candidats. Les consultations initiales auront pour principal objectif de recueillir des informations appropries sur les qualifications et lexprience des candidats potentiels et dautres informations caractre gnral. Il convient notamment dobtenir des informations sur lhistorique et la taille du cabinet, ses ressources disponibles, sa culture dentreprise et son approche daudit, ses comptences particulires, le bureau qui sera charg de la mission, lexprience acquise dans le secteur concern, ainsi quune prsentation des principaux intervenants. 8. lissue du processus de slection initial, les candidats retenus pour la phase suivante recevront une deuxime demande dinformations plus dtaille concernant les services requis. Il convient dtablir une demande de services dtaille dcrivant une une les prestations attendues et les dates cls, et dexiger des candidats quils fournissent des informations prcises, notamment en matire dhonoraires. Un calendrier peut tre tabli pour la suite du processus, afin de prciser les dates de transmission des informations supplmentaires demandes, les dates des runions au cours desquelles les candidats prsenteront leur offre au comit de slection et la date de la slection dfinitive. La demande dtaille devra dissocier chacune des prestations demandes et indiquer si les services peuvent tre attribus globalement ou tre scinds entre plusieurs candidats. 9. Il peut savrer opportun de comparer et de rcapituler les rponses des candidats en fonction des principaux critres, et deffectuer cette synthse sous une forme facilitant lvaluation des prestataires selon des modalits homognes. Les questions
JUIN 2004
27
poses doivent tre choisies de faon rationaliser le processus et centrer lvaluation sur les critres essentiels. Lutilisation dune fiche dvaluation peut faciliter ltablissement par les participants dune synthse pour chacun des candidats. Les informations relatives lhistorique (relations antrieures de lorganisation avec les divers candidats, type de services fournis prcdemment, historique des honoraires, etc.) permettront gnralement de bien placer lopration dans son contexte ds le dbut de lvaluation. 10. Il appartient aux auditeurs internes de dterminer les modalits de suivi des prestations des commissaires aux comptes et des autres auditeurs externes. Il convient de sassurer priodiquement du respect des contrats de services et des autres accords conclus. Laudit interne peut participer au contrle de lindpendance des commissaires aux comptes. Ses rsultats doivent tre communiqus au comit daudit.
28
JUIN 2004
2060
2060
Rapports au Conseil et la direction gnrale

Le responsable de l'audit interne doit rendre compte priodiquement la direction gnrale et au Conseil des missions, des pouvoirs et des responsabilits de l'audit interne, ainsi que des rsultats obtenus par rapport au programme prvu. Ces rapports doivent galement porter sur les risques importants, le contrle et sur le gouvernement d'entreprise, ainsi que sur dautres sujets dont le Conseil et la direction gnrale ont besoin ou ont demand l'examen.
MPA 2060-1 Rapports au Conseil et la direction gnrale Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils rapportent au Conseil et la direction gnrale. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le responsable de l'audit interne doit soumettre un rapport dactivit la direction gnrale et au Conseil, annuellement et, plus frquemment, si ncessaire. Les rapports dactivit doivent mentionner les constatations les plus importantes obtenues lors des audits et les recommandations correspondantes. Ces rapports doivent galement permettre dinformer la direction gnrale et le Conseil de toute variation importante par rapport au programme de travail, aux prvisions deffectifs, et aux budgets. Les raisons de ces variations doivent tre expliques. 2. Les constats daudits importants correspondent des dysfonctionnements qui, selon le responsable de l'audit interne, pourraient tre nfastes lorganisation. Les constats daudit importants peuvent tre des constats dirrgularits, dactes illgaux, derreurs, de non efficience, de gaspillage, dinefficacit, de conflits dintrt et de faiblesses dans les contrles. Aprs avoir examin ces constats et les recommandations avec la direction gnrale, le responsable de l'audit interne doit les communiquer au Conseil, quils aient t ou non rsolus de faon satisfaisante.
OCTOBRE 2002
29
3. Cest au management quil revient de dcider des mesures prendre face aux constats importants signals et aux recommandations. La direction gnrale peut dcider de prendre le risque de ne pas mettre en uvre les actions correctrices en raison de leurs cots ou dautres considrations. Le Conseil doit tre inform des dispositions prises par la direction gnrale concernant ces constats daudit et les recommandations. 4. Le responsable de l'audit interne doit juger sil convient dinformer le Conseil des constats daudit significatifs et des recommandations qui lui ont dj t signals et pour lesquels la direction gnrale et le Conseil ont dcid de ne pas prendre les mesures correctrices proposes et, en consquence, de courir les risques en rsultant. Cette communication peut tre juge particulirement ncessaire lorsque des changements ont eu lieu dans lorganisation, au sein du Conseil ou de la direction gnrale.
A ce titre, laudit interne doit avoir les moyens de se tourner vers un organe indpendant : Conseil et /ou comit daudit, sil estime que la direction gnrale ne prend pas les mesures adquates. Nous renvoyons la MPA 2600-1 qui traite de ce point particulier.
5. En plus des sujets courants ci-dessus, les rapports daudit doivent aussi comparer : a) les ralisations avec les objectifs et les programmes de travail de laudit interne ; b) les dpenses avec le budget financier. Ils doivent expliquer les raisons des carts importants et indiquer toutes les mesures prises ou prendre.
MPA 2060-2 : Relations avec le comit daudit Nature de cette Modalit Pratique dApplication Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes en ce qui concerne les relations entre laudit interne et le comit daudit du Conseil (ou de tout autre organe dlibrant). La prsente MPA na pas pour but de procder un expos exhaustif de tous les points examiner. Elle a seulement pour objet de rsumer les principales informations concernant des relations appropries entre le comit daudit et laudit interne. Le respect des Modalits Pratiques dApplication est facultatif.
30
JUIN 2004
Lenqute sur la pratique de laudit interne en France en novembre 2002 a mis en exergue une progression forte du nombre de comits daudit en France puisque la proportion dorganisations dotes dun tel comit est passe de 20 % en 1995 40 % en 1999 et 62 % en 2002.
1. Lexpression comit daudit est utilise dans le prsent document pour dsigner lorgane charg de superviser les fonctions daudit et de contrle de lorganisation. Bien que ces fonctions soient souvent dlgues au comit daudit manant du Conseil, les informations contenues dans la prsente Modalit Pratique dApplication sappliquent galement aux autres organes de contrle investis de responsabilits et de pouvoirs quivalents. 2. LIIA estime que les comits daudit et les auditeurs internes ont des objectifs communs. Des relations de travail troites avec le comit daudit sont indispensables pour que chacun puisse exercer ses responsabilits vis--vis de la direction gnrale, du Conseil, des actionnaires et des autres tiers. La prsente Modalit Pratique dApplication contient un rsum des positions de lInstitut concernant les diffrents aspects et caractristiques dune relation approprie entre un comit daudit et laudit interne. LInstitut reconnat que les responsabilits du comit daudit englobent des activits qui sortent du champ dapplication de la prsente MPA, cette dernire nayant nullement pour objet de procder une description exhaustive des responsabilits du comit daudit. 3. Trois points sont essentiels pour permettre le bon fonctionnement des relations entre le comit daudit et le service daudit interne, principalement par lintermdiaire du responsable de laudit interne : assister le comit daudit de faon sassurer que sa charte, ses activits et ses processus sont appropris et lui permettent dassumer ses responsabilits ; sassurer que la charte, le rle et les activits de laudit interne sont bien compris et quils rpondent aux besoins du comit daudit et du Conseil ; maintenir un systme de communication ouvert et efficace avec le comit daudit et son Prsident.
Responsabilits du comit daudit

4. Le responsable de laudit interne doit assister le comit de faon sassurer que la charte, le rle et les activits du comit sont appropris et lui permettent dexercer ses responsabilits. Le responsable de laudit interne peut jouer un rle important cet gard en aidant le comit revoir priodiquement ses activits et en suggrant des amliorations. Il exerce donc auprs du comit le rle dun conseiller prcieux en ce qui concerne les pratiques lies aux comits daudit et la rglementation. Le responsable de laudit interne peut notamment :
JUIN 2004
31
examiner au moins une fois par an la charte du comit daudit et indiquer au comit si la charte traite de lensemble des responsabilits qui lui incombent en vertu de descriptions de mission ou de mandats manant du conseil dadministration ; revoir ou tenir un ordre du jour prvisionnel des runions du comit daudit contenant une liste de contrle dtaille de toutes les tches que le comit doit effectuer ; cette liste permettra au comit de confirmer annuellement au Conseil quil a bien rempli lensemble des fonctions qui lui ont t confies ; rdiger lordre du jour des runions du comit daudit, le soumettre au prsident pour examen, faciliter la diffusion des documents aux membres du comit daudit et rdiger le compte-rendu de ces runions ; encourager le comit daudit procder des revues priodiques de ses activits et de ses pratiques en les comparant aux meilleures pratiques en vigueur ; rencontrer priodiquement le prsident du comit afin de vrifier si les informations et les documents fournis aux membres du comit rpondent leurs attentes ; consulter le comit daudit afin de dterminer si des sances de formation ou des runions dinformation seraient utiles, par exemple en vue de former les nouveaux membres du comit aux risques et aux contrles ; consulter le comit daudit afin de dterminer si la frquence des runions quil tient avec lui et le temps quil consacre au comit sont suffisants.
En se basant sur les bonnes pratiques mises en uvre, le responsable de laudit interne peut galement faire des recommandations au comit daudit sur : La frquence de ses runions ; Leur dure (celle-ci doit tre au minimum de deux heures afin davoir le temps de traiter les sujets importants) ; Le calendrier : idalement, les runions du comit daudit doivent se tenir au moins une semaine avant celles du Conseil afin que le comit daudit dispose du temps ncessaire pour prparer et documenter, lintention du Conseil, la communication des sujets significatifs dont il a connaissance.
Rle du service daudit interne

5. Dans le cadre de ses relations avec le comit daudit, le responsable de laudit interne a un rle essentiel qui est de sassurer que le comit comprend, soutient et reoit toute lassistance requise de laudit interne. LIIA estime pour sa part quune gouvernance solide repose sur la synergie cre entre les quatre principales composantes dun processus efficace de gouvernement dentreprise : Conseil, direction gnrale,
32
JUIN 2004
auditeurs internes et auditeurs externes. Cette structure se caractrise par un soutien rciproque entre les auditeurs internes et les comits daudit. Pour apprhender parfaitement les activits de lorganisation, le comit daudit doit imprativement tenir compte des travaux des auditeurs internes. Un rle fondamental du responsable de laudit interne vis--vis du comit consiste essentiellement sassurer que cet objectif est rempli et que le comit le considre comme un conseiller fiable. cette fin, il peut prendre les mesures suivantes : demander au comit dexaminer et dapprouver annuellement la charte de laudit interne ;
(un modle de charte du service daudit interne peut tre consult sur le site Web de lIIA : http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383) et sur le site de lIFACI : www.ifaci.com
examiner avec le comit daudit les rattachements fonctionnel et hirarchique de laudit interne afin de sassurer que lorganigramme en place garantit aux auditeurs internes une indpendance suffisante (Modalit Pratique dApplication 1110-2 : Rattachement du responsable de laudit interne) ; inclure dans la charte du comit daudit lexamen des dcisions concernant le recrutement, la dsignation, la rmunration, lvaluation, le maintien ou le licenciement du responsable de laudit interne ;
Il nous semble important de reporter, sur ce sujet, les commentaires faits par quatre prsidents de comits daudit dans le cadre de lenqute mene en novembre 2002 sur la pratique de laudit interne en France. Ils tracent clairement les limites de limplication du comit daudit dans le fonctionnement de laudit interne : la nomination des responsables daudit interne appartient la direction gnrale, le comit daudit pouvant au mieux tre consult sur les nominations ou simplement inform pour les licenciements.
Jacques Friedmann (Prsident du comit daudit de Total)

Il y a un responsable, qui est le Prsident de lentreprise, et par consquent cest lui de choisir ses collaborateurs. Il faut certes quil y ait une indpendance du responsable de laudit interne, mais il demeure un salari de lorganisation. Alors, que le Comit daudit soit inform, oui, mais je ne pense pas quil faille prvoir une approbation du comit daudit. Je ne pense pas que ce soit le rle du comit daudit dintervenir dans le fonctionnement mme de lentreprise et, par consquent, dans le choix des principaux collaborateurs du Prsident .
JUIN 2004
33

Je trouve malsain que des problmes de nomination, de droulement de carrire soient influencs par des opinions qui ne sont pas celles de la direction gnrale. Je pense que cest la direction gnrale de prendre ses responsabilits.
Grard de La Martinire (Prsident du comit daudit de Schneider)

Je crois que cette dsignation doit rester le fait de la direction gnrale de lentreprise. Mais il est certainement utile que le comit daudit ou son Prsident soit associ lidentification de la personne qui sera la plus mme dexercer cette fonction, de faon pouvoir tablir cette relation de confiance qui est ncessaire pour que le comit daudit puisse sappuyer compltement sur les prestations de services de laudit interne.
Raymond Levy (Prsident du comit daudit de Lagardre)

Le Comit daudit doit-il tre consult sur la nomination du responsable de laudit interne ? Je nen suis pas certain, parce quil ne dispose pas du tout des mmes lments sur la qualit des hommes que ceux dont dispose la direction des ressources humaines de lentreprise. Il ne faut pas non plus quil se donne des pouvoirs quil na pas rellement les moyens dexercer intelligemment. Il peut les exercer si on les lui donne, encore faut-il quil ait un fondement pour les exercer. Par contre, sur un licenciement je me poserais la question. Et je pense quil serait utile de veiller ce que le comit daudit sache pourquoi un patron daudit interne est licenci, quon lui en explique les raisons, et quil puisse vrifier lui-mme que les raisons ne sont pas mauvaises.
Jacques Calvet (Prsident du comit daudit dAxa, de la Socit Gnrale et des Galeries Lafayette)
Il y avait un excellent patron du Contrle Interne chez Axa, mais qui est arriv la retraite. Eh bien, on m'a consult pour savoir si le choix qu'on a fait de son successeur me convenait ou pas. On m'a donn un dossier, j'ai eu une conversation avec l'intress, et j'ai constat qu'il tait vraiment admirablement fait pour ce poste. Mais j'ai t consult. Et je pense que si j'avais dit : "coutez ! Vous avez peut-tre quelqu'un de plus qualifi parmi vos collaborateurs", on en aurait tenu compte.
inclure dans la charte du comit daudit lexamen et lapprobation des projets de sous-traitance de toute activit daudit interne ; aider le comit daudit vrifier que laudit interne dispose des ressources humaines et financires suffisantes, valuer le champ et les rsultats des activits daudit interne, et sassurer quaucune restriction de son budget ou de son champ dintervention ne compromet sa capacit remplir sa mission ;
34
JUIN 2004
fournir des informations sur la coordination avec les autres fonctions de contrle et sur la supervision de ces dernires (management des risques, dontologie, scurit, continuit de lexploitation, juridique, thique, environnement, audit externe) ; rendre compte des problmes significatifs concernant les processus de contrle des activits de lorganisation et des socits apparentes, notamment en signalant les amliorations susceptibles dtre apportes ces processus, et fournir des informations sur ces diffrents points jusqu leur rsolution ; informer la direction gnrale et le comit daudit sur ltat davancement et les rsultats du plan annuel daudit, et sur le caractre suffisant des ressources de laudit interne ; laborer un plan annuel daudit souple selon une mthodologie approprie fonde sur les risques, incluant tous les risques ou les problmatiques de contrle identifis par le management, et le soumettre au comit daudit pour examen, approbation et mise jour priodique ; rendre compte de la mise en uvre du plan annuel daudit, tel quil a t approuv, en mentionnant, le cas chant, toute mission ou projet spcial demand par la direction gnrale et le comit daudit ; prciser dans la charte de laudit interne quil doit informer le comit daudit, dans des dlais appropris, de tout soupon de fraude concernant des membres du management ou des employs impliqus de faon significative dans le dispositif de contrle interne de la socit ; participer aux enqutes ralises au sein de lorganisation en cas de soupons de fraude significative ; informer la direction gnrale et le comit daudit du rsultat de ces enqutes ;
Nous renvoyons la MPA 2440-3 : La communication dinformations sensibles par la voie hirarchique ou en marge de celle-ci . Nous insistons sur la ncessit dinclure dans la charte daudit interne ce droit dalerte lgard du comit daudit.
le comit daudit doit tre inform que des valuations externes doivent tre ralises au moins tous les cinq ans afin de permettre laudit interne de dclarer que ses activits sont conduites conformment aux Normes pour la Pratique Professionnelle de lAudit Interne. De telles valuations apporteront au comit daudit et la direction gnrale lassurance que laudit interne respecte les Normes.
JUIN 2004
35
Les rsultats de lenqute sur la pratique de laudit interne en France en 2002 viennent conforter les bonnes pratiques dcrites dans la prsente MPA et attestent de lexistence dune relation forte et continue entre laudit interne et le comit daudit. Ainsi, 88 % des responsables daudit interne participent toutes les runions des comits daudit, qui se tiennent en moyenne 3 4 fois par an ; 1/3 dentre eux rencontrent les prsidents des comits daudit en tte tte ; 1/4 assurent le secrtariat des runions des comits daudit. Les principaux sujets voqus au cours de ces runions sont : la revue du plan daudit, lexamen des conclusions des missions, la revue de lvaluation des risques, le suivi des actions de progrs. Le point de vue des prsidents de comits daudit sur ce quils attendent de laudit interne est galement particulirement riche denseignements :
Grard de La Martinire (Prsident du comit daudit de Schneider)

Quel rle pour laudit interne dans lorganisation du gouvernement dentreprise ? Cest un rle important, je pense, mais probablement un peu cach. Cest un rle un peu cach, parce qu la diffrence des autres piliers du gouvernement dentreprise, quil sagisse du conseil dadministration, de la direction gnrale ou des commissaires aux comptes, il napparat pas dans la lgislation comme faisant partie des organes sociaux ou des organes de contrle de lentreprise.

Laudit interne, cest linstrument qui doit permettre tous les participants lactivit du corporate governance davoir un regard de lintrieur sur le respect des procdures et lvaluation des risques. Bien entendu, le conseil dadministration, les auditeurs externes, le comit daudit ont leur propre regard, mais rien ne remplace laccs direct au terrain, aux donnes et la vrification sur place de ce qui existe ou de ce qui nexiste pas. Donc, il me parat absolument clair quil est tout fait impratif que le comit daudit ait un dialogue direct, intervalles rguliers, aussi souvent quil le souhaite si ncessaire, avec le patron de laudit interne.
Raymond Levy (Prsident du comit daudit de Lagardre)

Le comit daudit sassure que lentreprise fonctionne bien, quil ne sy produira pas de dysfonctionnements, que le bilan, compte dexploitation, etc. sont sains et ne manifestent pas de risques majeurs. Cest le problme des risques stratgiques. Mais dans le dtail galement, il se soucie du bon fonctionnement de lentreprise au niveau de ses grands services, et cest l o cette liaison avec laudit interne est essentielle.
36
JUIN 2004
Jacques Friedmann
Le comit daudit, doit tre inform des programmes daudit, des rsultats, des principales observations faites, des dysfonctionnements relevs et je crois quil faut que ce soit de faon aussi rgulire que possible. Dans les entreprises o jai participer au comit daudit, je souhaite qu chaque runion, cest--dire 4 fois par an nous ayons ce compte-rendu.
Jacques Calvet (Prsident du comit daudit de Axa, de la Socit Gnrale et des Galeries Lafayette)
Nous avons dautre part, depuis trs longtemps, prvu que tous les rapports daudit seraient adresss aux membres du comit daudit avec les recommandations qui taient faites et les rponses aux recommandations. Et jai demand et obtenu tout fait volontiers de la part du management que, pour les questions qui dpassaient les responsabilits de lorganisme contrl, qui taient des problmes stratgiques disons et qui ne pouvaient donc tre rgls que par le directoire, nous soyons saisis deux fois par an des suites donnes par le directoire aux recommandations de laudit interne.
Jean Peyrelevade
Il me parat lgitime que le comit daudit se prononce le cas chant sur les moyens de laudit interne, cest--dire puisse dire au Conseil dadministration : "Faites attention, votre instrument est sous dimensionn", soit quantitativement, soit qualitativement. Donc, il est tout fait clair que le patron de laudit interne est un des interlocuteurs rguliers, permanents, mes yeux, du prsident du comit daudit.
Communications avec le comit daudit

6. Sans remettre en cause limportance des points examins ci-dessus, lefficacit de la relation entre le responsable de laudit interne et le comit daudit repose, pour une large part, sur les communications tablies entre les parties. De nos jours, les comits daudit attendent une communication de haut niveau, ouverte et sincre. Le responsable de laudit interne doit tre peru comme un conseiller fiable par le comit, et les communications jouent cet gard un rle cl. Laudit interne peut, par dfinition, aider le comit daudit raliser ses objectifs par la mise en uvre dune approche systmatique et mthodique, mais ce rsultat ne peut tre obtenu sans une communication approprie. Le responsable de laudit interne doit envisager de communiquer des informations au comit daudit selon les modalits suivantes : runions rgulires prives entre le comit daudit et le responsable de laudit interne afin dexaminer les points sensibles ; prsentation annuelle dun rapport rsum sur les rsultats des activits de laudit interne dans le cadre de la mission pralablement dfinie de laudit interne et de son champ dintervention ;
JUIN 2004
37
diffusion de rapports priodiques au comit daudit et la direction gnrale, rcapitulant les rsultats des activits daudit ; communication permanente au comit daudit dinformations sur les tendances mergentes et les meilleures pratiques dans le domaine de laudit interne ; en liaison avec les auditeurs externes, mesure de la satisfaction des besoins dinformation du comit daudit ; contrle de lexactitude et du caractre exhaustif des informations transmises au comit daudit ; contrle de la bonne coordination des travaux entre les auditeurs internes et les auditeurs externes ; le cas chant, identification et justification des travaux faisant double emploi.
Il incombe au comit daudit de sassurer quil existe une coordination efficace des travaux des auditeurs internes et externes. Il doit encourager, si ncessaire, lentretien de relations privilgies et dchanges frquents entre ces deux acteurs. ce titre, la MPA 2050-1 : Coordination donne plusieurs recommandations trs concrtes. Le responsable de laudit interne doit informer le comit daudit des rsultats de lvaluation quil a faite de cette coordination en mettant en vidence les convergences et divergences dapprciation de lefficacit du contrle interne. Cette valuation et sa communication prennent tout leur relief dans le contexte de la Loi de Scurit Financire du 1er aot 2003. Cette loi requiert du prsident du conseil dadministration ou du conseil de surveillance (des socits anonymes, cotes ou non cotes) quil rende compte, dans un rapport prsent lassemble gnrale, des conditions de prparation et dorganisation des travaux du Conseil ainsi que des procdures de contrle interne mises en place par la socit (art. 117). Le rle de laudit interne est bien entendu majeur puisque le Prsident, afin de rpondre cette exigence, appuiera son rapport sur les documents prpars par ses collaborateurs : directeur comptable, directeur juridique, directeur financier et surtout le directeur daudit interne et sur les travaux dvaluation des procdures de contrle interne mens par laudit interne. Le rle majeur du directeur daudit interne peut mme aller jusqu la rdaction dun projet de rapport. Ces documents prparatoires nont pas tre mentionns dans le rapport mais ils doivent tre conservs pour tre prsents, si ncessaire, lAMF. En outre, la Loi exige du commissaire aux comptes quil prsente ses observations sur le rapport du prsident pour ce qui est des procdures de contrle interne relatives llaboration et au traitement de linformation comptable et financire. Une collaboration troite entre auditeur interne et commissaire aux comptes est donc fondamentale pour permettre chacun de remplir ses responsabilits au regard de la Loi de Scurit Financire.
38
JUIN 2004
MPA SRIE 2100

Nature du travail
2100 N A T U R E
DU
T R AVA I L
L'AUDIT INTERNE DOIT VALUER LES PROCESSUS DE MANAGEMENT DES RISQUES, DE CONTRLE ET DE GOUVERNEMENT DENTREPRISE ET CONTRIBUER LEUR AMLIORATION SUR LA BASE DUNE APPROCHE SYSTMATIQUE ET MTHODIQUE
MPA 2100-1 Nature du travail Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils dterminent la nature du travail daudit interne mener. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. La nature des travaux de laudit interne se dfinit par une approche systmatique et mthodique dvaluation et damlioration de la pertinence et de lefficacit des processus de management des risques, de contrle et de gouvernement dentreprise ainsi que par le niveau de la qualit atteint dans laccomplissement des responsabilits confies. Lvaluation de la pertinence des processus de management des risques, de contrle et de gouvernement dentreprise a pour objectif de fournir une assurance raisonnable que ces processus fonctionnent comme prvu et quils permettront lorganisation datteindre ses objectifs et ses buts. Elle a galement pour objectif de proposer des recommandations pour amliorer le fonctionnement de lorganisation, en termes la fois defficience et defficacit. Il se peut galement que la direction gnrale et le Conseil donnent de grandes orientations quant au champ dintervention et aux activits auditer. 2. Il y a pertinence des processus de management des risques, de contrle et de gouvernement dentreprise si le management les a conus et organiss de telle manire quils apportent une assurance raisonnable que les objectifs et les buts fixs seront efficacement et conomiquement atteints. Un fonctionnement efficace permet
JUIN 2004
datteindre avec prcision les objectifs et les buts fixs, bonne date et au moindre cot. Un fonctionnement conomique permet datteindre les objectifs et buts avec une utilisation minimale de ressources (cest--dire des cots moindres) en proportion du risque encouru. Une assurance raisonnable est apporte ds lors que les mesures les plus efficaces et conomiques possible sont prises ds la conception et la mise en place des processus pour rduire les risques et limiter les carts attendus un niveau tolrable. Ainsi, la conception commence par la dtermination des objectifs et des buts. Puis il convient dassembler ou de relier les concepts, les diverses composantes, les activits et les personnes de telle sorte quils concourent conjointement la ralisation des objectifs et des buts fixs. 3. Il y a efficacit des processus de management des risques, de contrle et de gouvernement dentreprise si le management dirige ces processus de telle sorte quils apportent une assurance raisonnable que les objectifs et les buts de lorganisation seront atteints. Diriger implique, en plus de la ralisation des objectifs et des activits prvue, lautorisation des transactions et des activits, la surveillance des rsultats obtenus et la vrification que les processus de lorganisation fonctionnent comme prvu. 4. Dune faon gnrale, le management est responsable de la prennit de lorganisation vis--vis des actionnaires, des autres parties prenantes, des instances rglementaires et du public qui il doit rendre compte de ses actions, de sa gestion et des rsultats de lorganisation. Plus prcisment, lobjectif premier du processus de management est daboutir : une information financire et oprationnelle pertinente et fiable ; une utilisation efficace et efficiente des ressources de lorganisation ; la protection des actifs de lorganisation ; la conformit avec les lois, rglementations, normes dthique et de conduite des affaires, ainsi que les contrats ; lidentification des risques encourus et lutilisation de stratgies efficaces pour les contrler ; des objectifs et des buts fixs aux oprations ou projets. 5. Le management planifie, organise et dirige laccomplissement dactions suffisantes pour fournir une assurance raisonnable que les objectifs et les buts tablis seront atteints. Le management examine priodiquement ceux-ci et modifie ses processus pour tenir compte des changements des conditions internes et externes. Le management tablit et maintient une culture dentreprise et un climat thique qui favorisent le contrle. 6. Est un contrle toute mesure prise par le management pour augmenter la probabilit que les objectifs et les buts fixs seront atteints. Les contrles peuvent tre prven4
OCTOBRE 2002
SRIE 2100 - NATURE DU TRAVAIL
tifs (pour prvenir la survenance de tout vnement non souhaitable), dtectifs (afin didentifier les vnements non souhaitables qui se sont produits et de corriger leurs effets), ou directifs (afin de provoquer et dencourager la survenance dun vnement souhait). Le concept dun systme de contrle renvoie un ensemble intgr de composants et dactivits utilis par une organisation pour atteindre ses objectifs et ses buts. 7. Les auditeurs internes examinent et valuent lensemble du processus de planification, dorganisation et de gestion pour dterminer sil existe une assurance raisonnable que les objectifs et les buts seront atteints. En se plaant dans une perspective davenir, les auditeurs internes doivent veiller aux changements des conditions internes ou externes, rels ou potentiels, qui pourraient affecter la capacit du systme de contrle fournir une telle assurance. Dans ce contexte, les auditeurs internes doivent prter attention aux risques dune dtrioration possible de la performance. 8. Ces valuations conduites par laudit interne permettent globalement dobtenir les informations ncessaires l'apprciation du processus de management dans son ensemble. Tous les systmes dactivit, processus, oprations, fonctions et activits au sein dune organisation sont soumis aux valuations de laudit interne. Un champ exhaustif des travaux daudit interne doit permettre dobtenir une assurance raisonnable que : le systme de management des risques est efficace ; le systme de contrle interne est efficace et efficient ; le gouvernement dentreprise est efficace et rpond aux objectifs suivants : dfinir et prserver les valeurs, fixer les objectifs, suivre les activits et les performances, et dfinir les manires dont on rend compte.
2410
MPA 2100-2 Scurit de linformation Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de lvaluation des activits du gouvernement dentreprise en matire de scurit de linformation. La prsente MPA na pas pour but de prsenter toutes les procdures mettre en uvre dans le cadre dune mission daudit ou de conseil concernant la scurit de linformation. Elle a seulement pour objet de dcrire les responsabilits quil est recommand de confier aux auditeurs en complment de celles qui incombent au Conseil et au management. Le respect des Modalits Pratiques dApplication est facultatif.
OCTOBRE 2002
1. Les auditeurs internes doivent sassurer que le management, le Conseil, ainsi que le comit daudit ou tout autre organe de direction, sont conscients de la responsabilit du management en matire de scurit de linformation. Cette responsabilit porte sur toutes les informations essentielles pour lorganisation, quel que soit leur support de conservation. 2. Le responsable de l'audit interne doit sassurer que laudit interne dispose ou a accs des ressources appropries pour valuer la scurit de linformation et les risques correspondants. Ces derniers incluent tant les risques internes que les risques externes et, notamment, ceux affrents aux relations tablies par lorganisation avec dautres entits externes. 3. Les auditeurs internes doivent sassurer que le Conseil, le comit daudit ou tout autre organe de direction ont obtenu du management lassurance que laudit interne serait rapidement inform de toute atteinte la scurit de linformation et de toute situation susceptible de constituer une menace pour lorganisation. 4. Les auditeurs internes doivent valuer, au niveau estim ncessaire, lefficacit des mesures prises, en vue de prvenir, dtecter et attnuer les attaques survenues par le pass, ainsi que tout incident ou tentative d'attaque susceptible de se produire l'avenir. Les auditeurs internes doivent confirmer que le Conseil, le comit daudit ou tout autre organe de direction ont bien t informs des menaces ou incidents survenus, des faiblesses exploites et des mesures correctives. 5. Les auditeurs internes doivent valuer priodiquement le dispositif de scurit de linformation de lorganisation et recommander, le cas chant, des amliorations ou la mise en place de nouveaux contrles et de nouvelles mesures de sauvegarde. lissue de cette valuation, un rapport dassurance doit tre prsent aux membres du Conseil, du comit daudit ou de tout autre organe de direction comptent. Ces valuations peuvent faire lobjet de missions distinctes et isoles ou tre intgres dans dautres missions ralises dans le cadre du plan daudit approuv.
2420
MPA 2100-3 Le rle de laudit interne dans le processus de management des risques Nature de cette Modalit Pratique dApplication : La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit . Le respect des Normes suppose que
6
OCTOBRE 2002
les auditeurs internes jouent un rle cl dans le processus de management des risques dune organisation. Lobjet de la prsente MPA est daider les auditeurs internes dfinir leur rle dans le processus de management des risques dune organisation et respecter les Normes. Il peut savrer ncessaire de tenir compte dautres lments que ceux contenus dans la prsente Modalit Pratique dApplication. Le respect des Modalits Pratiques dApplication est facultatif.
1. La gestion des risques est une responsabilit majeure du management qui doit sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement des processus de management des risques. Il incombe au Conseil et au comit daudit de veiller ce que des processus de management des risques appropris, suffisants et efficaces soient en place. Le rle des auditeurs internes consiste assister et le management et le comit daudit, en examinant et en valuant les processus de management des risques mis en uvre par le management, en vrifiant quils sont suffisants et efficaces, puis en mettant des rapports et des recommandations en vue de leur amlioration. Le management et le Conseil sont responsables des processus de contrle et de management des risques de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation identifier, valuer et mettre en place un dispositif de management des risques et des contrles permettant de matriser ces risques. 2. valuer les processus de management des risques de lorganisation et rendre compte de ces valuations font normalement partie des objectifs prioritaires de laudit. Lvaluation du processus de management des risques est distinguer de lanalyse des risques laquelle les auditeurs doivent procder pour tablir leur planification. Cependant, les informations tires dun processus complet de management des risques, et notamment lidentification des sujets de proccupation du management et du Conseil, peuvent aider lauditeur interne planifier ses travaux daudit. 3. Le responsable de l'audit interne doit sinformer auprs du management et du Conseil du rle attendu de laudit interne dans le processus de management des risques de lorganisation. Ce rle sera prcis dans les chartes de laudit interne et du comit daudit. 4. Les responsabilits et les activits de toutes les personnes qui interviennent en groupe ou titre individuel dans le processus de management des risques de lorganisation doivent tre coordonnes. Ces responsabilits et ces activits doivent tre correctement formalises dans les plans stratgiques de lorganisation, les directives du Conseil et du management, les procdures oprationnelles et autres instruments relevant du gouvernement dentreprise. A titre dexemple, les activits et les responsabilits documenter comprennent :
OCTOBRE 2002
la dfinition des orientations stratgiques, qui peut tre du ressort du Conseil ou dun comit ; les responsabilits lies aux risques qui peuvent tre dfinies par la direction gnrale ; lacceptation des risques rsiduels, qui peut tre confie aux cadres dirigeants ; les oprations continues didentification, dvaluation, dattnuation et de suivi, qui peuvent tre dlgues aux oprationnels ; les valuations priodiques et lapport dune assurance qui doivent tre du ressort de laudit interne. 5. On attend des auditeurs internes quils identifient et valuent les risques significatifs dans le cadre de leurs activits courantes. 6. Le rle de laudit interne dans le processus de management des risques dune organisation peut voluer dans le temps et revtir les formes suivantes : aucune intervention ; audit du processus de management des risques dans le cadre du programme daudit interne ; soutien actif et continu, et participation au processus de management des risques, notamment dans le cadre de comits de surveillance, dactivits de suivi et de lmission de rapports concernant le processus ; gestion et coordination du processus de management des risques. 7. En dfinitive, il incombe aux cadres dirigeants et au comit daudit de dterminer le rle de laudit interne dans le processus de management des risques. La vision du management dans ce domaine sera vraisemblablement fonction de facteurs tels que la culture de lorganisation, la comptence des auditeurs internes, la situation et les usages du pays. 8. Dautres lignes directrices figurent dans les Modalits Pratiques dApplication suivantes : Modalit Pratique dApplication n 2100-4, Le rle de laudit interne en labsence de processus de management des risques. Modalit Pratique dApplication n 1130.A1-2, Responsabilits exerces par laudit interne au titre dautres fonctions. Modalit Pratique dApplication n 2110-1, valuer le processus de management des risques. Modalit Pratique dApplication n 2010-2, La prise en compte des risques pour llaboration du programme daudit.
8
OCTOBRE 2002
MPA 2100-4 Le rle de laudit interne en labsence de processus de management des risques Nature de cette Modalit Pratique dApplication : La dfinition de laudit interne nonce quil aide lorganisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle, et de gouvernement dentreprise, et en faisant des propositions pour renforcer leur efficacit . Le respect des Normes pour la Pratique Professionnelle de laudit interne suppose que les auditeurs internes jouent un rle cl dans le processus de management des risques dune organisation. Cependant, certaines organisations ne disposent daucun processus prouv de gestion des risques. Le but de la prsente MPA est daider les auditeurs internes dfinir leur rle dans une organisation dpourvue dun tel processus. Il peut savrer ncessaire de tenir compte dautres lments que ceux contenus dans la prsente Modalit Pratique dApplication. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le management des risques est une responsabilit majeure du management qui doit sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement des processus de management des risques. Il incombe au Conseil et au comit daudit de veiller ce que des processus de management des risques appropris, suffisants et efficaces soient en place. Le rle des auditeurs internes consiste assister et le management et le comit daudit, en examinant et en valuant les processus de management des risques mis en uvre par le management, en vrifiant quils sont suffisants et efficaces, puis en mettant des rapports et des recommandations en vue de leur amlioration. Le management et le Conseil sont responsables des processus de contrle et de management des risques de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation identifier, valuer et mettre en place un dispositif de management des risques et de contrle permettant de matriser ces risques. 2. valuer les processus de management des risques de lorganisation et rendre compte de ces valuations font normalement partie des objectifs prioritaires de laudit. Lvaluation des processus de management des risques mis en place par le management est distinguer de lanalyse des risques laquelle les auditeurs doivent procder pour tablir leur programme. Cependant, les informations tires dun processus complet de management des risques, et notamment lidentification des sujets de proccupation du management et du Conseil, peuvent aider lauditeur interne planifier ses travaux daudit.
OCTOBRE 2002
3. Le responsable de l'audit interne doit sinformer auprs du management et du Conseil du rle attendu de laudit interne dans le processus de management des risques de lorganisation. Ce rle sera prcis dans les chartes de laudit interne et du comit daudit. 4. Lorsquune organisation na pas mis en place de processus de management des risques, lauditeur interne doit attirer lattention du management sur ce point et formuler des suggestions en vue de la mise en place dun tel processus. Lauditeur interne doit consulter le management et le Conseil propos du rle de laudit interne dans le processus de management des risques. Les chartes de laudit interne et du comit daudit doivent indiquer leur rle respectif dans ce processus. 5. Les auditeurs internes peuvent, sils y sont invits, jouer un rle proactif en participant la mise en place initiale dun processus de management des risques au sein de lorganisation. Outre leur mission classique dassurance, ils assument alors un rle de conseil en vue de lamlioration des processus fondamentaux. Si cette assistance dpasse le cadre des missions dassurance et de conseil gnralement confies aux auditeurs internes, lindpendance des auditeurs peut tre altre. Dans ce cas, ils doivent respecter lobligation dinformation prvue par les Normes. On trouvera galement des directives complmentaires dans la Modalit Pratique dApplication n 1130.A1-2, relative aux responsabilits exerces par laudit interne au titre dautres fonctions. 6. Il convient de diffrencier le rle proactif de lauditeur dans la mise en place et la gestion dun dispositif de management des risques, du rle de responsable des risques . Pour viter de se voir attribuer la responsabilit des risques, les auditeurs internes doivent obtenir du management la confirmation que ce dernier veille lidentification, lattnuation et au suivi des risques et quil en assume la responsabilit. 7. En rsum, les auditeurs internes peuvent faciliter ou permettre la mise en uvre des processus de management des risques, mais ils ne doivent pas pour autant assumer la responsabilit du management des risques identifis. MPA 2100-5 valuation des programmes de compliance (conformit aux rglementations) aspects juridiques Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de lvaluation des programmes de conformit aux rglementations dune organisation. La prsente MPA na pas pour but de prsenter toutes les procdures mettre en uvre dans le cadre dune mission dassurance ou de conseil concernant le respect de la rglementation. Le respect des Modalits Pratiques dApplication est facultatif.
10
OCTOBRE 2002
Remarque pralable Les auditeurs internes sont invits consulter un juriste sur toute question dordre juridique, la rglementation tant susceptible de varier de faon significative selon les pays. Les directives contenues dans la prsente Modalit Pratique dApplication reposent principalement sur le systme juridique des Etats-Unis. 1. Lobjet des programmes de conformit est de faciliter la prvention des infractions commises par inadvertance par le personnel, la dtection dactes illgaux et la dissuasion de toute infraction commise sciemment par le personnel. Ils peuvent galement permettre de justifier les rclamations adresses aux compagnies dassurance, de dlimiter les responsabilits des administrateurs et autres personnes, dinstaurer ou de renforcer une vritable culture dentreprise et dapprcier le caractre appropri de dommages et intrts. Pour valuer les programmes de " compliance " dune organisation, les auditeurs internes doivent examiner les points suivants, dont lobjet est de garantir lefficacit de ces programmes. 2. Lorganisation doit tablir, lattention du personnel et autres agents, des normes et des procdures de conformit qui permettront de rduire, de manire raisonnable, le risque de conduite frauduleuse. Lorganisation doit laborer un code de conduite crit, indiquant clairement quelles activits sont interdites. Ce code doit tre rdig dans un langage comprhensible par tous et exempt de tout jargon juridique. Un bon code de conduite permet au personnel de se rfrer des directives en cas dhsitation. Linsertion de check-list et dune section questions-rponses, ainsi que la rfrence dautres sources contenant de plus amples informations, contribueront rendre le code plus convivial. Lorganisation doit tablir un organigramme permettant didentifier les administrateurs, la direction gnrale, le responsable de la conformit et les membres du personnel chargs de la mise en place des programmes de conformit. Un code de conduite peut accrotre le risque de voir les collaborateurs commettre des actes illgaux ou contraires lthique si ces derniers le jugent formaliste et inquitable, ou au contraire rduire ce risque sils le jugent loyal et quitable. Les socits dont le rgime dintressement et de primes favorise des comportements illgaux ou apparemment contraires lthique crent un environnement peu propice au respect de la rglementation. Les socits internationales doivent instaurer un programme de conformit lchelle mondiale, et non pas seulement pour quelques pays. Ces programmes doivent tenir compte des situations, des lgislations et des rglementations nationales. 3. Il convient de dsigner au sein de lorganisation un ou plusieurs collaborateurs de haut niveau chargs de veiller au respect des normes et des procdures.
OCTOBRE 2002
11
Lexpression collaborateurs de haut niveau vise les personnes qui jouent un rle important dans lorganisation ou dans son processus de dcision. Les collaborateurs de haut niveau incluent les administrateurs, les cadres, les dirigeants responsables dune branche ou dune fonction de lorganisation importante telle que les ventes, ladministration ou les finances, ainsi que les personnes dtenant une importante participation dans lorganisation. Le Directeur Gnral et les autres membres du comit excutif doivent simpliquer de faon significative dans le programme pour assurer son efficacit. Dans certaines organisations, le rattachement de la fonction compliance au responsable juridique de la socit peut faire penser au personnel que le management ne sintresse gure au programme, et que ce dernier na dimportance que pour le service juridique et non pour lensemble de lorganisation. Dans dautres organisations, le mme rattachement peut avoir leffet inverse. Dans les grandes socits comportant plusieurs centres de profit, il convient de dsigner dans chacun dentre eux un collaborateur de haut niveau responsable de la fonction compliance . Il ne suffit pas de crer le poste de compliance officer (responsable de la conformit) et de slectionner les autres membres de lquipe. La socit doit galement sassurer que ces collaborateurs possdent lautorit et les ressources ncessaires lexercice de leur mission. Il faut en outre quils puissent avoir accs la direction gnrale. Le compliance officer doit tre directement rattach au P.-D.G. 4. Lorganisation doit veiller ne pas dlguer de pouvoirs discrtionnaires importants des personnes dont elle sait, ou devrait savoir, quelles sont susceptibles de commettre des actes illicites. Les socits doivent vrifier les antcdents de tout candidat un poste quel que soit son niveau et sassurer quil na commis aucun mfait, en particulier dans le secteur dactivit de la socit. Les formulaires de candidature devraient comporter une rubrique sur le casier judiciaire. Les membres des professions rglementes devront tre questionns sur tout antcdent disciplinaire. Il convient de veiller ce que la socit ne commette aucune atteinte la vie prive des employs et des candidats selon les lois applicables dans ce domaine. De nombreux pays ont une lgislation qui limite ltendue des informations quune socit peut obtenir dans le cadre denqutes concernant le personnel. 5. Lorganisation doit veiller bien communiquer ses normes et ses procdures tous ses personnel et agents (non salaris). A cet effet, elle peut, par exemple, exiger leur participation des programmes de formation ou diffuser des documents afin dexpliquer ce quelle attend deux en pratique.
12
OCTOBRE 2002
Lefficacit dun programme de conformit dpendra du mode de prsentation adopt. En rgle gnrale, la communication de type interactif est plus efficace quun expos formel. De mme, les programmes prsents par un animateur fonctionnent gnralement mieux que les programmes entirement prsents sous forme de vido ou de jeu. Lorganisation de sessions priodiques est plus efficace quune prsentation unique. Les meilleurs programmes incluent une formation qui permet aux salaris dexprimenter de nouvelles techniques et dexploiter de nouvelles informations. Ce type de formation, particulirement adapt pour le management, est galement efficace pour les collaborateurs tous les niveaux. Le code de conduite et le manuel du personnel doivent tre rdigs de faon en faciliter la lecture et la comprhension. Dautres modes de prsentation du code et du manuel doivent tre adopts et mis en uvre pour les collaborateurs qui nont pas un niveau dtudes suffisant. La conformit aux rglementations doit faire lobjet de conseils, de dclarations et davertissements diffuss aux employs sur divers supports : bulletins, affiches, courrier lectronique, questionnaires et prsentations. Il convient de prsenter le programme plusieurs reprises diffrentes catgories de personnel, en ciblant les informations prsentes sur les points qui sont importants chaque groupe. Les informations diffuses doivent tre adaptes aux exigences des postes occups par les membres du groupe considr. Il faut, par exemple, diffuser des informations sur la protection de lenvironnement aux employs de services tels que la fabrication ou la gestion immobilire, qui ont plus de chances de commettre ou de dtecter une infraction la lgislation ou la rglementation applicable en la matire. En revanche, face un groupe qui nexerce pas ce type de responsabilits, cette formation peut savrer prjudiciable et ninspirer que de lindiffrence, ou laisser croire aux salaris que le programme est mal conu. Il convient de dispenser aux nouveaux collaborateurs, dans le cadre du programme dorientation qui leur est destin, une formation de base en matire de conformit aux rglementations. Ils pourront par la suite participer aux actions entreprises dans leur service. Les agents de lorganisation doivent tre convis une prsentation spcialement conue leur attention. Il est important pour une socit de communiquer ses agents les valeurs fondamentales de lorganisation, et de les informer que leurs actes feront lobjet dun suivi dans le cadre du programme de conformit ds lors quils engagent la socit. Lorganisation doit tre prte rompre toute relation avec les agents qui nadhrent pas ses principes en matire de compliance . Les organisations doivent exiger priodiquement de leurs salaris une dclaration crite attestant quils ont pris connaissance du code de conduite de la socit,
OCTOBRE 2002
13
quils lont compris et quils sy sont conforms. Ces informations doivent tre communiques annuellement la direction gnrale et au Conseil. Tous les documents relatifs lthique codes de conduite, procdures/manuels de la DRH, etc. doivent tre mis la disposition de chaque salari. Ladoption dun mode daccs permanent tel que la diffusion sur lintranet est vivement conseille. 6. Lorganisation doit prendre des mesures appropries afin dassurer le respect de ses normes. A titre dexemple, ces mesures incluent lutilisation de systmes de suivi et daudit permettant de dtecter les infractions commises par les salaris et agents, ainsi que la mise en place et la prsentation aux salaris et agents de lorganisation, dun systme grce auquel ils peuvent indiquer, sans crainte de reprsailles, les infractions commises par autrui au sein de lorganisation. Lorganisation doit consacrer au plan daudit interne des ressources appropries tenant compte de la taille de la socit et de la difficult des missions daudit. Le plan daudit doit tre ax sur les oprations spcifiques de chaque branche dactivit de lorganisation. Le plan daudit doit galement comporter un examen du programme de conformit de lorganisation et de ses procdures, qui aura notamment pour objet de vrifier que les documents crits sont efficaces, que les informations ont bien t communiques aux salaris, que les manquements dtects ont t correctement traits, que les questions de discipline ont t rsolues de manire quitable, quil ny a eu aucune reprsailles lencontre des personnes ayant donn lalerte et que le service compliance a bien rempli ses responsabilits. Les auditeurs doivent examiner le programme de conformit, rechercher les amliorations possibles et solliciter lavis des salaris sur ce point. Chaque programme doit comporter un numro durgence ou un autre systme de communication grce auquel les salaris peuvent rvler les actes quils estiment illicites ou contraires lthique ou au code de conduite de lorganisation. Il faut que le personnel ait toute latitude pour rvler ces agissements sans crainte de reprsailles. Lorsque la responsabilit du numro durgence est confie un avocat, le secret professionnel de ses clients ou celui figurant dans les dossiers de travail, est mieux prserv. Cependant, les rsultats dune tude montrent que les salaris ne font gure confiance aux numros durgence grs par le service juridique ou par un prestataire extrieur. Cette tude a rvl quils ont encore moins confiance dans lmission de rapports ou le recours un mdiateur externe. Les numros durgence grs par un reprsentant interne lorganisation et assortis dun dispositif permettant dempcher les mesures de rtorsion sont celles qui leur inspirent la plus grande confiance.
14
OCTOBRE 2002
Le recours un mdiateur interne est plus efficace si ce dernier est directement rattach au compliance officer ou au Conseil, sil peut prserver lanonymat des personnes qui ont donn lalerte, sil leur prodigue des conseils et sil effectue un suivi afin de sassurer quaucune mesure de rtorsion na t prise. Par ailleurs, dans certains pays, le mdiateur bnficie dsormais dune protection et nest pas tenu de dvoiler les informations confidentielles qui lui ont t transmises dans le cadre dune rvlation. Le questionnaire sur lthique est un mode efficace de dtection des actes illicites ou contraires lthique. Un questionnaire doit tre adress chaque salari de lorganisation, qui doit indiquer sil a connaissance de pots-de-vin, dessous-de-table ou autres mfaits. Pour offrir toutes les garanties de protection, le questionnaire doit tre adress par lavocat de lorganisation, mentionner une clause stipulant la confidentialit des informations par le secret professionnel, prciser que le salari doit remplir, signer et retourner le questionnaire sans conserver de copie, et indiquer que lorganisation se rserve le droit de divulguer les informations fournies soit aux administrations publiques, soit la justice. Il convient de noter que la confidentialit des informations par le secret professionnel nest plus garantie en cas de divulgation du questionnaire des tiers. 7. Le respect des rgles doit tre assur de faon constante par un systme appropri de sanctions, notamment lencontre des personnes qui empchent la dtection dune infraction. Ladoption de mesures disciplinaires lencontre des personnes responsables dune infraction est ncessaire pour assurer le respect des rgles ; toutefois, la nature des mesures appropries ne peut tre dtermine quau cas par cas. Le programme de conformit doit tre assorti dun systme disciplinaire prvoyant lapplication, en cas de non-respect du code de conduite de lorganisation, de sanctions adaptes la faute commise telles quavertissement, perte de salaire, suspension, transfert ou licenciement. Lorsquun collaborateur a commis un acte illgal, il peut arriver que lorganisation soit dans lobligation de le licencier conformment au principe selon lequel lorganisation doit veiller ne pas dlguer de pouvoirs discrtionnaires importants des personnes dont elle sait, de par sa surveillance, ou devrait savoir, quelles sont susceptibles de commettre des actes illicites . Les mesures disciplinaires prvues par le programme doivent tre quitables. Le programme a peu de chances daboutir si les actes illgaux ou contraires lthique demeurent impunis, en particulier sils sont lis aux activits de la direction gnrale ou dacteurs importants. A dfaut de sanction, les infractions commises par ces personnes encourageront ce type de comportement dans le reste de lorganisation. Il peut arriver que le licenciement ou les autres mesures disciplinaires soient soumis des restrictions rsultant de la lgislation sur le droit dalerte ou dexceptions concernant certaines catgories de salaris, des contrats de travail ou accords syn OCTOBRE 2002
15
dicaux, des responsabilits de lemployeur en matire de discrimination et de licenciement abusif, et des lois ou jurisprudences relatives la mauvaise foi de lemployeur. 8. Lorsquune faute est dtecte, lorganisation doit prendre toute mesure raisonnable pour y rpondre de faon approprie et prvenir toute autre faute similaire, notamment en modifiant le cas chant son programme de prvention et de dtection des infractions la loi. Lorganisation doit ragir de manire approprie toute faute dtecte dans le cadre du programme de conformit. Parmi les ractions appropries, figurent les mesures disciplinaires prises lencontre de ceux qui ont commis la faute. Dans certains cas, une raction approprie implique la dnonciation de linfraction auprs des services de ltat, la coopration aux enqutes menes par ces derniers et lacceptation de la responsabilit de lorganisation au titre de linfraction. Il convient de noter que ces ractions, de mme que lexistence dun programme de conformit efficace, peuvent inciter un tribunal rduire le montant de lamende inflige lorganisation. Le dfaut de dtection ou de prvention dune infraction grave traduit parfois la ncessit de procder une refonte du programme de conformit. Aprs dtection dune infraction, le compliance officer doit, au minimum, examiner le programme et dterminer sil faut y apporter des modifications. Il peut savrer ncessaire, la suite dune infraction constate, de remplacer ou de rorganiser lquipe charge de la compliance . En fait, lorganisation peut tre amene sanctionner ou remplacer un cadre pour dfaut de dtection ou de prvention dune faute dans les domaines dont il assure la supervision, en particulier sil sagit dune infraction que ce cadre aurait d dtecter.
Traduction : employees a t traduit soit par salaris , soit par collaborateurs , soit par personnel ; agents a t traduit par agents . Il sagit alors de personnes non salaries.
MPA 2100-6 Le commerce lectronique : impact sur les contrles et sur laudit Nature de cette Modalit Pratique dApplication La croissance du commerce lectronique se poursuit un rythme rapide, tant pour les applications interentreprises que pour les oprations conclues entre entreprises et particuliers. Pour laborer et mettre en uvre avec succs une stratgie en matire de commerce lectronique, il est capital dinstaurer des contrles et des processus efficaces.
JUIN 2004
16
Ds lors, lvaluation du commerce lectronique pourrait bien tre une composante essentielle du plan annuel daudit dans de nombreuses entreprises. La prsente MPA donne une vue densemble de limpact du commerce lectronique sur les contrles et sur laudit. Les professionnels peuvent galement consulter des documents publis par lIIA comme Audit et contrle des systmes dinformation1 (Systems assurance and control ou SAC) et les autres rapports sur les technologies, ainsi que les publications de lISACA. Ces deux organismes ont labor des directives et propos des critres en vue de lvaluation des systmes et des modles lectroniques. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le commerce lectronique (e-Commerce) est gnralement dfini comme tant la conduite doprations commerciales sur Internet . Il peut sagir soit doprations commerciales interentreprises (Business-to-business ou B2B), soit doprations conclues entre les entreprises et les particuliers (Business-to-consumer ou B2C) ou entre les entreprises et leurs salaris (Business-to-employee ou B2E). Le commerce lectronique a enregistr une croissance spectaculaire qui devrait sacclrer encore au cours des annes venir. La rcente publication par la Research Foundation de lIIA (eSAC), le succs du site www.ITAudit.org et les nombreuses lettres dinformation de lIIA diffuses par courrier lectronique confirment que la technologie ne constitue pas seulement un support pour les stratgies adoptes en matire de commerce lectronique mais quelle en fait partie intgrante. Lvolution des technologies bases sur internet a un norme impact sur la socit, le gouvernement dentreprise, lconomie, la concurrence, les marchs, la structure des organisations et la dfense nationale. lvidence, cette volution et la croissance phnomnale du commerce lectronique soulvent, en termes de contrle et de gestion, dimportants enjeux dont les auditeurs internes doivent tenir compte lors de llaboration et de la mise en uvre de leurs plans daudit.
Comprendre et planifier une mission relative au commerce lectronique

2. Pour les professionnels de laudit interne, lvolution continue des technologies constitue la fois une fantastique opportunit et un facteur de risques. Avant de donner une assurance sur les systmes et les processus, lauditeur interne doit matriser lvolution des systmes de gestion et dinformation, les risques correspondants, et lalignement des stratgies sur le projet de lentreprise et les attentes du march. Lauditeur interne doit examiner les processus de planification stratgique et dvaluation des risques mis en place par le management et les dcisions de celui-ci sur les points suivants :
1. Traduit et publi par l'IFACI.

JUIN 2004
17
Quels sont les risques graves ? Quels sont les risques qui peuvent tre assurs ? Parmi les contrles en place, quels sont ceux qui attnueront les risques ? Quels contrles alternatifs supplmentaires faut-il mettre en place ? Quel type de surveillance faut-il effectuer ? 3. Les principales composantes dun audit des activits de commerce lectronique sont les suivantes : valuer le dispositif de contrle interne, y compris la culture de contrle diffuse par la direction gnrale ; fournir une assurance raisonnable que les buts et les objectifs peuvent tre atteints ; dterminer si les risques sont acceptables ; comprendre les flux dinformations ; examiner les questions lies aux interfaces (entre les diffrents matriels, les diffrents logiciels, et entre les matriels et les logiciels) ; valuer les plans de continuit de lentreprise et de reprise aprs sinistre. 4. Avant toute mission daudit des activits de commerce lectronique, le responsable de laudit interne doit sinterroger sur la comptence et la capacit de laudit interne en ce domaine. cet gard, les facteurs susceptibles dtre dterminants sont les suivants : Laudit interne possde-t-il des comptences suffisantes ? En cas de rponse ngative, peut-il les acqurir ? Dautres ressources ou des actions de formation sont-elles ncessaires ? Les effectifs sont-ils suffisants court terme et long terme ? Le plan daudit prvisionnel peut-il tre ralis ? 5. Points examiner par les auditeurs internes dans le cadre de lvaluation des risques. Lauditeur interne peut sappuyer sur le rapport eSAC publi par lIIA pour planifier laudit et valuer les risques. Ce document contient une liste de points, relatifs au commerce lectronique, qui devrait intresser lauditeur interne sur le point de raliser une mission et dvaluer les risques. Il est recommand aux auditeurs internes dexaminer les points suivants : Le projet ou le programme de commerce lectronique a-t-il fait lobjet dun business plan ?
18
JUIN 2004
Ce plan intgre-t-il la planification, la conception et la mise en uvre du systme de commerce lectronique dans les stratgies de lorganisation ? Quel sera limpact sur les performances, la scurit, la fiabilit et la disponibilit du systme ? Le systme ou applicatif rpondra-t-il aux besoins des utilisateurs finaux (tels que les salaris, clients, partenaires) et aux objectifs du management ? Les normes imposes par les pouvoirs publics et par la rglementation ont-elles t analyses et prises en compte ? Quelle scurit offrent le matriel et les logiciels, et permettront-ils de prvenir ou de dtecter tout accs non autoris, tout usage inappropri et toute autre consquence ou perte dommageable ? Le traitement des transactions sera-t-il jour, exact, exhaustif et incontestable ? Lenvironnement de contrle permettra-t-il lorganisation de raliser ses objectifs en termes de commerce lectronique lorsquon passera du stade des concepts celui des rsultats ? Lvaluation des risques inclut-elle les facteurs internes et externes ? Les risques inhrents Internet et au fournisseur daccs Internet (tels que la fiabilit des communications de base, lauthentification des utilisateurs, lidentification des personnes ayant accs) ont-ils t pris en compte ? Les autres problmatiques ont-elles t traites (par exemple, divulgation dinformations confidentielles, usage abusif de biens protgs par la proprit intellectuelle ou par des copyrights, contrefaons de marques, dclarations diffamatoires sur les sites web, fraude, usage abusif de signatures lectroniques, atteintes la vie prive et la rputation) ? En cas de recours des fournisseurs extrieurs, une valuation de leur solidit (continuit dexploitation) a-t-elle t ralise par un tiers de confiance qualifi pour agrer le fournisseur ? Les fournisseurs dhbergement disposent-ils dun plan de continuit des oprations qui a t test ? Ont-ils fourni un rapport rcent au titre de la norme SAS-70. (ces rapports contiennent des informations prcieuses sur les contrles internes, destines aux organisations utilisatrices) ? Par ailleurs, les problmatiques relatives la vie prive ont-elles t rsolues ?
En France, la Commission Bancaire, dans son libre Blanc diffus en dcembre 2000, propose un ensemble de bonnes pratiques et de prconisations en matire de contrle interne, de lutte contre le blanchiment et de scurit destines aux tablissements financiers ayant dvelopp une activit bancaire et financire
JUIN 2004
19
sur Internet (exemples : Banque lectronique, services dinvestissement en ligne, ). Toujours dans le secteur Bancaire, le Comit de la Rglementation Bancaire et Financire propose des lignes directrices suivre par les tablissements assujettis qui externalisent des services auprs de prestataires externes. Ces propositions feront lobjet de complments au rglement n 97-02 modifi du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement.
Le contrat avec le fournisseur extrieur inclut-il une clause daudit ?
Risques et contrles lis au commerce lectronique

6. Le commerce lectronique sinscrit dans un environnement de risques et de contrles complexe et volutif. Le risque peut tre dfini comme la possibilit que se produise un vnement susceptible davoir un impact ngatif sur la ralisation des objectifs. Le risque est inhrent toute entit publique ou prive. Les risques pris par le management pour tirer profit dopportunits jouent souvent un rle moteur dans les activits de lorganisation. Derrire ces opportunits, il peut exister des menaces ou dautres dangers qui ne sont pas clairement perus ni bien valus, et qui sont accepts trop facilement comme faisant partie de la vie des affaires. Pour sefforcer de grer les risques, il est essentiel den cerner tous les lments. En outre, il est important davoir conscience des nouvelles menaces et des changements technologiques qui rendent les organisations plus vulnrables en matire de scurit de linformation. Dans une optique de gestion, les sept questions cls ci-dessous peuvent permettre didentifier les risques organisationnels et de cibler les moyens ventuels de les matriser ou de les attnuer (les praticiens du risque utilisent diverses approches de management des risques ; les questions ci-dessous correspondent une approche). Les lments de risque sont mentionns entre crochets pour chaque question. (a) Identification et quantification des risques : Quels vnements sont susceptibles davoir une incidence dfavorable sur la capacit de lorganisation raliser ses objectifs et mettre en uvre ses stratgies ? [vnements menaants] Sils se ralisent, quel pourrait tre leur impact financier ? [Risque de perte] Avec quelle frquence risquent-ils de se produire ? [Frquence] Quelle probabilit peut-on attribuer aux rponses donnes aux trois premires questions ? [Incertitude] (b) Management et attnuation des risques : Quelles sont les mesures qui peuvent tre prises pour prvenir, viter, attnuer et dtecter les risques et diffuser un avertissement ? [Sauvegardes et contrles]
20
JUIN 2004
Quel en sera le cot ? [Cots des sauvegardes et des contrles] Quelle en sera lefficacit ? [Analyse cots/avantages ou retour sur investissement] 7. Parmi les problmatiques lies aux risques et aux contrles que doit examiner lauditeur interne, les points suivants sont particulirement critiques : risques gnraux affrents la gestion de projets ; menaces spcifiques lies la scurit, notamment dni de service, attaques physiques, virus, usurpation didentit, accs non autoris ou divulgation de donnes ; maintenance de lintgrit des transactions dans le cadre dun rseau complexe de liens avec les systmes prcdents et avec les entrepts de donnes (data warehouses) ; examen et approbation du contenu du site internet en cas de modifications frquentes et de fonctionnalits clients labores et offrant un service 24 heures sur 24 ; volutions technologiques rapides ; aspects juridiques, notamment augmentation travers le monde du nombre de rglementations visant protger la vie prive ; caractre excutoire des contrats ltranger ; problmatiques dordre fiscal et comptable ; modifications apportes aux processus environnants et aux structures organisationnelles.
Audit des activits de commerce lectronique

8. Dune faon gnrale, laudit doit avoir pour objectif de sassurer que tous les processus de commerce lectronique font lobjet de contrles internes efficaces. La gestion des projets de commerce lectronique doit tre documente dans un plan stratgique bien labor et approuv. Le cas chant, toute dcision de ne pas participer au commerce lectronique doit tre soigneusement analyse, documente et approuve par lorgane de gouvernance. 9. Les objectifs daudit dune mission portant sur le commerce lectronique peuvent inclure les points suivants : preuve des transactions de commerce lectronique ; disponibilit et fiabilit du systme de scurit ; interface effective entre les systmes de commerce lectronique et les systmes financiers ; scurit des transactions montaires ;
JUIN 2004
21
efficacit du processus dauthentification des clients ; adquation des processus de continuit dopration, y compris en ce qui concerne la reprise des oprations ; conformit aux normes de scurit gnralement admises ; utilisation et contrle effectifs des signatures numriques ; adquation des systmes et des procdures de contrle des certificats de cls publiques (utilisation de techniques cryptographiques cl publique) ; informations et donnes dexploitation adquates et diffuses dans des dlais appropris ; preuves documentes dun systme de contrle interne efficace. 10. Le contenu dtaill des programmes daudit des activits de commerce lectronique varie en fonction du secteur dactivit, du pays, du cadre juridique et des business models. titre dexemple, un protocole daudit des activits de commerce lectronique peut couvrir, pour lessentiel, les points suivants : (a) Organisation du commerce lectronique Lauditeur interne doit accomplir les tches suivantes : dterminer le montant des transactions ; identifier les parties prenantes (externes et internes) ; examiner le processus de gestion du changement ; examiner le processus dapprobation ; examiner le business plan des activits de commerce lectronique ; valuer les politiques relatives aux certificats de cls publiques ; examiner les procdures relatives aux signatures numriques ; examiner les contrats de services conclus entre lacqureur, le fournisseur, et lorganisme de certification ; vrifier la politique dassurance qualit ; valuer la politique de respect de la vie prive et sa conformit aux activits de commerce lectronique ; valuer la capacit de ractivit aux incidents. (b) Fraude Lauditeur interne doit tre vigilant sur les points suivants : mouvements de fonds non autoriss (par exemple, transferts destination de pays o le recouvrement des fonds serait difficile) ; doubles paiements ;
22
JUIN 2004
refus de commandes passes ou reues, de marchandises reues ou de paiements effectus ; procdures et rapports danomalies ; ralit de leur suivi ; signatures numriques : sont-elles utilises pour toutes les transactions ? Qui les autorise ? Qui y a accs ? protections contre les virus et le piratage informatiques (fichier historique, utilisation des outils) ; droits daccs : font-ils lobjet dun examen rgulier ? Sont-ils rapidement modifis en cas de changement de personnel ? historique des interceptions de transactions par des personnes non autorises. (c) Authentification Lauditeur interne doit examiner les politiques dauthentification des transactions et dvaluation des contrles : preuve de la rgularit des contrles effectus ; outils dauto-valuation des contrles (control self assessment) utiliss par le management ; vrifications rgulires et indpendantes ; sparation des fonctions ; outils dont le management doit disposer : pare-feu ou firewalls ( plusieurs niveaux de faon sparer le commerce lectronique des autres activits), gestion des mots de passe, rapprochement indpendant, et pistes daudit. (d) Altration de donnes Lauditeur interne doit valuer les contrles relatifs lintgrit des donnes. Qui peut modifier les catalogues, les prix ou les taux ? Quel est le mcanisme dapprobation ? Quelquun peut-il dtruire les pistes daudit ? Qui peut approuver les modifications apportes aux listes de discussion figurant sur le site internet de lorganisation ? Quelles sont les procdures de commande et denregistrement ? Le processus dappel doffres en ligne fournit-il une documentation adquate ? Les outils mettre en place concernent : la gestion des intrusions (logiciels de surveillance, dconnexion automatique au bout dun certain dlai et analyse de tendance), la scurit physique des serveurs utiliss pour le commerce lectronique, le contrle des modifications et le rapprochement.
JUIN 2004
23
(e) Interruptions dactivit Lauditeur interne doit examiner le plan de continuit des oprations et vrifier quil a t test. Il appartient au management de dfinir un mode alternatif de traitement des transactions en cas dinterruption. Le management doit veiller la mise en place dun processus permettant de traiter les cas suivants : attaques en masse ; attaques de type dni de service ; interfaces inadquates entre les systmes de commerce lectronique et les systmes de gestion financire ; installations de secours ; stratgies destines contrer le piratage, les intrusions, la recherche de mots de passe valides, les virus, les vers, les chevaux de Troie et les portes drobes . (f) Problmatiques de gestion Lauditeur interne doit valuer la faon dont les entits de lorganisation grent le processus de commerce lectronique. Voici quelques points considrer cet gard : examen de la gestion de projet des initiatives individuelles et des projets de dveloppement ; examen du cycle de vie du dveloppement des systmes ; slection et capacit des fournisseurs, confidentialit du personnel, et fidlisation ; revues conomiques aprs mise en place : lorganisation retire-t-elle les bnfices escompts ? Quels sont les mtriques utiliss pour mesurer le succs ? revues des processus aprs mise en place : les nouveaux processus sont-ils en place et fonctionnent-ils de manire efficace ? MPA 2100-7 Le rle de laudit interne dans lidentification et le reporting des risques environnementaux Nature de cette Modalit Pratique dApplication Lobjet de la prsente MPA est de formuler des recommandations, lintention des professionnels de laudit interne, sur les questions de risques et dindpendance en matire daudit environnemental. Les auditeurs internes doivent tre attentifs aux risques pouvant dcouler du rattachement hirarchique, au sein de lorganisation, des auditeurs spcialiss dans lenvironnement. La prsente MPA recommande des garde-fous minimaux instaurer pour sassurer que les problmes environnementaux importants sont signals dans des dlais opportuns et un niveau appropri. Les risques associs au non-respect des rgles environnementales, les amendes, pnalits et autres fautes de gestion, peuvent entraner des pertes significatives pour lorganisation. Le respect des Modalits Pratiques dApplication est facultatif.
24
JUIN 2004
Risques potentiels
1. Le responsable de laudit interne doit intgrer les risques lis lenvironnement, la sant et la scurit dans toute valuation du management des risques ralise lchelle de lentit, et procder une valuation quilibre de ces activits compte tenu des autres types de risques associs aux oprations dune entit. Lvaluation des risques doit porter notamment sur les points suivants : modalits de reporting des risques environnementaux au sein de lorganisation, probabilit de causer des dommages environnementaux, amendes, dpenses exiges par lagence de protection de lenvironnement ou par toute autre administration, historique des accidents corporels et des dcs, enregistrement des pertes de clientle, cas de mauvaise publicit, de dgradation de limage et de la rputation de lentit. 2. Lorsque le management des risques lis lenvironnement, la sant et la scurit est rattach pour une large part la fonction Audit environnemental, le responsable de laudit interne doit tenir compte des consquences de ce mode dorganisation et de son incidence sur les oprations et sur les systmes de reporting. Sil constate que ces risques ne sont pas grs de faon approprie et quil existe des risques rsiduels, ceci doit le conduire modifier le plan de laudit interne et procder de nouvelles investigations. 3. Dans la majorit des cas, la fonction Audit environnemental est rattache au responsable de lenvironnement ou au directeur juridique de lorganisation, et non au responsable de laudit interne. En rgle gnrale, le mode dorganisation de la fonction Audit environnemental sinscrit dans lun des scnarios suivants : Le responsable de laudit interne et le responsable de laudit environnemental sont dans des units fonctionnelles spares et leurs contacts sont peu frquents ; Le responsable de laudit interne et le responsable de laudit environnemental sont dans des units fonctionnelles spares et coordonnent leurs activits ; Le responsable de laudit interne est responsable de laudit environnemental. 4. Selon un rapport succinct de lIIA consacr laudit environnemental : La moiti environ des auditeurs spcialiss dans lenvironnement dclarent assister rarement des runions avec un comit de lorgane de direction, et 40 % dentre eux seulement sont parfois en contact avec le responsable de laudit interne ; 70 % des organisations ont indiqu que les questions lies lenvironnement ne figurent pas rgulirement dans lordre du jour des runions du Conseil ; Environ 40 % des organisations ont reconnu avoir pay des amendes pour infraction la rglementation sur lenvironnement au cours des trois dernires annes. Les deux tiers des organisations rpondantes qualifient de significatifs leurs risques environnementaux.
JUIN 2004
25
5. Aux tats-Unis, la table ronde qui sest tenue sur laudit Sant, Scurit et Environnement, devenue The Auditing Roundtable , a dsign Richard L. Ratliff, de luniversit de ltat dUtah, ainsi quun groupe de chercheurs, pour raliser une tude sur laudit dans les domaines de la sant, de la scurit et de lenvironnement. Les conclusions des chercheurs sur les points concernant les risques et lindpendance sont les suivantes : la fonction Audit Sant, Scurit et Environnement est relativement isole des autres fonctions daudit de lorganisation. Elle est spare de laudit interne et elle nest lie quindirectement aux audits externes portant sur les tats financiers ; en outre, elle est rattache un responsable Sant, Scurit et Environnement, et non au Conseil ou la direction gnrale. en juger par la structure adopte, la direction gnrale estime que laudit Sant, Scurit et Environnement est un domaine technique qui doit de prfrence tre rattach un service spcifique de lorganisation ; compte tenu de cette structure hirarchique, il est redouter que les auditeurs spcialiss dans cette fonction ne puissent conserver leur indpendance, pourtant considre comme lune des principales exigences dune fonction audit efficace. En rgle gnrale, les responsables de laudit Sant, Scurit et Environnement relvent, sur le plan administratif, des cadres responsables des installations audites. Par consquent, de mauvaises performances dans ces domaines auraient des consquences ngatives pour ceux-ci, qui, de ce fait, risquent duser de leur autorit pour influer sur les conclusions daudit, sur la manire dont sont conduits les audits ou sur le contenu du plan daudit. Ce risque de subordination des auditeurs, quand bien mme il ne serait quapparent, porte atteinte lindpendance et lobjectivit de lauditeur ; en outre, il arrive couramment que les rapports daudit ne soient pas diffuss dans lorganisation un chelon suprieur celui des cadres responsables de lenvironnement. Or, ces derniers peuvent se trouver dans une situation de conflit dintrt et sabstenir de diffuser les conclusions des audits la direction gnrale et au Conseil ; les informations relatives aux audits sont souvent classes dans lune des catgories suivantes : (a) assimilation au secret professionnel liant lavocat son client ou au fruit des travaux de lavocat, (b) informations confidentielles, ou, (c) dfaut de confidentialit, informations diffusion restreinte. Il sensuit que laccs aux informations relatives aux audits Sant, Scurit et Environnement est trs restreint.
Suggestions lintention du responsable de laudit interne

6. Le responsable de laudit interne doit sefforcer de nouer dtroites relations de travail avec le responsable de lenvironnement et de coordonner ses activits avec le plan daudit environnemental. Lorsque la fonction Audit environnemental ne lui est pas rattache :
26
JUIN 2004
le responsable de laudit interne doit proposer dexaminer le plan daudit et la ralisation des missions ; il doit planifier priodiquement une revue dassurance qualit de la fonction Audit environnemental. Lobjet de cette revue est de dterminer si les risques environnementaux sont correctement traits. Le plan daudit de la fonction Sant, Scurit et Environnement peut tre (a) centr sur la conformit (conformit aux lois, la rglementation, aux rgles et procdures et aux objectifs de performance en matire de Sant, Scurit et Environnement) ou (b) centr sur les systmes de gestion (valuations des systmes de gestion chargs de sassurer de la conformit aux exigences lgales et internes, et de vrifier que les risques font lobjet de mesures dattnuation), ou (c) fond sur une combinaison de ces deux approches.
En matire de lois, rglementations, normes sur lenvironnement applicables en France, citons : la Loi du 19 juillet 1976, relative aux installations classes pour la protection de lenvironnement ; lArrt du 2 fvrier 1998 (sites soumis autorisation) ; la directive europenne n 96/82/CE du 9 dcembre 1996, dite SEVESO, qui demande aux tats et aux entreprises didentifier les risques associs certaines activits industrielles dangereuses et de prendre les mesures ncessaires pour y faire face ; la Norme ISO 14001 ; la loi NRE du 15 mai 2001 (art. 116) qui impose aux socits franaises cotes sur un march rglement de donner dans leur rapport annuel des informations, dont la liste est fixe par dcret en Conseil d'tat, sur la manire dont la socit prend en compte les consquences sociales et environnementales de son activit. Des orientations complmentaires sur les perspectives nouvelles quoffre le dveloppement durable laudit interne sont indiques dans la Revue Audit n 165 de juin 2003 de lIFACI ainsi que dans les actes du Colloque organis par lIFACI le 18 septembre 2003.
7. Le responsable de laudit interne doit apprcier si les auditeurs spcialiss dans lenvironnement, qui ne lui sont pas rattachs, respectent les normes professionnelles daudit gnralement admises ainsi quun code dthique reconnu. Aux tats-Unis, le Board of Environmental, Health and Safety Auditor Certifications BEAC (Conseil de certification de lauditeur environnemental, de sant et de scurit), ainsi que lIIA, publient des normes de pratique et des codes dthique/de dontologie.
JUIN 2004
27
BEAC, joint-venture cre entre The IIA et The Round Table aux tats-Unis, dlivre le certificat CPEA, Certified Professional Environmental Auditor (Auditeur Environnement Professionnel Certifi), certificat qui aborde trois domaines de spcialit : environnement, sant, scurit. Pour plus dinformations, se reporter au site du BEAC : www.beac.org.
8. Le responsable de laudit interne doit valuer la position hirarchique et lindpendance de la fonction Audit environnemental, de faon sassurer que les points significatifs ou les risques graves pour lentreprise sont ports la connaissance du comit daudit, ou dun autre comit manant du Conseil, par la voie hirarchique. Il doit galement faciliter la transmission ce comit des informations concernant les risques et les contrles importants en matire de Sant, Scurit et Environnement.
MPA 2100-8 : Lvaluation du dispositif mis en place par lorganisation pour protger la vie prive : rle de lauditeur interne
Interprtation de la norme n 2100 extraite des Normes internationales pour la Pratique Professionnelle de lAudit Interne
Norme : 2100 Nature du travail Laudit interne value les systmes de management des risques, de contrle et de gouvernement dentreprise et contribue leur amlioration.
Nature de cette recommandation : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour valuer les mesures prises par lorganisation dans le cadre de son dispositif de protection de la vie prive. La prsente MPA na pas pour but de dresser une liste exhaustive des procdures mettre en uvre dans le cadre dune mission dassurance ou de conseil couvrant lensemble de ce dispositif. Elle contient une srie de recommandations essentielles concernant les responsabilits importantes de lauditeur interne qui, dans ce domaine, sont complmentaires celles du Conseil et du management. Le respect des Modalits Pratiques dApplication est facultatif. 1. La protection de la vie prive fait lobjet dune attention accrue dans la mesure o les avances en matire de technologies de linformation et de moyens de communication introduisent de nouveaux risques et menaces pour la vie prive. Dans la plupart des pays, la lgislation contraint les organisations se doter dun dispositif de contrle visant protger la vie prive.
28
JUIN 2004
2. Les dfinitions de la vie prive varient amplement selon le pays, la culture, lenvironnement politique et le cadre juridique. La vie prive peut comprendre lintimit des personnes (sur le plan physique et psychologique), le respect de lespace priv (absence de surveillance), ainsi que le caractre confidentiel de la communication (absence de contrle) et des informations (collecte, exploitation et diffusion par autrui dinformations caractre personnel). Les informations caractre personnel correspondent gnralement des informations que lon peut associer un individu donn, soit en tant que telles soit en les regroupant avec dautres informations1. Il peut sagir dinformations de nature objective ou subjective, enregistres ou non, et ce quels quen soient la forme ou le support. titre dexemple, les informations caractre personnel incluent notamment : le nom, ladresse, les numros didentification, le revenu ou le groupe sanguin ; les valuations, les commentaires, le statut social ou les mesures disciplinaires ; les dossiers des salaris, les informations relatives aux crdits et aux prts accords. 3. Le respect de la vie prive relve du management des risques. Labsence de protection et de contrles appropris en matire de respect de la vie prive et des informations caractre personnel peut avoir dimportantes consquences pour une organisation. De telles lacunes peuvent, par exemple, nuire la rputation de certaines personnes et de lorganisation, entraner la mise en jeu lgale de leur responsabilit et contribuer branler la confiance des consommateurs et des salaris. 4. Diverses lois et rglementations relatives la protection des informations caractre personnel sont en cours dlaboration dans le monde. Il existe en outre des procdures et des pratiques gnralement admises qui peuvent tre appliques dans ce domaine. 5. De bonnes pratiques en matire de protection de la vie prive contribuent, lvidence, une bonne gouvernance et lobligation de rendre compte. Assurer que les principaux risques encourus par lorganisation ont t identifis et que des systmes appropris destins les attnuer ont t mis en place incombe, en dernier ressort, lorgane de direction (conseil dadministration, instance dirigeante dun organisme public ou corps lgislatif, par exemple). ce titre, il lui appartient de doter lorganisation dun dispositif garantissant le respect de la vie prive et den piloter la mise en place. 6. Lauditeur interne peut contribuer un bon gouvernement dentreprise et lobligation de rendre compte en aidant lorganisation raliser ses objectifs en matire de
(1) Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim Hargraves, Susan B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal Auditors Research Foundation.
JUIN 2004
29
protection de la vie prive. Il est, en effet, particulirement bien plac pour valuer le dispositif en place dans lorganisation, identifier les risques significatifs et formuler les recommandations appropries en vue de leur attnuation. 7. Pour procder cette valuation, lauditeur interne doit tenir compte des lments suivants : lois, rglementations et politiques relatives au respect de la vie prive en vigueur dans tous les pays dans lesquels lorganisation exerce une activit ; liaison avec le juriste de lorganisation afin de dterminer le contenu exact des lois, rglementations, normes ou pratiques applicables lorganisation et aux pays dans lesquels elle exerce une activit ; liaison avec des spcialistes des technologies de linformation afin de sassurer que des contrles concernant la scurit des informations et la protection des donnes sont en place, et que leur efficacit fait rgulirement lobjet dexamens et dvaluations ; maturit des pratiques de lorganisation en matire de protection de la vie prive. Le rle de lauditeur interne peut varier en fonction de cette maturit. Lauditeur peut faciliter llaboration et la mise en uvre dun programme spcifique, raliser une valuation des risques afin de dterminer les besoins et lexposition aux risques de lorganisation, ou bien il peut examiner lefficacit des procdures, des pratiques et des contrles en place dans lorganisation et fournir une assurance sur celle-ci. Lindpendance de lauditeur interne peut tre altre sil assume une partie de la responsabilit du dveloppement et de la mise en place dun programme de protection de la vie prive. 8. En rgle gnrale, on peut attendre de lauditeur interne quil : examine la nature et le bien-fond des informations caractre personnel ou priv recueillies par son organisation ; value leur pertinence et la mthode utilise pour les collecter ; vrifie si lorganisation utilise les informations ainsi collectes conformment aux objectifs fixs et la lgislation, et ce pour les diffrents domaines dans lesquels ces informations sont recueillies, dtenues et exploites. 9. tant donn la nature juridique et technique trs marque que revt cette question, lauditeur interne doit sassurer quil dispose des connaissances et des comptences appropries pour procder lvaluation du dispositif en place. Il doit faire appel des tiers experts si ncessaire.
30
JUIN 2004
La Commission Nationale de l'Informatique et des Liberts (CNIL) a t institue par la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts qui la qualifie d'autorit administrative indpendante. Collge pluraliste de 17 commissaires, la CNIL lit son Prsident parmi ses membres ; elle ne reoit dinstruction daucune autorit ; les ministres, autorits publiques, dirigeants dentreprises, publiques ou prives, ne peuvent sopposer laction de la CNIL pour quelque motif que ce soit et doivent prendre toutes mesures utiles afin de faciliter sa tche. Face aux dangers que l'informatique peut faire peser sur les liberts, la CNIL a pour mission essentielle de protger la vie prive et les liberts individuelles ou publiques. Elle est charge de veiller au respect de la loi "Informatique et Liberts" qui lui confie 5 missions principales : Informer les personnes de leurs droits et obligations, et proposer au gouvernement les mesures lgislatives ou rglementaires de nature adapter la protection des liberts et de la vie prive l'volution des techniques. Garantir le droit d'accs. Recenser les fichiers. La CNIL donne un avis sur toutes les crations de traitements du secteur public et reoit les dclarations de traitements du secteur priv. Contrler les applications informatiques afin de vrifier que la loi est respecte. Rglementer en tablissant des normes simplifies, afin que les traitements les plus courants et les moins dangereux pour les liberts fassent l'objet de formalits allges. Pour plus dinformations : www.cnil.fr.
JUIN 2004
31
MPA 2100-9 : Revue des systmes dapplication
Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Application Systems Review (Revue des systmes dapplication) document G14. Cette directive daudit des systmes dinformation a t publie par lISACA en novembre 2001. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de la revue des systmes dapplication. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune mission dassurance intgre ou de conseil lie une revue des systmes dapplication. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le responsable de laudit doit sassurer que le service daudit interne possde ou peut accder des ressources daudit indpendantes (1) et comptentes pour procder une revue des systmes dapplication et valuer les risques associs ces systmes. Considrations lies la planification 2. La planification suppose que lauditeur possde une comprhension suffisante de lenvironnement des systmes dinformation de lorganisation pour dterminer la taille et la complexit des systmes, ainsi que le degr de dpendance de lorganisation par rapport aux systmes dinformation. Lauditeur doit acqurir une bonne comprhension de la mission et des objectifs de lorganisation, de la manire dont les technologies de linformation et les systmes dinformation sont utiliss pour assister lorganisation, et des risques associs aux objectifs de lorganisation et ses systmes din-
(1) Il y a indpendance si lauditeur na pas t impliqu dans le dveloppement, lacquisition, la mise en place ou la maintenance du systme dapplication.
SEPTEMBRE 2006
31-1
formation. Il doit en outre acqurir une bonne comprhension de la structure de lorganisation, notamment du rle et des fonctions des principaux responsables des systmes dinformation et du propritaire du systme dapplication. Il convient galement de tenir compte des risques lis aux domaines dactivit lors de la planification de laudit. Lun des principaux objectifs de la planification est didentifier les risques associs aux applications. Limportance relative des risques influe sur le niveau de preuves daudit requises. Les risques associs aux applications, que ce soit au niveau des systmes ou des donnes, sont notamment les suivants : risques lis la disponibilit des systmes : capacit oprationnelle insuffisante des systmes ; risques lis laccs non autoris aux systmes et/ou aux donnes ; risques lis lintgrit des systmes : traitement incomplet, inexact, hors dlai ou traitement non autoris de donnes ; risques lis limpossibilit dassurer la maintenance des systmes : incapacit mettre un systme jour, en cas de besoin, dans des conditions permettant de continuer assurer la disponibilit, la scurit et lintgrit du systme ; risques lis aux donnes : exhaustivit, intgrit, confidentialit, respect de la vie prive, exactitude et mise disposition en temps opportun. Les contrles dapplication destins grer les risques lis aux applications peuvent revtir la forme de contrles informatiss intgrs dans le systme, de contrles manuels, ou dune combinaison de ces deux types de contrle. On peut citer, titre dexemples, le rapprochement informatis de documents (commande dachat, facture et bon de rception des biens), la vrification et la signature dun chque gnr par informatique et la revue des rapports danomalies par les cadres suprieurs. Lorsque lauditeur dcide de sappuyer sur des contrles programms, il convient dexaminer les contrles informatiques gnraux pertinents, ainsi que les contrles spcialement adapts lobjectif de laudit. Les contrles informatiques gnraux peuvent faire lobjet dune revue spare qui portera notamment sur les points suivants : contrles physiques, scurit des systmes, gestion du rseau, sauvegarde des donnes et plan de secours. Selon les objectifs de contrle de la revue, lauditeur peut ne pas procder lexamen des contrles gnraux : par exemple en cas dvaluation dun systme dapplication en vue dune acquisition. Les revues des systmes dapplication peuvent tre effectues pour valuer un progiciel dapplication en vue de son acquisition, avant la mise en service dun systme dapplication ou aprs cette mise en service. Les revues pralables la mise en service dun systme dapplication portent notamment sur larchitecture de scurit de lapplication, les projets de mise en place de la scurit ainsi que ladquation de la documentation systme et de la documentation utilisateurs et ladquation des
SEPTEMBRE 2006
31-2
tests de recette utilisateur raliss ou prvus. Les revues postrieures la mise en service du systme couvrent notamment le niveau de scurit de lapplication aprs sa mise en place et, le cas chant, la conversion du systme en cas de transfert des donnes et des informations contenues dans le fichier matre entre lancien et le nouveau systme. Les objectifs et ltendue des revues concernant les systmes dapplication sinscrivent gnralement dans le cadre du plan de mission. Ce plan, dont la forme et le contenu sont susceptibles de varier, doit mentionner les points suivants : objectifs et tendue de la revue des systmes dapplication ; identit de lauditeur ou des auditeurs chargs de la revue ; dclaration concernant lindpendance de lauditeur (des auditeurs) intervenant sur le projet ; date de dbut et calendrier de la revue ; prsentation de rapports et comptes-rendus, notamment dans le cadre de runions de clture ; les objectifs doivent tre dfinis partir des sept critres du modle COBIT en matire dinformation, puis approuvs par lorganisation. Les sept critres dinformation du COBIT peuvent porter notamment sur les points suivants : efficacit, efficience, confidentialit, intgrit, disponibilit, conformit et fiabilit des informations. Lorsque lauditeur a particip auparavant au dveloppement, lacquisition, la mise en place ou la maintenance dun systme applicatif et quil se voit confier une mission daudit, son indpendance risque dtre altre. Il doit alors se rfrer aux directives appropries pour grer cette situation. Ralisation des travaux daudit 3. a) Documentation des flux de transactions Les informations recueillies doivent porter tant sur les aspects informatiss que sur les aspects manuels du systme. Il convient de mettre laccent sur lentre des donnes (quelle soit lectronique ou manuelle), le traitement, le stockage, et les donnes de sortie qui revtent une importance significative eu gard aux objectifs de laudit. Selon les processus et les technologies mis en uvre, lauditeur peut rencontrer des difficults pratiques pour documenter les flux de transactions. Dans ce cas, il doit tablir un diagramme densemble de circulation des donnes ou une description narrative et/ou utiliser la documentation systme fournie le cas chant. Lauditeur doit galement envisager de documenter les interfaces entre lapplication examine et les autres systmes. Il doit valider la documentation obtenue en mettant en uvre certaines procdures, par exemple en effectuant un test de cheminement.
31-3
SEPTEMBRE 2006
b) Identification et test des contrles affrents aux systmes dapplication Lauditeur peut identifier des contrles spcifiques permettant dattnuer les risques lis lapplication, et rassembler des preuves daudit suffisantes pour obtenir lassurance que ces contrles fonctionnent comme prvu. cette fin, il met en uvre les procdures suivantes : demandes dinformation et observation, revue de la documentation et tests sur les contrles affrents au systme dapplication (notamment tests sur les contrles programms, le cas chant laide des outils daudit assists par ordinateur). La nature, le calendrier et ltendue des tests doivent tre dtermins en fonction du degr de risque associ au domaine examin et des objectifs de laudit. En labsence de contrles informatiques gnraux efficaces, lauditeur peut valuer limpact de cette faiblesse sur la fiabilit des contrles dapplication informatiss. Si lauditeur informatique dtecte des faiblesses significatives dans les contrles dapplication informatiss, il devra si possible obtenir une assurance (selon lobjectif de laudit) sur la base des contrles manuels du traitement. Lefficacit des contrles informatiss repose sur celle des contrles informatiques gnraux. Ds lors, en labsence de revue des contrles gnraux, la possibilit de sappuyer sur les contrles dapplication risque dtre srieusement limite et lauditeur doit envisager des procdures alternatives. Rapports 4. Les rapports concernant les rsultats de la revue des systmes dapplication doivent comporter une description claire de la nature de la mission, de toute limitation ou restriction, et/ou de tout autre facteur, devant tre ports la connaissance des utilisateurs des informations. Lauditeur doit formuler dans le rapport les recommandations appropries pour renforcer les contrles. Les faiblesses identifies lors de la revue des applications, soit en raison de labsence de contrles soit par suite de non-conformits, doivent tre portes lattention du propritaire du processus et des responsables informatiques chargs du support de lapplication. Lorsque les faiblesses constates lors de la revue des systmes dapplication sont considres comme tant significatives, il convient de conseiller aux responsables concerns de prendre immdiatement des mesures correctives. tant donn que lefficacit des contrles dapplication informatiss repose sur les contrles informatiques gnraux, les faiblesses constates dans ce domaine doivent galement tre signales. Si les contrles informatiques gnraux ne font lobjet daucune revue, il convient de le mentionner dans le rapport.
SEPTEMBRE 2006
31-4
MPA 2100-10 : Vrification par sondage Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Auditing Sampling (Vrification par sondage) document G10. Cette directive daudit des systmes dinformation a t publie par lISACA en mars 2000. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils utilisent les techniques dchantillonnage pour procder des tests. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune vrification par sondage. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif.
Ralisation des travaux daudit

Vrification par sondage Lorsquil utilise des mthodes dchantillonnage statistique ou discrtionnaire, lauditeur doit dfinir et slectionner un chantillon, mettre en uvre des procdures daudit et valuer les rsultats du sondage afin dobtenir des preuves daudit suffisantes, fiables, pertinentes et utiles. Bien souvent, les auditeurs nexaminent pas toutes les informations disponibles pour se forger une opinion, dans la mesure o cet examen nest pas ncessairement ralisable en pratique et o ils peuvent tirer des conclusions valides sur la base de sondages. Les vrifications par sondage consistent appliquer les procdures daudit un ensemble plus restreint que la population concerne, pour permettre lauditeur dvaluer les preuves daudit concernant certaines caractristiques des lments slectionns et den tirer une conclusion sur la population. Les techniques utilises dans le cadre des sondages statistiques permettent de tirer des conclusions mathmatiques sur la population.
31-5
SEPTEMBRE 2006
Les sondages discrtionnaires ne reposent pas sur des mthodes statistiques et leurs rsultats ne doivent pas tre extrapols la population entire, car il est trs peu probable que lchantillon soit reprsentatif de la population. Dfinition de lchantillon Pour dfinir la taille et la structure dun chantillon, les auditeurs doivent tenir compte des objectifs spcifiques de laudit, de la nature de la population ainsi que des mthodes dchantillonnage et de slection. Lauditeur doit tenir compte, le cas chant, de la ncessit dimpliquer des spcialistes comptents dans la dfinition et lanalyse des chantillons. Unit de sondage Lunit de sondage sera fonction de la finalit de lchantillon. Pour les tests de conformit des contrles, lon procde gnralement un sondage dattributs, dans lequel lunit de sondage est un vnement ou une transaction (un contrle tel quune autorisation sur une facture, par exemple). Pour les tests de confirmation, lon procde souvent un sondage destimation des variables dans lequel lunit de sondage est souvent montaire. Objectifs de laudit Lauditeur doit tenir compte des objectifs spcifiques de laudit et mettre en uvre les procdures daudit qui ont le plus de chances daboutir la ralisation de ces objectifs. Lorsquune vrification par sondage est approprie, la nature des preuves daudit recherches et les risques derreur doivent tre pris en considration. Population La population dsigne lensemble entier de donnes partir duquel lauditeur souhaite prlever un chantillon pour en tirer une conclusion sur la population. La population dont lchantillon est issu doit donc tre adapte et son exhaustivit vrifie compte tenu de lobjectif spcifique de laudit. Stratification La stratification peut savrer approprie pour faciliter une dfinition efficace et efficiente de lchantillon. Ce processus consiste scinder une population en sous-ensembles, ou strates, qui prsentent des caractristiques similaires dfinies de faon explicite de telle sorte que chaque unit de sondage ne puisse tre rattache qu une seule strate. Taille de lchantillon Pour dterminer la taille de lchantillon, lauditeur doit tenir compter du risque dchantillonnage, du montant de lerreur juge acceptable et du taux derreurs attendu. Risque dchantillonnage Le risque dchantillonnage provient du fait que la conclusion de lauditeur peut diffrer de la conclusion laquelle il parviendrait si la population entire tait soumise la mme procdure daudit. Il existe deux types de risque dchantillonnage : le risque dacceptation errone le risque quune erreur significative soit juge improbable, alors quen fait la population comporte une erreur significative ; le risque de rejet injustifi le risque quune erreur significative soit juge probable, alors quen fait la population ne comporte aucune erreur significative.
SEPTEMBRE 2006
31-6
Le degr de risque dchantillonnage que lauditeur est dispos accepter influe sur la taille de lchantillon. Le risque dchantillonnage doit tre considr par rapport au modle de risque daudit et ses composantes : le risque inhrent, le risque dchec des contrles et le risque de non-dtection. Erreur acceptable Lerreur acceptable est lerreur maximale que les auditeurs sont prts accepter dans la population examine tout en concluant que lobjectif de laudit est atteint. Pour les tests de confirmation, lerreur acceptable est fonction du seuil de signification fix par lauditeur. Pour les tests de conformit, cest le taux maximum dcart que lauditeur peut tolrer par rapport une procdure de contrle prescrite. Erreur attendue Si lauditeur sattend ce que la population comporte des erreurs, il convient, en rgle gnrale, dexaminer un chantillon plus important pour pouvoir conclure que lerreur relle sur la population nest pas suprieure lerreur acceptable prvue. Des chantillons de taille rduite sont justifis lorsquon sattend ce que la population ne comporte pas derreur. Pour dterminer lerreur attendue dans une population, lauditeur doit tenir compte notamment des lments suivants : niveaux derreur dtects lors des audits prcdents, modifications apportes aux procdures de lorganisation, preuves daudit recueillies lors dune valuation du contrle interne et rsultats des procdures de revue analytique. Slection de lchantillon Les mthodes dchantillonnage couramment utilises sont au nombre de quatre : Mthodes dchantillonnage statistique chantillonnage alatoire cette mthode garantit que toutes les combinaisons dunits de sondage comprises dans la population ont la mme chance dtre slectionnes. chantillonnage systmatique cette mthode consiste slectionner les units de sondage en respectant un intervalle fixe entre les tirages, le point de dpart tant dtermin au hasard. titre dexemples, on peut citer le sondage par units montaires ou la slection pondre en fonction des valeurs, dans lesquels chaque valeur montaire individuelle (1 $, par exemple) de la population a les mmes chances dtre slectionne. tant donn que lunit montaire individuelle ne peut pas, en principe, tre examine sparment, cest llment qui comprend cette unit montaire qui est slectionn pour examen. Le mode de slection retenu dans cette mthode privilgie systmatiquement les montants importants, mais chaque valeur montaire conserve nanmoins les mmes chances dtre choisie. Un autre exemple consiste slectionner chaque nime unit.
31-7
SEPTEMBRE 2006
Mthodes dchantillonnage discrtionnaire Slection laveuglette lauditeur prlve lchantillon sans suivre une technique structure, en vitant toutefois de fausser consciemment la slection ou de lui donner un caractre prvisible. Lanalyse dun chantillon slectionn laveuglette ne permet pas de tirer une conclusion sur la population. chantillonnage raisonn lauditeur introduit un biais lors du prlvement de lchantillon (par exemple, il choisit toutes les units de sondage suprieures un certain montant, tous les lments sauf un type prcis dexceptions, toutes les valeurs ngatives, tous les nouveaux utilisateurs, etc.). Il convient de noter quun chantillon discrtionnaire nest pas fond sur les statistiques et que ses rsultats ne doivent pas tre extrapols sur la population, car il est trs peu probable que lchantillon soit reprsentatif de la population. Lauditeur doit slectionner les lments de lchantillon de telle sorte que ce dernier soit en principe reprsentatif de la population pour les caractristiques contrles : autrement dit, il doit utiliser les mthodes de sondage statistique. Pour prserver lindpendance de laudit, lauditeur doit sassurer que la population est entire et contrler la slection de lchantillon. Pour quun chantillon soit reprsentatif de la population, il faut que toutes les units de sondage comprises dans la population aient une probabilit gale ou connue dtre slectionnes (mthodes de sondage statistique). Les mthodes de slection couramment utilises sont au nombre de deux : la slection sur les enregistrements, et la slection sur les champs quantitatifs (units montaires, par exemple). Pour la slection sur les enregistrements, les mthodes les plus courantes sont les suivantes : chantillon alatoire (chantillon statistique), chantillon laveuglette (non statistique), chantillon discrtionnaire ou raisonn (non statistique ; forte probabilit de parvenir une conclusion biaise). Pour la slection sur les champs quantitatifs, les mthodes les plus courantes sont les suivantes : chantillon alatoire (chantillon statistique sur les units montaires), chantillon par intervalles fixes (chantillon statistique prlev par intervalle fixe), chantillon par cellule (chantillon statistique avec slection alatoire dans un intervalle).
SEPTEMBRE 2006
31-8
Documentation Les documents de travail doivent contenir des informations suffisamment dtailles pour dcrire clairement lobjectif du sondage et le processus dchantillonnage utilis. Ils doivent mentionner la source de la population, la mthode de sondage utilise, les paramtres dchantillonnage (par exemple, numro de dpart alatoire, intervalle dchantillonnage), les lments slectionns, des informations dtailles sur les vrifications effectues par sondage et les conclusions. valuation des rsultats Aprs avoir mis en uvre, pour chaque lment de lchantillon, les procdures daudit appropries compte tenu de lobjectif daudit fix, lauditeur doit analyser toute erreur potentielle dtecte dans lchantillon afin de vrifier sil sagit rellement derreurs et, le cas chant, de dterminer leur nature et leur cause. Si la mthode de sondage utilise est fonde sur les statistiques, les erreurs values comme telles doivent tre projetes le cas chant sur la population. Les erreurs potentielles dtectes doivent tre examines afin de dterminer sil sagit rellement derreurs. Lauditeur doit tenir compte des aspects qualitatifs des erreurs savoir la nature et la cause de lerreur ainsi que son incidence ventuelle sur les autres phases de laudit. Les erreurs rsultant du dysfonctionnement dun processus automatis ont gnralement des rpercussions plus tendues, en termes de taux derreur, quune erreur humaine. Sil ne parvient pas obtenir les preuves daudit attendues pour un lment dchantillon donn, lauditeur met en uvre des procdures alternatives sur llment slectionn en vue de rassembler des preuves daudit suffisantes. Lauditeur doit tudier les possibilits de projeter les rsultats de lchantillon sur la population entire selon une mthode cohrente avec celle utilise pour slectionner lchantillon. Cette projection peut comporter une estimation des erreurs probables dans la population, ainsi quune estimation des erreurs non dtectes en raison du manque de prcision de la technique utilise et des aspects qualitatifs des erreurs constates. Lauditeur doit dterminer si les erreurs contenues dans la population risquent dexcder lerreur acceptable. cet effet, il compare lerreur estime (par projection sur la population entire) lerreur acceptable, en tenant compte des rsultats des autres procdures daudit pertinentes pour lobjectif daudit fix. Lorsque lerreur estime par projection excde lerreur acceptable, lauditeur doit rvaluer le risque dchantillonnage et, si celui-ci est inacceptable, il doit alors envisager dtendre la procdure daudit ou de mettre en uvre des procdures daudit alternatives.
31-9
SEPTEMBRE 2006
MPA 2100-11 : Impact des contrles de pilotage des systmes d'information
Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Effect of Pervasive IS Controls (Impact des contrles de pilotage des systmes d'information) document G11. Cette directive daudit des systmes dinformation a t publie par lISACA en mars 2000. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils effectuent une revue des contrles informatiques. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dun audit informatique. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif.
Prambule
Plusieurs typologies de contrles sont utilises par les auditeurs internes en tant que grille de lecture lors de leurs missions. Concernant les missions ralises en milieu informatis, la typologie la plus gnralement recommande tait celle prconise par les experts-comptables, qui diffrencie contrles gnraux (1) et contrles d'application (2). Parfaitement adapte aux audits comptables et financiers, cette approche ne convient pas systmatiquement l'audit interne, dont les objectifs et le primtre de mission ne sont pas uniquement centrs sur l'apprciation des comptes.
(1) Les contrles Gnraux sappliquent la quasi-totalit des oprations et contribuent leur fonctionnement correct. Ils portent habituellement sur les oprations du centre de traitement, lacquisition et la maintenance des applications (dfinition issue du COSO Report). (2) Les contrles dapplication conus pour contrler le fonctionnement des applications comprennent des procdures programmes lintrieur mme des logiciels dapplication ainsi que des procdures manuelles associes. Ils permettent dassurer lexhaustivit, et lexactitude des traitements et transactions, leur autorisation et leur validit.
SEPTEMBRE 2006
31-10
C'est pourquoi nous prconisons dornavant une approche plus discriminante, en introduisant une nouvelle diffrentiation l'intrieur des contrles gnraux : les contrles dtaills des systmes d'information qui sont directement en relation avec le primtre de la mission d'audit en milieu informatis ; les contrles de pilotage qui concernent les contrles relatifs au pilotage des systmes d'information et aux dispositifs de supervision qui contribuent assurer de bons contrles dtaills. Cette nouvelle typologie est issue du cadre de rfrence CobiT, qui ne traite que des contrles gnraux. Le lien entre la typologie des contrles et CobiT est le suivant : Contrles gnraux : contrles de pilotage : domaines pilotage et organisation (PO) et surveillance (S) ; contrles dtaills : domaine acquisition et mise en place (AMP) et distribution et support (DS) ; Contrles dapplication : ces contrles ne sont pas traits par CobiT. Notons au passage que CobiT est dornavant suppos connu des auditeurs internes ds qu'il s'agit de raliser une mission en milieu informatis. Dans ce cadre, pour se former une opinion sur l'efficacit des contrles dtaills auditer, l'auditeur doit systmatiquement prendre en compte le besoin d'apprcier les contrles de pilotage, mme s'ils sont hors du primtre initial de la mission. Mais tous les contrles de pilotage ne sont pas pertinents pour une mission donne, il faut donc dployer une dmarche mthodique pour dterminer les contrles de pilotage pertinents pour la mission raliser, ceux qui ncessitent de dployer des tests d'audit, et, enfin, leur impact sur l'opinion de l'Audit. C'est l'objet de la prsente MPA. 1. LE CADRE DE RFRENCE Vue densemble Selon la dfinition du COBIT, le terme contrle dsigne lensemble des politiques, procdures, pratiques et structures organisationnelles conues pour donner lassurance raisonnable que les objectifs de lentreprise seront atteints et que les vnements non souhaits seront vits ou dtects et leurs effets corrigs. Pour chaque audit en milieu informatis, les auditeurs doivent tablir une distinction entre les contrles gnraux qui concernent lensemble des systmes dinformation et des oprations (contrles de pilotage), et ceux qui sappliquent un niveau plus spcifique (contrles dtaills), de faon centrer leurs efforts sur les zones risque compte tenu de lobjectif de laudit. Le cadre de contrle dcrit ci-dessous a pour objet d'assister lauditeur dans cette dmarche.
31-11
SEPTEMBRE 2006
Les contrles de pilotage des systmes d'information titre dexemples de contrles de pilotage, on peut citer les contrles sur les processus informatiques dfinis dans les domaines Planification et organisation (PO) et Surveillance (S) du cadre de rfrence COBIT, tels que Dfinir un plan informatique stratgique (PO1) et Surveiller les processus (S1). Les contrles de pilotage constituent un sous-ensemble des contrles gnraux, ce sont en fait les contrles gnraux ddis au management et la supervision des systmes dinformation. Limpact des contrles de pilotage nest pas limit la fiabilit des contrles dapplication dans les systmes financiers. Ils influent galement sur la fiabilit des contrles informatiques dtaills, par exemple dans les domaines suivants : dveloppement de programmes ; mise en place de systmes ; administration de la scurit ; procdures de sauvegarde. Les dficiences du dispositif de gestion et de surveillance des systmes dinformation (autrement dit des contrles de pilotage) doivent inciter lauditeur tre vigilant : elles peuvent tre le signe dun risque lev dinefficacit des contrles qui sont censs fonctionner au niveau dtaill. Les contrles informatiques dtaills Dans le cadre de rfrence COBIT, les contrles informatiques dtaills sont ceux qui concernent lacquisition, la mise en place, la distribution et le support des systmes dinformation et les services y affrents. titre dexemples, ils incluent les contrles couvrant les domaines suivants : mise en place de progiciels ; paramtres de scurit des systmes ; laboration dun plan de secours ; validation de la saisie des donnes ; dition de rapports danomalies ; blocage des comptes utilisateurs aprs plusieurs tentatives daccs infructueuses. Les contrles dapplication constituent un sous-ensemble des contrles informatiques dtaills. Par exemple, la validation de la saisie des donnes dentre est la fois un contrle informatique dtaill et un contrle dapplication. Installer et valider les systmes (processus MPA5 du CobiT) correspond un contrle informatique dtaill, mais pas un contrle dapplication.
SEPTEMBRE 2006
31-12
Les liens entre les diffrents types de contrles informatiques sont exposs ci-aprs : Les contrles sur les systmes d'information regroupent : d'une part les contrles gnraux, qui comprennent les contrles de pilotage et les contrles dtaills ; d'autre part les contrles d'application. De plus, lauditeur doit tenir compte de limpact des contrles autres que les contrles informatiques sur le primtre et les procdures daudit. Interaction entre les contrles de pilotage et les contrles informatiques dtaills Le cadre de rfrence COBIT rpartit les processus de contrle informatique en quatre domaines : planification et organisation (PO) ; acquisition et mise en place (AMP) ; distribution et support (DS) ; surveillance (S). Lefficacit des contrles en matire de Planification et dorganisation (PO) et en matire de Surveillance (S) influe sur lefficacit des contrles en matire dAcquisition, et de mise en place, (AMP) et de Distribution et de support (DS). Si la planification, lorganisation et la surveillance mises en uvre par lquipe de direction sont inadquates, les contrles affrents lacquisition, la mise en place, la livraison du service et au support seront inefficaces. Inversement, une planification, une organisation et une surveillance efficaces permettent didentifier et de corriger des contrles inefficaces sur les oprations dacquisition, de mise en place, de livraison du service et de support. Par exemple, les contrles informatiques dtaills sur le processus dacquisition et de maintenance des logiciels dapplication (processus portant la rfrence AMP2 dans le cadre de rfrence COBIT) sont affects par la pertinence des contrles de pilotage sur les processus suivants : dfinition du plan informatique stratgique (rfrence PO1 dans COBIT) ; gestion des projets, (rfrence PO10) ; gestion de la qualit, (rfrence PO11) ; surveillance des processus (rfrence S1). Laudit concernant le dveloppement dun systme dapplication doit porter notamment sur la dtermination de limpact de la stratgie informatique, lapproche adopte en matire de gestion du projet, de la surveillance du projet, et de la gestion de la qualit. Si, par exemple, la gestion du projet est inadquate, lauditeur doit envisager : deffectuer des travaux complmentaires afin dobtenir lassurance que le projet en cause est gr de faon efficace ; dinformer la direction des faiblesses constates au niveau des contrles de pilotage.
31-13
SEPTEMBRE 2006
Autre exemple : lefficacit des contrles dtaills des systmes d'information concernant le processus de garantie de la scurit des systmes (rfrence DS5 dans COBIT) est affecte par la pertinence des contrles de pilotage affrents aux processus suivants : dfinition de lorganisation et les relations de travail relatives aux systmes d'information (rfrence PO4 dans COBIT) ; communication des objectifs et des orientations de la direction, (rfrence PO6) ; valuation des risques (rfrence PO9) ; surveillance des processus (rfrence S1). Laudit de l'adquation des paramtres de scurit dans un systme (UNIX, Windows NT ou RACF, par exemple) doit comporter lexamen des politiques de scurit dfinies par la direction (PO6), de lattribution des responsabilits dans ce domaine (PO4), des procdures dvaluation des risques (PO9) et des procdures de contrle de la conformit aux politiques de scurit (S1). Lauditeur peut estimer que les paramtres sont adquats, mme sils ne correspondent aux meilleures pratiques telles quil les conoit, au vu du risque identifi par la direction et des rgles fixes par celle-ci pour la gestion de ce niveau de risque. Les recommandations de lauditeur doivent concerner tant la gestion des risques ou les politiques adoptes (qui ne font pourtant pas explicitement partie du primtre de la mission) que les paramtres dtaills. 2. PLANIFICATION Les contrles de pilotage pertinents Dfinition dune approche Selon les normes de lISACA, lauditeur doit procder une valuation prliminaire des contrles en place pour la fonction audite. Cette valuation prliminaire doit comporter l'identification et l'valuation des contrles de pilotage. Les tests affrents ces contrles peuvent tre raliss en marge de laudit spcifique en cours, tant donn quils couvrent, de par leur nature, de nombreux aspects diffrents de lusage des systmes d'information. Lauditeur doit donc dterminer sil peut sappuyer sur des travaux daudit dj raliss dans ce domaine pour recenser et valuer ces contrles. Lorsquil savre, au vu des travaux daudit, que les contrles de pilotage sont insuffisants, lauditeur doit apprcier limpact de cette conclusion sur lapproche adopter pour atteindre lobjectif de laudit. En effet : sils sont efficaces, les contrles de pilotage peuvent contribuer donner lauditeur une assurance en ce qui concerne les contrles dtaills ; sils sont dficients, les contrles de pilotage peuvent rendre inoprants des contrles dtaills rigoureux ou renforcer les faiblesses existantes au niveau des contrles dtaills des systmes d'information.
SEPTEMBRE 2006
31-14
Mise en uvre de procdures daudit suffisantes Lorsque les contrles de pilotage ont un impact potentiel significatif sur lobjectif de laudit, il ne suffit pas de planifier uniquement un audit des contrles dtaills. Sil est impossible ou irraliste dauditer les contrles de pilotage, cette restriction de ltendue de la mission doit tre signale. Lauditeur doit prvoir des tests sur les contrles de pilotage pertinents lorsque ces tests contribuent la ralisation de lobjectif de laudit [mme s'ils ne font pas partie du primtre initial de la mission d'audit]. Contrles pertinents Les contrles de pilotage pertinents sont ceux qui ont un impact sur les objectifs spcifiques daudit fixs pour la mission. Par exemple, lorsque lobjectif de laudit est de prsenter un rapport sur les contrles relatifs aux modifications apportes une bibliothque de programmes, les contrles de pilotage affrents aux politiques de scurit (PO6) seront pertinents, mais ceux qui concernent la dfinition des orientations technologiques (PO3) peuvent ne pas ltre. Pour planifier laudit, lauditeur doit recenser, parmi tous les contrles de pilotage, ceux qui ont un impact sur les objectifs spcifiques de laudit et les inclure dans le primtre de laudit. Les objectifs de contrle du COBIT pour les rubriques Planification et organisation et Surveillance peuvent aider lauditeur interne identifier les contrles de pilotage pertinents. Preuves daudit Il nest pas impratif que les contrles de pilotage soient documents, mais lauditeur devra recueillir des preuves daudit attestant dun fonctionnement efficace des contrles pertinents. La section de la prsente MPA, consacre la ralisation des travaux daudit, contient des indications sur les tests qui peuvent tre effectus. Les contrles dtaills pertinents Dfinition dune approche Sil ressort des travaux daudit que les contrles de pilotage sont satisfaisants, lauditeur doit envisager de rduire le niveau des tests prvus pour les contrles informatiques dtaills, car les lments attestant de lefficacit des contrles de pilotage renforcent lassurance que lauditeur peut acqurir en ce qui concerne les contrles informatiques dtaills. Sil ressort des travaux daudit informatique que les contrles de pilotage ne sont pas satisfaisants, lauditeur doit raliser des tests suffisants sur les contrles dtaills afin dtablir quils fonctionnent de faon efficace malgr les dficiences des contrles de pilotage.
31-15
SEPTEMBRE 2006
3. RALISATION DES TRAVAUX DAUDIT Tests sur les contrles de pilotage Lauditeur doit effectuer des tests suffisants pour acqurir lassurance que les contrles de pilotage pertinents fonctionnaient de faon efficace au cours de la priode audite ou une date donne. Les procdures de test peuvent inclure les travaux suivants : observation ; tests de confirmation ; examen des documents pertinents (procdures, normes, comptes-rendus de runions, etc.) ; retraitement ( laide des techniques daudit assistes par ordinateur, par exemple). Si les tests effectus sur les contrles de pilotage pertinents montrent quils sont satisfaisants, lauditeur procde alors comme prvu laudit des contrles dtaills qui sont directement applicables compte tenu de lobjectif de laudit. Ltendue de ces tests peut tre infrieure celle qui aurait t approprie si les contrles de pilotage ne fonctionnaient pas de faon satisfaisante. 4. RAPPORTS Faiblesses des contrles de pilotage Lorsque lauditeur a identifi des faiblesses au niveau des contrles de pilotage, ces faiblesses doivent tre portes lattention de la direction, et ce mme si les points examins ntaient pas expressment mentionns dans le primtre des travaux arrt dun commun accord. tendue des travaux Restrictions du primtre daudit Lorsque les contrles de pilotage peuvent avoir une incidence significative sur lefficacit des contrles informatiques dtaills et quils nont pas t audits, lauditeur doit en informer la direction dans le rapport final, en indiquant limpact potentiel sur les observations, conclusions et recommandations formules suite laudit. Par exemple, lorsquun auditeur prsente un rapport daudit sur lacquisition dun progiciel sans avoir examin la stratgie informatique de lorganisation, il doit mentionner dans le rapport que la stratgie informatique ne lui a pas t prsente ou nexiste pas. Le cas chant, lauditeur doit indiquer limpact potentiel que cela peut avoir sur ses observations, conclusions et recommandations. Il mentionnera, par exemple, quil nest pas possible dindiquer si lacquisition du progiciel est conforme la stratgie informatique et si elle contribuera la ralisation des projets futurs de lentreprise.
SEPTEMBRE 2006
31-16
MPA 2100-12 : Externalisation des activits relatives aux systmes dinformation
Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Outsourcing of IS Activities to Other Organizations (Infogrance) document G4. Cette directive daudit des systmes dinformation a t publie par lISACA en septembre 1999. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils effectuent un audit des activits informatiques sous-traites. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune mission dassurance intgre ou de conseil lie laudit dactivits informatiques soustraites. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif. Points prendre en compte avant laudit 1. Le responsable de laudit doit sassurer que le service daudit interne dispose ou peut accder des ressources daudit indpendantes (1) et comptentes pour procder laudit des activits informatiques sous-traites une autre organisation, et pour valuer les risques correspondants. 2. En matire daudit des fournisseurs dinfogrance, les droits du client sont souvent mal dfinis. Il en va de mme pour les responsabilits en matire daudit de conformit. Il appartient au responsable de laudit et/ou lauditeur dsign cet effet de dterminer, en coopration avec les services Juridique, Gestion des contrats et/ou tout autre service comptent, dans quelle mesure le contrat dinfogrance prvoit laudit du prestataire de services et si les clauses y affrentes sont appropries. Le cas chant, un spcialiste juridique doit tre consult.
(1) Il y a indpendance si lauditeur na pas t impliqu dans les oprations de planification, de slection ou de conclusion dun contrat relatives aux activits informatiques sous-traites.
SEPTEMBRE 2006
31-17
3. Le responsable de laudit et/ou lauditeur dsign doit galement tudier la possibilit de sappuyer, le cas chant, sur les travaux daudit informatique raliss soit par les auditeurs internes du prestataire de services, soit par un tiers indpendant sollicit par ce prestataire. La possibilit de raliser un audit et/ou de sappuyer sur les travaux dun tiers doit tre tudie pralablement laudit. Points lis la planification 1. Enqute pralable Lauditeur doit prendre connaissance de la nature, du calendrier et de ltendue des services sous-traits. Il doit dterminer les contrles mis en place par lutilisateur des services afin de rpondre la ncessit pour lentreprise de sassurer que les rles et responsabilits des tiers sont clairement dfinis et respects, et quils continuent de rpondre aux besoins (COBIT, objectif de contrle gnral DS2 grer les services assurs par des tiers ). Les risques associs aux services sous-traits doivent tre identifis et valus. Lauditeur doit valuer dans quelle mesure les contrles de lutilisateur des services donnent une assurance raisonnable que les objectifs de lentreprise seront atteints, et que les vnements non souhaits seront vits ou dtects et leurs effets corrigs. 2. Planification Lauditeur doit valuer les rapports daudit dj tablis lattention du prestataire de services et planifier les travaux daudit des systmes dinformation de faon rpondre aux objectifs daudit applicables lenvironnement du prestataire de services, en tenant compte des informations obtenues durant la planification. Les objectifs de laudit doivent tre fixs dun commun accord avec la direction de lutilisateur des services avant dtre communiqus au prestataire de services. Tout changement demand par le prestataire de services doit tre approuv par la direction de lutilisateur des services. Lauditeur doit planifier les travaux daudit des systmes dinformation de faon satisfaire aux normes professionnelles daudit en vigueur, comme si laudit tait ralis dans lenvironnement de lutilisateur des services. Ralisation de laudit 1. Preuves daudit requises Laudit doit tre ralis comme si le service tait fourni dans lenvironnement informatique de lutilisateur des services.
SEPTEMBRE 2006
31-18
2. Accord avec le prestataire de services Lauditeur doit examiner les points suivants : existence dun accord formel entre le prestataire de services et lutilisateur des services, insertion dans le contrat dinfogrance dune clause indiquant expressment que le prestataire de services est tenu de respecter toutes les obligations juridiques applicables ses activits ainsi que les lois et rglements affrents aux fonctions quil devra remplir pour le compte de lutilisateur des services, insertion dans le contrat dinfogrance dune clause stipulant que les oprations ralises par le prestataire de services sont soumises des contrles et des audits comme si elles taient ralises par lutilisateur des services, lui-mme, mention dans le contrat sign avec le prestataire de services dune clause daudit, existence de contrats rgissant les services et les procdures de suivi de leur excution, respect des politiques de scurit de lutilisateur des services, caractre adquat des accords conclus par le prestataire de services en matire dassurance contre les dtournements et le vol, caractre adquat des politiques et procdures du prestataire de services en matire de personnel. 3. Gestion des services sous-traits Lauditeur doit vrifier que : les processus de production des informations utilises pour vrifier la conformit aux contrats de services font lobjet de contrles appropris, en cas de non-respect des contrats de services, lutilisateur des services a recherch une solution et des mesures correctives ont t envisages afin datteindre le niveau de service convenu, lutilisateur des services a la capacit et les comptences requises pour procder au suivi et lexamen des services fournis. 4. Rduction du primtre daudit Sil savre que le prestataire de services nest pas dispos cooprer avec lauditeur, ce dernier en informe la direction de lutilisateur des services et le responsable de laudit. Rapports Ds lachvement des travaux daudit, lauditeur doit prsenter un rapport sous une forme approprie aux destinataires concerns au sein de lorganisation utilisatrice des services.
31-19
SEPTEMBRE 2006
Lauditeur doit envisager dexaminer le rapport avec le prestataire de services avant sa diffusion, mais il ne doit pas tre responsable de lmission du rapport final adress au prestataire. Si le prestataire de services doit recevoir un exemplaire, celui-ci doit provenir, en principe, de la direction de lutilisateur des services. Le rapport doit mentionner toutes les restrictions acceptes le cas chant par lauditeur ou la direction de lutilisateur des services en ce qui concerne sa diffusion. Par exemple, le prestataire de services ne doit pas tre autoris transmettre un exemplaire du rapport dautres utilisateurs de ses services sans laccord de lorganisation de lauditeur et, le cas chant, de lutilisateur des services. Lauditeur doit galement envisager dinsrer une mention afin de dcliner toute responsabilit vis--vis des tiers. En cas de refus daccorder les droits daccs ncessaires laudit, le rapport daudit doit mentionner clairement les restrictions apportes ltendue des contrles et expliquer leur incidence sur laudit. Oprations de suivi Lauditeur doit demander tant lutilisateur des services quau prestataire de services les informations appropries concernant les observations, conclusions et recommandations formules prcdemment, comme si laudit avait t ralis dans lenvironnement de lutilisateur des services. Lauditeur doit dterminer si des mesures correctives appropries ont t mises en uvre dans des dlais adquats par le prestataire de services.
SEPTEMBRE 2006
31-20
MPA 2100-13 : Incidence des prestataires (1) sur les contrles informatiques dune organisation
Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Effect of Third Parties on an Organizations IT Controls (Incidence des prestataires sur les contrles informatiques dune organisation) document G16. Cette directive daudit des systmes dinformation a t publie par lISACA en mars 2002. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/ procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils effectuent un audit de lincidence des prestataires sur les contrles informatiques dune organisation. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune mission dassurance intgre ou de conseil relative lincidence des prestataires sur les contrles informatiques dune organisation. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif. 1. SERVICES OFFERTS PAR LES PRESTATAIRES Les organisations utilisent lInternet et les intranets des fins diverses, notamment pour permettre leurs salaris, leurs fournisseurs et leurs clients daccder des applications existantes et/ou nouvelles dans les domaines des ressources humaines, de la finance, des ventes et des achats. Dans bien des cas, cet accs est accord par lintermdiaire dun ou plusieurs prestataires. Les prestataires peuvent fournir les services suivants : connectivit des rseaux internes lInternet ; connectivit avec les partenaires de lorganisation grce des rseaux virtuels privs ou extranets ;
(1) Dans cette Modalit Pratique dApplication, le terme prestataire signifie toute entit interne ou externe fournissant des services lorganisation.
SEPTEMBRE 2006
31-21
connectivit avec les clients grce la technologie sans fil ; dveloppement de sites Web ; maintenance, gestion et contrle de sites Web ; services de scurit lis aux sites Web ; mise disposition dun site physique pour le matriel ( co-hbergement ) ; contrle de laccs aux systmes et aux applications ; services de sauvegarde et de rcupration ; dveloppement, maintenance et hbergement dapplications (comme les systmes ERP ou les systmes de commerce lectronique) ; services aux entreprises, notamment en matire de gestion de trsorerie, cartes de crdit, traitement de commandes et centres dappel. 2. RISQUES ASSOCIS AU RECOURS DES PRESTATAIRES Quand une organisation a recours des prestataires, ces derniers deviennent un lment cl du dispositif de contrle de lorganisation. Cette incidence peut provenir notamment des facteurs suivants : viabilit conomique du prestataire ; accs des prestataires des informations transmises via leurs systmes et applications de communication ; disponibilit des systmes et applications ; intgrit du traitement ; dveloppement dapplications et processus de gestion des modifications ; protection des systmes et des actifs informationnels grce des mesures de sauvegarde/rcupration, des plans de secours et la redondance. Effets sur les contrles des prestataires Les prestataires peuvent devenir un lment cl des contrles dune organisation et de la ralisation de ses objectifs de contrle. Lauditeur doit valuer les services fournis par les prestataires en tenant compte de leur incidence sur lenvironnement informatique, les contrles y affrents et les objectifs de contrle. Une organisation qui fait appel des prestataires des fins limites, comme les services de co-hbergement ne peut sen remettre que dans une mesure limite aux contrles des prestataires pour atteindre ses objectifs de contrle. En revanche, une organisation qui fait appel des fournisseurs dautres fins, telles que lhbergement de systmes de comptabilit gnrale et de commerce lectronique, sappuie sur les contrles des prestataires soit entirement, soit en les associant ses propres contrles, afin de raliser ses objectifs de contrle.
SEPTEMBRE 2006
31-22
De mme, la capacit de lorganisation atteindre ses objectifs de contrle peut tre renforce ou affaiblie par lefficacit ou linefficacit relative des contrles mis en place par les prestataires. Les faiblesses peuvent rsulter de nombreuses causes, notamment : de lacunes dans lenvironnement de contrle lies la sous-traitance de services des prestataires ; de contrles mal conus et par consquent inefficaces ; dun manque de connaissances et/ou dexprience du personnel responsable des fonctions de contrle ; dune confiance excessive dans les contrles mis en place par les prestataires (en labsence de contrles compensatoires au sein de lorganisation). Des contrles insuffisants et/ou des lacunes dans la conception, la ralisation ou lefficacit des contrles peuvent entraner les consquences suivantes : perte du caractre confidentiel et priv des informations ; systmes inutilisables en cas de besoin ; accs et modifications non autoriss aux systmes, aux applications ou aux donnes ; modifications des systmes, applications ou donnes entranant une dfaillance des systmes ou des dispositifs de scurit, une perte de donnes, une perte dintgrit des donnes, labsence de protection des donnes ou une panne des systmes ; perte de ressources systmes et/ou dactifs informationnels ; augmentation des cots supports par lorganisation suite aux problmes noncs ci-dessus. 3. PROCDURES METTRE EN UVRE DANS LE CADRE DE LAUDIT Acquisition dune bonne comprhension des processus Dans le cadre du processus de planification, lauditeur doit acqurir et documenter une bonne comprhension de la relation entre les services fournis par le prestataire et lenvironnement de contrle de lorganisation. Lauditeur doit envisager notamment un examen du contrat de services et des procdures en place entre le prestataire et lorganisation. Lauditeur doit accomplir les tches suivantes : documenter les processus et les contrles du prestataire qui ont une incidence directe sur les processus et les objectifs de contrle de lorganisation ; identifier chaque contrle, sa localisation dans lenvironnement de contrle global (interne ou externe), le type de contrle, sa fonction (prvention, dtection ou mesure corrective) et lorganisation qui remplit cette fonction (interne ou externe) ;
31-23
SEPTEMBRE 2006
valuer les risques associs aux services que le prestataire fournit lorganisation, ses contrles et ses objectifs de contrle ; dterminer lincidence des contrles mis en place par le prestataire sur la capacit de lorganisation remplir ses objectifs de contrle ; confirmer sa comprhension de lenvironnement de contrle, notamment par des enqutes et des observations directes ainsi que des tests de cheminement sur les transactions. valuation de limpact des contrles raliss par des prestataires Si les contrles du prestataire ont un impact significatif sur les objectifs de contrle de lorganisation, lauditeur doit valuer ces contrles afin de dterminer sils fonctionnent comme prvu, de faon efficace, et sils contribuent la ralisation des objectifs de contrle de lorganisation. valuation des faiblesses lies aux contrles Les auditeurs doivent valuer la probabilit quil existe, dans lenvironnement informatique, des faiblesses lies lexistence, la conception ou au fonctionnement des contrles. Lauditeur doit identifier les domaines dans lesquels les contrles prsentent des faiblesses. Lauditeur doit ensuite dterminer si le risque dchec des contrles est significatif et quelle est son incidence sur lenvironnement de contrle. Lorsque des faiblesses sont dtectes, lauditeur doit dterminer sil existe des contrles compensatoires permettant de pallier lincidence des faiblesses identifies (ces contrles compensatoires peuvent exister dans lorganisation, chez le prestataire ou dans les deux entits). Sil existe des contrles compensatoires, lauditeur doit dterminer dans quelle mesure ils attnuent limpact des faiblesses dtectes.
4. CONTRATS CONCLUS AVEC LES PRESTATAIRES DE SERVICES Rles et responsabilits La relation entre lorganisation et un prestataire doit tre formalise par le biais dun contrat sign. Le contrat est un lment essentiel et contient de nombreuses dispositions qui rgissent les actions et les responsabilits de chaque partie. Lauditeur doit examiner le contrat (le cas chant avec laide du conseil juridique de son organisation) afin de dterminer le rle et les responsabilits du prestataire en ce qui concerne sa contribution la ralisation des objectifs de contrle de lorganisation.
SEPTEMBRE 2006
31-24
Les recommandations relatives aux modalits dexamen des contrats nentrent pas dans le champ dapplication de la prsente MPA ; toutefois, la liste ci-aprs contient des exemples de points examiner : niveau de service exig du prestataire (que ce soit vis--vis de lorganisation, de ses partenaires ou des deux) ; caractre raisonnable des tarifs pratiqus par le prestataire ; responsabilits en matire de confidentialit des donnes et applications ; responsabilits au titre des contrles daccs et de ladministration des systmes, des communications, du systme dexploitation, des programmes utilitaires, des donnes et des logiciels dapplication ; suivi des actifs et des donnes et rponses correspondantes (organisation et prestataire) et procdures dmission des rapports (routine, incidents) ; dispositions concernant la proprit des actifs informationnels, notamment pour les donnes et les noms de domaine ; dispositions concernant la proprit des programmes que le prestataire dveloppe sur mesure pour lorganisation, y compris en ce qui concerne la documentation relative aux modifications, le code source et les contrats de dpt ; dispositions concernant la protection des systmes et des donnes, notamment en matire de sauvegardes et rcupration, dlaboration dun plan de secours et de redondance ; clause mentionnant le droit de raliser un audit (y compris, par exemple, la possibilit de rencontrer le personnel du service daudit interne du prestataire et de revoir leurs documents de travail et leurs rapports daudit) ; processus de ngociation, de revue et dapprobation des modifications apportes au contrat et aux documents annexes (tels que les accords dcrivant les services et les procdures). Lauditeur doit, au minimum, examiner le contrat afin de dterminer ltendue des responsabilits acceptes par le prestataire au titre des contrles effectus pour le compte de lorganisation. Ce processus doit permettre lauditeur dapprcier si les contrles identifis et le systme de reporting/contrle de conformit sont suffisants, et dvaluer leur conception et leur efficacit oprationnelle. Gouvernement dentreprise Mme lorsque des prestataires sont impliqus, la direction de lorganisation demeure responsable de la ralisation des objectifs de contrle. Dans le cadre de cette responsabilit, il appartient aux membres de la direction de mettre en place un processus rgissant la relation avec le prestataire et les performances de ce dernier. Lauditeur doit identifier et revoir les composantes de ce processus. Il doit notamment examiner le processus mis en uvre par la direction pour identifier les risques associs au prestataire, les services rendus par celui-ci et la faon dont les membres de la direction grent la relation entre les deux entits.
31-25
SEPTEMBRE 2006
Lexamen du processus de gestion des relations avec les prestataires doit permettre lauditeur de dterminer notamment si les membres de la direction valuent les prestataires par rapport aux normes ou aux critres de performance mentionns dans le contrat et, le cas chant, par rapport aux normes fixes par les instances rglementaires. Ce processus doit comporter notamment lexamen des points suivants : rsultats financiers du prestataire ; respect des clauses du contrat ; modification de lenvironnement de contrle selon les recommandations du prestataire, de ses auditeurs et/ou des instances rglementaires ; rsultats des contrles effectus par dautres, notamment par les auditeurs ou les consultants du prestataire ou par dautres personnes ou organismes ; existence de contrats dassurance assortis de garanties adquates. 5. REVUE DES CONTRLES DU PRESTATAIRE Aspects contractuels Dans le cadre de la revue des contrles du prestataire, lauditeur doit examiner la relation contractuelle entre lorganisation et le prestataire, ainsi que lvaluation et les rapports tablis par le prestataire sur ses contrles. Certaines clauses du contrat peuvent empcher lauditeur de procder une revue des contrles dans les locaux du prestataire. Dans ce cas, il appartient lauditeur dapprcier limpact de cette limitation de primtre sur sa capacit valuer lenvironnement de contrle des systmes dinformation. Rapports indpendants Les prestataires peuvent fournir sur leurs contrles des rapports manant de sources indpendantes. Ces rapports peuvent prendre la forme de rapports daudit mis par une socit de traitement faon ou dautres rapports tablis suite des contrles. Les auditeurs peuvent se servir de ces rapports afin de sappuyer sur les contrles relatifs lenvironnement de contrle des systmes dinformation. Si lauditeur dcide dutiliser un rapport indpendant pour sappuyer sur les contrles des systmes dinformation en place chez le prestataire, il doit alors examiner ce rapport et vrifier les points suivants : la partie indpendante est comptente ; cette vrification peut consister dterminer si cette partie est titulaire dune licence ou dun agrment professionnel appropri, si elle possde une exprience adapte et si elle jouit dune bonne rputation auprs des instances professionnelles et (le cas chant) rglementaires ; la partie indpendante nentretient avec le prestataire aucune relation de nature altrer son indpendance et son objectivit ;
SEPTEMBRE 2006
31-26
la priode couverte par le rapport ; le rapport est suffisant (autrement dit il couvre les systmes et les contrles en cause et il fait tat de tests dans les domaines que lauditeur aurait examins sil avait effectu les travaux) ; les tests sur les contrles sont suffisants pour permettre lauditeur de sappuyer sur les travaux de la partie indpendante (autrement dit les tests effectus sur les contrles sont suffisants pour ce qui est de la nature, du calendrier et de ltendue des procdures mises en uvre) ; le rapport dlimite les responsabilits du prestataire de services et celles de lorganisation utilisatrice ; lorganisation utilisatrice a dfini ses responsabilits en matire de contrles appropris. Tests sur les contrles des prestataires Si lauditeur dcide de revoir et de tester directement les contrles en place chez un prestataire, il doit procder comme suit : cooprer avec les cadres dirigeants et, le cas chant, avec le service daudit interne du prestataire afin de planifier la mission, de fixer les objectifs et ltendue de la revue, et de prciser le calendrier, les besoins en termes deffectifs et tout autre point ; examiner les questions telles que laccs aux systmes et aux actifs du prestataire, ainsi que la confidentialit ; laborer un programme daudit et un plan de mission et dterminer le budget ; valider les objectifs de contrle. Une fois les travaux sur place termins, lauditeur doit parvenir une conclusion sur lefficacit oprationnelle des contrles tests. Il doit examiner lefficacit des contrles au sein de son organisation et chez le prestataire de services et linteraction quil peut exister entre les contrles existant au sein de chaque partie. Dans la plupart des cas, les contrles effectus par lorganisation et par le prestataire se chevaucheront. Lauditeur doit valuer lefficacit oprationnelle des contrles considrs globalement par rapport lefficacit des contrles pris individuellement. Il peut arriver dans certains cas que, pour un objectif donn, il nexiste pas de contrles au sein de lorganisation ou chez le prestataire, ou que les contrles en place ne fonctionnent pas de faon efficace. En outre, il peut galement arriver que les points forts existant dans une organisation soient partiellement ou entirement remis en cause par les lacunes constates dans lautre organisation. Dans ce cas, lauditeur doit valuer limpact de ces lacunes sur lenvironnement de contrle global et sur ltendue des procdures.
31-27
SEPTEMBRE 2006
Service daudit interne du prestataire Lauditeur doit examiner si le prestataire possde un service daudit interne. La prsence dauditeurs internes peut amliorer la qualit de lenvironnement de contrle. Sil existe un service daudit interne, lauditeur doit vrifier ltendue de ses activits pour les systmes et les contrles qui affectent lorganisation. Lauditeur doit procder si possible une revue des rapports daudit interne pertinents. Sil nest pas possible de revoir ces rapports, lauditeur doit analyser ltendue des audits raliss, les systmes et les contrles couverts, ainsi que toute question ou faiblesse significative identifie. Si le prestataire nest pas dispos accorder laccs aux rapports, lauditeur doit valuer limpact de cette restriction sur ltendue des procdures mettre en uvre. Lauditeur doit galement envisager dvaluer les comptences et lexpertise des membres du service daudit interne. Cette valuation peut tre ralise grce des entretiens avec ces collaborateurs et des procdures complmentaires telles quune revue de leurs plans de travail, de leurs documents de travail et de leurs rapports.
6. SOUS-TRAITANTS DES PRESTATAIRES Lauditeur doit vrifier si le prestataire fait appel des sous-traitants pour la fourniture de systmes et de services. En cas de recours des sous-traitants, lauditeur doit examiner limportance de ces derniers, de faon dterminer leur impact ventuel sur les contrles du prestataire qui ont un rapport avec lorganisation. Si le sous-traitant na pas dimpact significatif sur les contrles applicables lorganisation, lauditeur doit documenter ce point dans ses documents de travail. Sil est tabli que limpact sur les contrles applicables lorganisation est significatif, lauditeur doit valuer les processus mis en uvre par le prestataire pour grer la relation avec le sous-traitant et en effectuer le suivi. Lauditeur doit se rfrer aux sections 4 et 5 de la prsente MPA pour procder cette valuation. 7. RAPPORTS Le rapport de lauditeur doit indiquer que laudit a port tant sur les contrles effectus au sein de lorganisation que sur ceux mis en place par le prestataire. Lauditeur doit envisager didentifier les contrles, les faiblesses et les contrles compensatoires qui existent de part et dautre. La liste de diffusion des conclusions et des recommandations doit tre tablie en tenant compte de la relation entre lorganisation et le prestataire. Il peut savrer que certains prestataires ne soient pas disposs mettre en uvre les recommandations ou ne soient pas en mesure de le faire. Dans ce cas, lauditeur doit recommander des contrles compensatoires que lorganisation pourra mettre en place pour remdier aux lacunes constates chez le prestataire.
SEPTEMBRE 2006
31-28
MPA 2100-14 : Preuves daudit rassembler
Interprtation de la norme 2100 extraite des Normes internationales pour la pratique professionnelle de laudit interne La prsente Modalit Pratique dApplication sinspire de la directive de lISACA (Information Systems Audit and Control Association ou Association pour le contrle et laudit des systmes dinformation) intitule Audit Evidence Requirement (lments probants rassembler) document G2. Cette directive daudit des systmes dinformation a t publie par lISACA en dcembre 1998. Elle a t utilise et adopte avec lautorisation de lISACA. En cas de divergence entre la prsente Modalit Pratique dApplication et la directive/procdure publie par lISACA, lISACA navalise pas les changements apports et nen garantit pas lexactitude. Nature de la prsente Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils procdent un audit informatique. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre dans le cadre dune mission dassurance intgre ou de conseil lie laudit des systmes dinformation. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments lors de la planification dtaille des travaux daudit. Le respect des Modalits Pratiques dApplication est facultatif.
1. PLANIFICATION Diffrents types dlments probants Lors de la planification des travaux daudit informatique, lauditeur doit tenir compte du type de preuves daudit rassembler, de leur utilisation en tant que preuves daudit afin de remplir les objectifs de laudit et de leurs degrs variables de fiabilit. Il convient de considrer notamment lindpendance et les comptences de la personne dont proviennent ces preuves. Par exemple, les pices affrentes aux tests de confirmation effectus par un tiers indpendant peuvent prsenter une plus grande fiabilit que les lments probants provenant de lorganisation audite. Les preuves tangibles sont gnralement plus fiables que les dclarations de personnes. Parmi les divers types de preuves daudit que lauditeur doit envisager de rassembler, ont peut citer : les processus observs et lexistence dlments matriels, la documentation des preuves daudit,
31-29
SEPTEMBRE 2006
les informations recueillies auprs des personnes, lanalyse. Les processus observs et lexistence dlments matriels peuvent comporter lexamen dactivits, de biens et de fonctions des systmes dinformation, tels que : linventaire des supports dtenus dans un site de stockage extrieur, le fonctionnement du systme de scurit dune salle informatique. Les documents sur support papier ou sur tout autre support comprennent notamment : les rsultats dextractions de donnes, les enregistrements relatifs aux transactions, les tats dits partir de programmes informatiques, les factures, les journaux dactivit et de contrle, la documentation relative au dveloppement des systmes. Les informations recueillies auprs des personnes audites peuvent servir de preuves daudit et revtir la forme suivante : politiques et procdures crites, organigrammes des systmes, dclarations crites ou orales. Les rsultats de lanalyse des informations recueillies, par le biais de comparaisons, simulations, calculs et raisonnements, peuvent galement servir de preuves daudit. On peut citer titre dexemple : lanalyse comparative des performances des systmes dinformation par rapport dautres organisations ou aux priodes prcdentes, la comparaison des taux derreur entre les applications, les transactions et les utilisateurs. Dure des preuves daudit Lauditeur doit tenir compte de la priode durant laquelle les informations existent ou sont disponibles pour dterminer la nature, le calendrier et ltendue des tests de confirmation, et, le cas chant, des tests de conformit. Par exemple, les preuves daudit faisant lobjet dun change de donnes informatises, dune numrisation, ou celles traites par des systmes dynamiques comme les tableurs, risquent de ne pas tre rcuprables aprs un certain laps de temps si les modifications apportes aux fichiers ne sont pas contrles ou si les fichiers ne sont pas sauvegards.
SEPTEMBRE 2006
31-30
Slection des preuves daudit Lauditeur doit slectionner les meilleures preuves daudit possibles compte tenu de limportance de lobjectif de laudit dune part, et du temps et des efforts consacrs la collecte de ces lments dautre part. Lorsque les preuves daudit obtenues sous la forme de dclarations verbales jouent un rle essentiel dans son opinion ou sa conclusion, lauditeur doit envisager dobtenir la confirmation de ces dclarations par des documents sur support papier ou sur tout autre support. 2. RALISATION DES TRAVAUX DAUDIT Nature des preuves daudit Les preuves daudit doivent tre suffisantes, fiables, pertinentes, et utiles pour formuler une opinion ou pour tayer les observations et les conclusions de lauditeur. Sil estime que les lments obtenus ne satisfont pas ces critres, lauditeur doit obtenir des preuves daudit supplmentaires. Par exemple, ltat dit partir dun programme informatique peut ne pas tre suffisant tant que dautres preuves daudit nont pas t rassembles afin de vrifier que cet tat correspond bien au programme rellement utilis au cours du processus de production. Collecte des preuves daudit Les procdures mises en uvre pour rassembler les preuves daudit varient selon le systme dinformation audit. Lauditeur doit slectionner la procdure la mieux approprie compte tenu de lobjectif de laudit. Les procdures suivantes doivent tre envisages : demande dinformations, observation, inspection, confirmation, nouvelle excution, suivi. Les procdures numres ci-dessus peuvent tre mises en uvre manuellement, soit par le biais doutils assists par ordinateur, ou en combinant ces deux procds. Par exemple : lorsque des totaux de contrle manuels sont utiliss dans un systme pour vrifier que les oprations de saisie de donnes sont quilibres, les preuves daudit attestant que la procdure de contrle est en place peuvent revtir la forme dun rapport rconcili et annot selon des modalits appropries. La collecte des preuves daudit consistera pour lauditeur examiner et vrifier ce rapport au moyen de tests,
31-31
SEPTEMBRE 2006
il peut arriver que les enregistrements dtaills relatifs aux transactions ne soient disponibles que sous un format lisible par une machine ; lauditeur doit alors recourir aux techniques daudit assistes par ordinateur pour obtenir des preuves daudit. Documentation de laudit Les preuves daudit recueillies par lauditeur doivent tre correctement documentes et structures de faon tayer ses observations et ses conclusions. 3. RAPPORTS Lorsque lauditeur estime quil nest pas possible dobtenir des preuves daudit suffisantes, il doit en faire tat selon des modalits cohrentes avec celles adoptes pour la communication des rsultats de laudit.
SEPTEMBRE 2006
31-32
2110
Management des risques

L'audit interne doit aider l'organisation en identifiant et en valuant les risques significatifs et contribuer l'amlioration des systmes de management des risques et de contrle.
MPA 2110-1 valuer le processus de management des risques Nature de cette Modalit Pratique dApplication : Les auditeurs internes peuvent tre amens vrifier, la demande du management et du comit daudit, que lorganisation possde des processus de management des risques adquats. Cette responsabilit implique que lauditeur mette un avis et indique si le processus de management des risques de lorganisation est suffisant pour protger les biens, la rputation et les activits de lorganisation. Lobjet de la prsente MPA est de prciser les principaux objectifs dont lauditeur doit tenir compte pour formuler son opinion sur le processus de management des risques de lorganisation. Seules lvaluation de lefficacit du processus et sa communication sont abordes ici. Dautres Modalits Pratiques dApplication traiteront de faon plus approfondie des questions relatives aux contrles et aux missions de conseil. Selon la prsente MPA, le dispositif de management des risques, qui fait partie des processus importants de lorganisation, peut et doit tre valu comme tout autre processus stratgiquement important. Le respect des Modalits Pratiques dApplication est facultatif. 1. La gestion des risques est une responsabilit majeure du management qui doit sassurer, pour atteindre ses objectifs, de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe au Conseil et au comit daudit de veiller ce que des processus de management des risques appropris, suffisants et efficaces soient en uvre. Le rle des auditeurs internes consiste assister le management et le comit daudit. A cet effet, ils doivent examiner et valuer les processus de management des risques mis en uvre par le management, vrifier quils sont suffisants et efficaces, puis mettre des rapports et des recommandations en vue de leur amlioration. Le management et le Conseil sont responsables des processus de management des risques et de contrle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre dune mission de conseil, aider lorganisation identifier, valuer et mettre en place un dispositif de management des risques et des contrles permettant de matriser ces risques.
32
OCTOBRE 2002
2. valuer les processus de management des risques de lorganisation et rendre compte de ces valuations font normalement partie des objectifs prioritaires de laudit. Lvaluation des processus de management des risques est distinguer de lanalyse des risques laquelle les auditeurs doivent procder pour tablir leur planification. Cependant, les informations tires dun processus complet de management des risques, et notamment lidentification des sujets de proccupation du management et du Conseil, peuvent aider lauditeur interne planifier ses travaux daudit. 3. Chaque organisation peut adopter une mthodologie qui lui est propre pour la mise en place dun processus de management des risques. Lauditeur interne doit sassurer que les groupes ou individus impliqus dans le gouvernement d'entreprise, y compris le Conseil et le comit daudit, matrisent cette mthodologie. Pour formuler une opinion globale sur ladquation du dispositif de management des risques, les auditeurs internes doivent galement sassurer que le processus de management des risques de lorganisation rpond cinq objectifs principaux. Les cinq principaux objectifs dun dispositif de management des risques sont les suivants : les risques dcoulant des stratgies et des activits de lorganisation sont identifis et hirarchiss ; le management et le Conseil ont dtermin un niveau de risques acceptable pour lorganisation, en tenant compte des risques lis la mise en uvre des plans stratgiques de lorganisation ; des mesures dattnuation des risques sont dfinies et mises en place afin de rduire ou de grer les risques, compte tenu des seuils jugs acceptables par le management et le Conseil ; un suivi permanent des activits est effectu afin de rvaluer priodiquement les risques et lefficacit des contrles permettant de les grer ; des rapports concernant les rsultats des processus de management des risques sont adresss priodiquement au Conseil et au management. Le processus de gouvernement d'entreprise doit fournir une prsentation priodique des risques, des stratgies lies aux risques, et des contrles, destine aux parties prenantes de lorganisation. 4. Les auditeurs internes doivent tenir compte des divergences significatives qui peuvent exister sur les techniques de management des risques dune organisation l'autre. Les processus de management des risques doivent tre conus en fonction de la nature des activits de lorganisation. Selon limportance et la complexit de ces activits, les processus de management des risques peuvent tre : formaliss ou informels ; fonds sur une approche quantitative ou subjective ; intgrs dans les diffrentes units de lorganisation ou centraliss au niveau du sige.
OCTOBRE 2002
33
Le processus de chaque organisation doit tre adapt sa culture, son style de management et ses objectifs. A titre dexemple, le recours par lorganisation des instruments drivs ou dautres instruments financiers trs perfectionns, suppose la mise en uvre doutils quantitatifs de management des risques. Les organisations moins complexes et de taille plus modeste peuvent, en revanche, analyser le profil de risque de lorganisation et prendre priodiquement des mesures dans le cadre dun comit des risques informel. Lauditeur doit sassurer que la mthodologie retenue est la fois exhaustive et adapte la nature des activits de lorganisation. Afin de se forger une opinion sur les processus, les auditeurs internes doivent disposer dlments suffisamment probants pour acqurir lassurance que les cinq principaux objectifs des processus de management des risques sont bien remplis. Pour recueillir ces lments, lauditeur interne peut recourir aux procdures daudit dcrites ci-aprs. 5. Rechercher et examiner des documents de rfrence et des informations dordre gnral sur les mthodes de management des risques afin dapprcier si le processus mis en uvre par lorganisation est appropri et sinspire des meilleures pratiques du secteur. Rechercher et analyser des informations sur le secteur dactivit de lorganisation, lvolution rcente et les tendances, ainsi que toute autre source dinformation approprie, afin de dterminer les risques susceptibles daffecter lorganisation et les procdures de contrle utilises pour grer, suivre et rvaluer ces risques. Examiner les procdures de la socit ainsi que les procs-verbaux des dlibrations du Conseil et du comit daudit afin de dterminer les stratgies de lorganisation, son approche du management des risques, son attirance pour le risque et son acceptation des risques. Examiner les rapports dvaluation des risques prcdemment tablis par le management, les auditeurs internes ou externes et, le cas chant, par tout autre intervenant. Organiser des entretiens avec les responsables oprationnels et leurs managers afin de dterminer les objectifs de chaque branche dactivit, les risques correspondants, et les mesures de suivi, de contrle et dattnuation des risques prises par le management. Recueillir des informations afin dvaluer, en toute indpendance, lefficacit du processus de suivi, de communication et dattnuation des risques, et des activits de contrle correspondantes. Dterminer si les informations ou rapports relatifs au suivi des risques sont adresss au niveau hirarchique appropri. Vrifier si les rapports concernant les rsultats du management des risques sont diffuss selon des modalits et dans des dlais appropris. Sassurer du caractre exhaustif de lanalyse des risques effectue par le management et des mesures prises pour rsoudre les points soulevs dans le cadre du processus de management des risques, et proposer des amliorations.
34
OCTOBRE 2002
Apprcier lefficacit du processus dauto-valuation mis en uvre par le management, au moyen dobservations et de tests sur les procdures de suivi et de contrle testant lexactitude des informations utilises dans le cadre des oprations de suivi, et par dautres techniques appropries. Examiner les signes de faiblesse ventuels du dispositif de management des risques et, le cas chant, les analyser avec le management, le comit daudit et le Conseil. Sil estime que le management a accept un niveau de risques non compatible avec la stratgie et les procdures de lorganisation en matire de management des risques, ou jug inacceptable pour lorganisation, lauditeur doit se rfrer la Norme 2600 relative lacceptation des risques par le management, et toute orientation complmentaire.
MPA 2110-2 Le rle de lAudit interne dans le processus de continuit des oprations Nature de cette Modalit Pratique dApplication Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour valuer lefficacit du processus de continuit des oprations. Garantir la continuit des oprations dune organisation aprs un sinistre ncessite la mise en uvre de nombreux processus. Le dveloppement dun plan complet passe par lvaluation de limpact et des consquences dun sinistre potentiel ainsi que par lapprhension des risques. (Le processus complet pour assurer la continuit dentreprise comprend, entre autres, le plan de continuit des oprations et le plan de reprise aprs sinistre.) Ces plans devraient tre labors, maintenus, tests et audits pour garantir quils demeurent en phase avec les besoins de lorganisation. Le respect des Modalits Pratiques dApplication est facultatif. 1. Linterruption des oprations peut rsulter de phnomnes naturels et dinfractions accidentelles ou dlibres. Ces interruptions peuvent avoir des rpercussions importantes sur les plans financier et oprationnel. Les auditeurs doivent apprcier la capacit de lorganisation grer les interruptions dactivit et sa ractivit face ceux-ci. Pour tre complet, un plan doit prvoir des procdures de rponse durgence, des systmes alternatifs de communication ainsi quun site physique de secours, des systmes dinformation de secours, un plan de reprise aprs sinistre, des valuations dimpact sur lactivit, des plans de remise en service initial, des procdures de restauration des services logistiques et des procdures de maintenance permettant de sassurer que lorganisation est bien prpare en cas durgence ou de sinistre. 2. Laudit interne doit valuer rgulirement le processus dlaboration du plan de continuit des oprations de lorganisation et sassurer que la direction gnrale est informe du degr de prparation de lorganisation la survenance dun sinistre.
JUIN 2004
35
3. De nombreuses organisations ne sattendent pas ce quun sinistre ou tout autre vnement imprvu provoque une interruption ou un ralentissement des oprations et des processus normaux dactivit. Selon de nombreux experts, le problme nest pas de savoir si un sinistre va se produire, mais quand il va se produire. Sur une longue priode, une organisation va se trouver confronte un vnement entranant la perte dinformations, de personnel ou des difficults daccs des biens corporels ou incorporels. Lexposition ce type de risques et la planification de la continuit des oprations font partie intgrante du processus de management des risques dune organisation. La planification pralable est ncessaire pour minimiser la perte et assurer la continuit des fonctions critiques dune organisation. Elle peut permettre lorganisation de garantir ses parties prenantes un niveau de services acceptable. 4. Lexistence dun plan de continuit des oprations complet et jour est capitale en vue dassurer la reprise dactivit. Les auditeurs internes peuvent y jouer un rle. Laudit interne peut (a) contribuer lanalyse des risques, (b) valuer le contenu et le caractre exhaustif du plan aprs son laboration, et (c) accomplir des missions dassurance priodiques afin de vrifier que le plan est mis jour. PLANIFICATION 5. Les organisations sappuient sur les auditeurs internes pour analyser les oprations et valuer les processus de management des risques et de contrle. Les auditeurs internes acquirent une bonne comprhension de lensemble des activits dexploitation, des fonctions individuelles et des liens qui existent entre elles. Ceci fait de laudit interne une ressource prcieuse pour valuer le plan de continuit des oprations tout du long de son laboration. 6. Lactivit daudit interne peut aider valuer lenvironnement interne et externe dune organisation. Les facteurs internes susceptibles dtre pris en compte incluent le renouvellement de lquipe de direction, les changements apports aux systmes dinformation, les contrles, ainsi que les principaux projets et programmes. Les facteurs externes peuvent tre lvolution du cadre rglementaire et de lenvironnement extrieur, des marchs et des conditions de concurrence, de la situation conomique et financire internationale et des technologies. Les auditeurs internes peuvent aider identifier les risques lis aux activits critiques et tablir un ordre de priorit entre les fonctions en vue de la reprise. VALUATION 7. Les auditeurs internes peuvent apporter une contribution en tant que participants objectifs, en valuant la conception, le caractre exhaustif et adquat des projets de plans de continuit des oprations et de reprise aprs sinistre. Lauditeur peut examiner ces plans afin de vrifier quils reprennent les activits identifies au cours du
36
JUIN 2004
processus dvaluation des risques et quils contiennent des dispositions et des prescriptions suffisantes en termes de contrle interne. Grce sa connaissance approfondie des activits et des applications de lorganisation, lauditeur interne peut contribuer la phase dlaboration du plan de continuit des oprations en valuant sa structure, son caractre exhaustif, ainsi que les mesures recommandes pour grer les risques et maintenir un contrle interne efficace durant une priode de reprise. MISSIONS PRIODIQUES DASSURANCE 8. Les auditeurs internes doivent procder priodiquement un audit des plans de continuit et de reprise des oprations de lorganisation. Lobjectif de cet audit est de vrifier que les plans permettront dassurer rapidement la reprise des activits et des processus aprs des circonstances dfavorables, et quils refltent lenvironnement oprationnel actuel de lorganisation. 9. Le plan de continuit et le plan de reprise des oprations peuvent devenir trs rapidement obsoltes. Ladaptation aux changements est un aspect incontournable des fonctions de management. La rotation des dirigeants et des cadres, les changements dans la configuration des systmes, dans les interfaces et les logiciels, peuvent avoir un impact important sur ces plans. Laudit interne doit examiner le plan de reprise et sassurer (a) quil est structur de faon incorporer les changements importants susceptibles de se produire au fil du temps et (b) que les plans rviss seront communiqus aux personnes appropries, tant au sein de lorganisation qu lextrieur de celle-ci. 10. Au cours de laudit, les auditeurs internes doivent se poser les questions suivantes : Tous les plans sont-ils actualiss ? Existe-t-il des procdures concernant la mise jour des plans ? Les plans couvrent-ils toutes les fonctions oprationnelles et tous les systmes critiques ? En cas de rponse ngative, ces omissions sont-elles motives et documentes ? Les plans sont-ils fonds sur les risques et les consquences ventuelles des interruptions dactivit ? Les plans sont-ils parfaitement documents et sont-ils conformes aux rgles et procdures de lorganisation ? Les responsabilits fonctionnelles sont-elles dfinies ? Lorganisation est-elle capable de mettre les plans en uvre ? Y est-elle prpare ? Les plans sont-ils tests et rviss en fonction des rsultats des tests ? Les plans sont-ils conservs de faon sre et approprie ? La localisation des plans et leur mode daccs sont-ils connus du management ?
JUIN 2004
37
Lemplacement des sites de secours est-il connu des salaris ? Les plans prvoient-ils une coordination avec les services durgence locaux ? LE RLE DE LAUDIT INTERNE APRS UN SINISTRE 11. Les auditeurs internes ont un rle important jouer juste aprs la survenance dun sinistre. Une organisation est plus vulnrable lorsquelle tente de se redresser la suite dun sinistre. Durant cette priode, les auditeurs internes doivent sassurer que la reprise et la matrise des oprations sont effectives. Laudit interne doit identifier les domaines dans lesquels les contrles internes et les mesures dattnuation des risques doivent tre amliors. Ils doivent formuler des recommandations en vue damliorer le plan de continuit des oprations de lentit. Laudit interne peut galement apporter un soutien durant les oprations de reprise. 12. Aprs le sinistre, gnralement en lespace de plusieurs mois, les auditeurs internes peuvent aider tirer les enseignements du sinistre et des oprations de reprise. Ces observations et ces recommandations peuvent renforcer les mesures prises pour reconstituer les ressources et mettre jour la prochaine version du plan de continuit des oprations. 13. En dfinitive, cest la direction gnrale qui dterminera le degr dimplication des auditeurs internes dans les processus de continuit et de reprise des oprations compte tenu de leurs connaissances, de leurs comptences, de leur indpendance et de leur objectivit.
Dans le secteur Bancaire, le Comit de la Rglementation Bancaire et Financire dans son rglement n 2004-02 modifiant le rglement n 97-02 stipule que les entreprises assujetties doivent : a) disposer de plans de continuit de lactivit ; b) sassurer que leur organisation et la disponibilit de leurs ressources humaines, immobilires, techniques et financires font lobjet dune apprciation rgulire au regard des risques lis la continuit de lactivit ; c) sassurer de la cohrence et de lefficacit des plans de continuit de lactivit dans le cadre dun plan global qui intgre les objectifs dfinis par lorgane excutif et, le cas chant, par lorgane dlibrant. (pour plus de dtails, consulter le site www.banque-france.fr).
38
JUIN 2004
2120
Contrle
L'audit interne doit aider l'organisation maintenir un dispositif de contrle appropri en valuant son efficacit et son efficience et en encourageant son amlioration continue. 2120.A1 Sur la base des rsultats de l'valuation des risques, l'audit interne doit valuer la pertinence et l'efficacit du dispositif de contrle portant sur le gouvernement dentreprise, les oprations et les systmes d'information de l'organisation.
Cette valuation doit porter sur les aspects suivants : la fiabilit et lintgrit des informations financires et oprationnelles ; lefficacit et lefficience des oprations ; la protection du patrimoine ; le respect des lois, rglements et contrats.
MPA 2120.A1-1 valuer les processus de contrle interne et en rendre compte Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes pour valuer lefficacit du dispositif de contrle dune organisation et pour rendre compte des rsultats de cette valuation la direction gnrale et au Conseil. Les informations recueillies au cours de lexercice, dans le cadre des travaux daudit, doivent tre suffisantes pour permettre lvaluation du dispositif de contrle et la formulation dune opinion. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le Conseil a notamment pour mission de mettre en place et maintenir des processus de gouvernement dentreprise et dobtenir lassurance que les processus de management des risques et de contrle sont efficaces. Le rle de la direction gnrale est de superviser la mise en place, la gestion et lvaluation de ces processus. Ce systme
JUIN 2004
39
de contrle, multiples facettes, a pour but daider les collaborateurs de lorganisation grer les risques et atteindre les objectifs fixs et diffuss au sein de lorganisation. Plus prcisment, ces processus de contrle doivent permettre notamment de sassurer que les conditions suivantes sont remplies : les informations financires et oprationnelles sont fiables et rpondent au critre dintgrit ; les oprations sont ralises de manire efficace et efficiente ; les actifs sont sauvegards ; les actes accomplis et les dcisions prises par lorganisation sont conformes la loi, la rglementation et aux contrats. 2. Il incombe aux managers de lorganisation dvaluer les processus de contrle mis en place dans leurs domaines respectifs. Les auditeurs internes et les auditeurs externes fournissent des niveaux divers dassurance quant au degr defficacit des processus de management des risques et de contrle mis en uvre dans les activits et fonctions choisies de lorganisation. 3. La direction gnrale et le Conseil sattendent gnralement ce que les travaux accomplis et les informations recueillies par le responsable de l'audit interne au cours de lexercice soient suffisants pour lui permettre de formuler un jugement sur la pertinence et lefficacit des processus de management des risques et de contrle. Le responsable de l'audit interne doit communiquer la direction gnrale et au comit d'audit ce jugement densemble sur le processus de management des risques et le systme de contrle de lorganisation. Un nombre croissant dorganisations inclut, dans les rapports annuels ou priodiques destins aux tiers, un rapport du management sur le processus de gestion des risques et le systme de contrle interne. 4. Le responsable de l'audit interne doit laborer un projet de plan daudit, tabli en principe pour lanne venir, qui assure que les lments recueillis permettront dapprcier lefficacit des processus de management des risques et de contrle. Ce plan doit tenir compte de la ncessit de collecter, dans le cadre des missions daudit ou des autres procdures mises en uvre, des informations pertinentes sur toutes les fonctions et units oprationnelles importantes. Il doit comporter une revue des principaux processus de gestion des risques en place dans lorganisation et mentionner les principaux risques identifis grce ces processus. Il convient galement daccorder une attention particulire aux oprations spcialement affectes par les changements rcents ou prvus qui peuvent rsulter du march ou des conditions dinvestissement, dacquisitions et de cessions ou de restructurations, et de nouvelles affaires. Le plan propos doit tre suffisamment souple pour permettre une actualisation en cours danne, en cas dvolution des stratgies du management, de lenvironnement extrieur, des principaux risques, ou en cas de rajustement des prvisions relatives la ralisation des objectifs de lorganisation.
40
JUIN 2004
5. Lors de llaboration du projet de plan daudit, le responsable de l'audit interne doit tenir compte des travaux qui seront effectus par des tiers. Pour minimiser les doubles emplois et les pertes de temps, il convient dtablir le plan daudit de lexercice venir en tenant compte des travaux planifis par les auditeurs externes et des travaux planifis ou raliss rcemment par le management dans le cadre de lvaluation des processus de management des risques, de contrle et damlioration qualit. 6. Enfin, le responsable de l'audit interne doit valuer le plan propos et le champ dintervention sous deux angles : il doit tre adapt toutes les entits de lorganisation et porter sur divers types de transactions et de processus dactivit. Si le champ dintervention du plan daudit propos ne permet pas de formuler une assurance sur les processus de management des risques et de contrle de lorganisation, le responsable de l'audit interne doit informer la direction gnrale et le Conseil de ces lacunes, de leurs causes et de leurs consquences probables. 7. Le dfi de laudit interne consiste valuer lefficacit du dispositif de management des risques et de contrle de lorganisation sur la base de nombreuses valuations individuelles. Ces valuations proviennent, pour une large part, de missions daudit interne, dauto-valuations effectues par le management et des travaux des auditeurs externes. Au fur et mesure de lavancement des missions, les auditeurs internes doivent communiquer leurs observations aux responsables appropris, de telle sorte que des mesures puissent tre prises rapidement afin de remdier aux faiblesses ou anomalies constates ou den attnuer les consquences. 8. Lvaluation de lefficacit des processus de management des risques et de contrle dune organisation doit tenir compte de trois lments cls : Les travaux daudit et les informations recueillies dans le cadre des valuations ontils mis en vidence des anomalies ou des faiblesses significatives ? En cas de rponse positive, des corrections ou amliorations ont-elles t apportes aprs constatation des anomalies ou des faiblesses ? Ces anomalies ou faiblesses et leurs consquences sont-elles vraisemblablement gnralises et entranent-elles de ce fait un degr inacceptable de risques ? Lexistence temporaire dune anomalie ou dune faiblesse significative ne signifie pas ncessairement que cette anomalie ou faiblesse est gnralise et quelle entrane un risque rsiduel inacceptable. La nature des anomalies ou des faiblesses constates, leur caractre restreint ou gnralis, ainsi que la gravit des consquences et des risques, sont autant de facteurs prendre en compte pour dterminer si lefficacit de lensemble du dispositif de contrle est remise en cause et sil existe des risques inacceptables. 9. Le responsable de l'audit interne doit prsenter la direction gnrale et au Conseil, gnralement une fois par an, un rapport sur ltat des processus de management des
JUIN 2004
41
risques et de contrle de lorganisation. Ce rapport doit souligner limportance du rle jou par les processus de management des risques et de contrle dans la ralisation des objectifs de lorganisation. Il doit galement mentionner les principaux travaux raliss par laudit interne et les autres sources importantes dinformations sur lesquelles repose lopinion dassurance densemble. La partie du rapport qui est consacre lopinion est gnralement formule en terme dassurance ngative ; c'est-dire qu'il doit prciser que les travaux daudit effectus pour la priode concerne et les autres informations recueillies nont pas mis en vidence de faiblesse significative et gnralise des processus de management des risques et de contrle. En cas danomalie ou de faiblesse significative et gnralise, cette partie du rapport peut contenir des rserves ou une opinion dfavorable, selon laggravation prvue du risque rsiduel et son impact sur les objectifs de lorganisation. 10. Les membres de la direction gnrale et du Conseil sont les principaux destinataires du rapport annuel. tant donn quils ont une approche diffrente de laudit et de lactivit, le rapport annuel du responsable de l'audit interne doit tre clair, concis et bien document. Il doit tre conu et rdig de faon en faciliter la lecture et rpondre aux besoins dinformations des destinataires. La valeur de ce rapport sera encore accrue sil est centr sur les principaux risques et sil comporte les principales recommandations et amliorations proposes, ainsi que des informations sur des questions dactualit (risques lis aux technologies et la scurit de linformation par exemple), sur le type danomalies ou de faiblesses constates par entit, et sur les difficults que peut soulever le respect des lois ou des rglementations. 11. Il existe manifestement un dcalage au niveau des attentes engendres par les travaux de laudit interne en matire dvaluation et dassurance de ltat des processus de management des risques et de contrle. Ce dcalage concerne notamment les aspirations du manager et du Conseil qui, en rgle gnrale, sattendent des prestations daudit interne forte valeur ajoute, et celles plus modestes de lauditeur interne qui a connaissance des limites apportes en pratique au champ dintervention de laudit et qui nest pas tout fait certain davoir runi des preuves suffisantes pour justifier un jugement clair et objectif. Le responsable de l'audit interne doit prter attention au dcalage qui peut exister entre les prsupposs du lecteur du rapport et la ralit de lexercice coul. Il doit utiliser ce rapport comme une autre faon de s'adresser diffrentes sensibilits et de suggrer une amlioration des capacits de laudit interne ou la rduction des contraintes qui nuisent son efficacit.
42
JUIN 2004
MPA 2120.A1-2 Utiliser lauto-valuation des contrles pour valuer la pertinence des processus de contrle Nature de cette Modalit Pratique dApplication : Les managers et les auditeurs internes peuvent adopter une mthodologie fonde sur lauto-valuation des contrles (CSA) pour sassurer que les processus de management des risques et de contrle de lorganisation sont satisfaisants. Les auditeurs internes peuvent recourir aux programmes dauto-valuation des contrles pour recueillir des informations pertinentes sur les risques et les contrles, pour centrer le plan daudit sur les risques importants et les lments exceptionnels, et pour renforcer la collaboration avec les directeurs oprationnels et les groupes de travail. Le respect des Modalits Pratiques dApplication est facultatif.
1. Il incombe la direction gnrale de superviser la mise en place, la gestion et lvaluation des processus de management des risques et de contrle. Les directeurs oprationnels sont chargs notamment dvaluer les risques et les contrles en place dans leurs units. Les auditeurs internes et les auditeurs externes apportent diffrents niveaux dassurance quant lefficacit des processus de management des risques et de contrle de lorganisation. Les managers et les auditeurs ont intrt utiliser des techniques et des outils centrs sur lvaluation des processus de management des risques et de contrle existants, ainsi que sur lidentification des moyens de renforcer leur efficacit. 2. La mise en uvre dune approche fonde notamment sur des enqutes dauto-valuation et sur lanimation dateliers (CSA ou Auto-Evaluation des contrles) constitue pour les managers et les auditeurs internes un moyen utile et efficace de collaborer lvaluation des procdures de contrle. En principe, la prise en compte des objectifs et des risques fait partie intgrante de lauto-valuation des contrles (CSA), qui est parfois dsigne par lexpression auto-valuation des contrles et des risques (CRSA). Les professionnels ont recours diffrentes techniques, mais la plupart des programmes mis en place prsentent certaines caractristiques et certains objectifs communs. Une organisation qui pratique lauto-valuation dispose dun processus formalis et document grce auquel le management et les groupes de travail qui sont directement impliqus dans une unit oprationnelle, une fonction ou un processus, peuvent participer de faon structure aux oprations suivantes : identification des risques encourus ; valuation des processus de contrle permettant dattnuer ou de grer ces risques ; laboration de plans dactions visant ramener les risques des niveaux acceptables ; estimation de la probabilit pour que les objectifs de lorganisation soient atteints.
OCTOBRE 2002
43
3. Les processus dauto-valuation peuvent prsenter les avantages suivants : le personnel des units oprationnelles acquiert une formation et une exprience grce auxquelles il peut valuer les risques, associer les processus de contrle et le management de ces risques et accrotre les chances de raliser les objectifs de lorganisation ; les contrles informels dits soft sont plus faciles identifier et valuer ; les membres du personnel sont motivs pour sapproprier les processus de contrle en place dans leurs units, et les mesures correctives prises par les groupes de travail sont souvent plus efficaces et plus rapides ; lensemble de la chane objectifs-risques-contrles de lorganisation fait lobjet dun meilleur suivi et damliorations continues ; les auditeurs internes interviennent dans le processus dauto-valuation et en acquirent une trs bonne connaissance, soit en tant quanimateurs, secrtaires ou rapporteurs des groupes de travail, soit pour dispenser une formation aux concepts de risque et de contrle qui sous-tendent le programme dauto-valuation. Ils acquirent ainsi une trs bonne connaissance du processus ; laudit interne est mieux inform sur les processus de contrle de lorganisation. Il peut par consquent exploiter ces informations et consacrer en priorit ses rares ressources lexamen des units ou des fonctions dont les contrles prsentent des faiblesses significatives ou qui comportent des risques rsiduels importants ; le management, dont la responsabilit au titre des processus de management des risques et de contrle de lorganisation se trouve renforce, sera moins tent de dlguer ces tches des spcialistes, et notamment aux auditeurs ; le rle premier de laudit interne consistera, comme par le pass, valider le processus dvaluation au moyen de tests et formuler un jugement professionnel sur la pertinence et lefficacit de lensemble des systmes de management des risques et de contrle. 4. Lapproche adopte dans le cadre dun programme dauto-valuation des contrles varie fortement selon le secteur dactivit de lorganisation, sa localisation, sa structure, sa culture, le degr dautonomie de son personnel, son style de management et sa faon de formuler les stratgies et les procdures, ce qui conduit penser que le succs rencontr par un certain type de programme dauto-valuation dans une organisation donne peut ne pas se reproduire ailleurs. Le processus dauto-valuation doit tre personnalis et adapt aux caractristiques de chaque organisation. Il faut donc adopter une approche dynamique et la modifier en fonction de lvolution de lorganisation. 5. Les programmes dauto-valuation revtent principalement les trois formes suivantes : ateliers par quipe, enqutes, et tudes ralises par le management. Ces diffrentes approches sont souvent combines dans les organisations.
44
OCTOBRE 2002
6. Les ateliers rassemblent les informations collectes par des groupes de travail qui reprsentent, diffrents niveaux, lunit ou la fonction concerne. Latelier peut tre centr sur les objectifs, les risques, les contrles ou les processus. Les ateliers centrs sur les objectifs recherchent en priorit le meilleur moyen de raliser un objectif de lorganisation. Le groupe commence par identifier les contrles en place qui concourent la ralisation de lobjectif, puis il dtermine les risques rsiduels. Le but de latelier est dapprcier si les procdures de contrle sont efficaces et si elles permettent de maintenir les risques rsiduels un niveau acceptable. Les ateliers centrs sur les risques sefforcent en priorit didentifier les risques lis la ralisation dun objectif. Le groupe commence par dresser la liste de tous les obstacles, menaces et risques susceptibles dempcher la ralisation dun objectif, puis il examine les procdures de contrle et vrifie si elles sont suffisantes pour grer les principaux risques. Le but de latelier est de dterminer les risques rsiduels significatifs. Ce type datelier porte sur lintgralit de la chane objectifsrisques-contrles. Les ateliers centrs sur les contrles recherchent en priorit si les contrles en place fonctionnent bien. Ce type datelier diffre des deux premiers car lanimateur identifie les principaux risques et contrles avant le dbut de latelier. Durant latelier, le groupe de travail apprcie dans quelle mesure les contrles contribuent lattnuation des risques et la ralisation des objectifs. Le but de latelier est danalyser lcart entre lefficacit relle des contrles et lefficacit attendue par le management. Les ateliers centrs sur les processus portent en priorit sur certaines activits qui font partie dun ensemble de processus. Les processus consistent gnralement en une srie dactivits qui sont lies et qui se droulent du dbut jusqu la fin, telles que les diverses tapes dun cycle achats, dveloppement de produits ou gnration de revenus. Ce type datelier couvre gnralement lidentification des objectifs de lensemble du processus et les diverses tapes intermdiaires. Le but de cet atelier est dvaluer, actualiser, valider, amliorer et mme de rationaliser lensemble du processus et les activits qui le composent. Ce type datelier peut dboucher sur une analyse plus large que lapproche centre sur les contrles car il couvre plusieurs objectifs du processus et soutient les efforts effectus par ailleurs par le management dans le cadre doprations telles que reengineering, amlioration qualit, et projets damlioration continue des processus. 7. Les enqutes sont ralises laide dun questionnaire auquel il faut gnralement rpondre par oui ou par non, les questions tant rdiges avec soin de faon en faciliter la comprhension. Les enqutes sont frquemment utilises lorsque les personnes consulter sont trop nombreuses ou trop disperses pour participer un atelier. Elles sont galement privilgies lorsque la culture de lorganisation nest pas trs propice
OCTOBRE 2002
45
un dialogue franc et ouvert au sein dateliers ou si le management souhaite minimiser les temps passs et les cots engags pour recueillir les informations. 8. La forme dauto-valuation dsigne par la locution tudes du management regroupe la plupart des autres approches adoptes par les groupes de dirigeants pour rassembler des informations concernant certains processus, certaines activits de management des risques ou certaines procdures de contrle. Ltude a souvent pour but de porter, dans des dlais raisonnables, un jugement clair sur certaines caractristiques des procdures de contrle Elle est gnralement ralise par une quipe en poste ou jouant un rle de support. Lauditeur interne peut faire la synthse de cette tude et dautres informations afin damliorer sa connaissance des contrles et la partager avec les responsables dunits oprationnelles ou fonctionnelles dans le cadre du programme dauto-valuation des contrles de lorganisation. 9. Tous les programmes dauto-valuation supposent que les membres du management et des groupes de travail possdent une bonne connaissance des concepts de risque et de contrle, et les utilisent pour communiquer. Dans le cadre des formations, les organisations utilisent souvent un cadre, tel que les modles COSO et COCO, destin faciliter le bon droulement des dbats au sein des ateliers et vrifier le caractre exhaustif de lensemble du processus. 10. En rgle gnrale, les ateliers donnent lieu lmission dun rapport rdig pour une large part durant les dbats. Un consensus sera dgag sur les divers sujets de discussion, et le groupe examinera le projet de rapport avant la fin de la dernire session. Certains programmes comportent un systme de vote anonyme qui permet dassurer la libre circulation des informations et des opinions durant les ateliers, et qui facilite la rsolution des divergences de points de vue et dintrts. 11. Laudit interne sinvestit de faon assez significative dans certains programmes dautovaluation des contrles. Il peut susciter, concevoir, mettre en place et, en fait, sapproprier le processus, diriger la formation, fournir les animateurs, les secrtaires et les rapporteurs, et coordonner la participation du management et des groupes de travail. Dans dautres programmes, laudit interne rduit sa participation au minimum, et nintervient qu titre de partie prenante et de consultant pour lensemble du processus, ainsi que pour vrifier en dernier ressort les conclusions des quipes. Dans la plupart des cas, linvestissement de laudit interne dans le programme dautovaluation des contrles se situe entre ces deux extrmes. Plus la participation de laudit interne au programme dauto-valuation et aux dbats organiss dans les ateliers est importante, plus le responsable de l'audit interne doit sassurer de lobjectivit de lquipe daudit interne, prendre des mesures cet effet (si cela s'avre ncessaire), et intensifier les tests afin de vrifier que le jugement du personnel nest pas fauss. Selon la Norme 1120 : Les auditeurs internes doivent adopter une attitude impartiale et dpourvue de prjugs et viter les conflits dintrt .
46
OCTOBRE 2002
12. Lexistence dun programme dauto-valuation des contrles renforce le rle traditionnel de laudit interne car il lui permet dassister le management dans lexercice de ses responsabilits, notamment en ce qui concerne la mise en place et le maintien des processus de management des risques et de contrle, et lvaluation du systme. Dans le cadre dun tel programme, laudit interne, les units oprationnelles et les fonctions cooprent en vue damliorer la qualit des informations relatives au fonctionnement des processus de contrle et limportance des risques rsiduels. 13. Bien quil participe au programme dauto-valuation des contrles en qualit danimateur et dexpert, laudit interne constate souvent que ce programme lui permet de rduire les efforts ncessaires pour recueillir des informations sur les procdures de contrle et dliminer certains tests. Un programme dauto-valuation doit avoir pour effet dlargir le champ de lvaluation des processus de contrle travers lorganisation, damliorer la qualit des mesures correctives prises par les responsables des processus, et de centrer les travaux de laudit interne sur lexamen des processus haut risque et des situations inhabituelles. Il peut alors sattacher valider les conclusions qui remontent du programme dauto-valuation, dresser la synthse des informations provenant des diverses composantes de lorganisation et formuler, lattention de la direction gnrale et du comit d'audit, une opinion densemble sur lefficacit des contrles. MPA 2120.A1-3 Le rle de laudit interne en matire de reporting financier trimestriel, de publication des informations et de certifications par les dirigeants
Mise en uvre du Sarbanes-Oxley Act amricain (SOA) essentiellement la section 302 qui concerne une trentaine de groupes franais cots aux tats-Unis.
Nature de cette Modalit Pratique dApplication Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes, qui concernent les exigences poses par la SEC (Securities and Exchange Commission) aux tats-Unis en matire de reporting financier trimestriel, de publication des informations et de certifications par les dirigeants. Ces recommandations, qui visent en particulier les socits amricaines soumises au rglement de la SEC, sappliquent galement plus de 1 300 socits trangres. Un nombre croissant dorganisations non cotes, soucieuses de renforcer la confiance de leurs parties prenantes, se soumettent volontairement certaines exigences de la SEC afin dappliquer les meilleures pratiques en matire de publication des informations et de contrle du reporting trimestriel. En outre, les auditeurs internes sont invits consulter la Modalit Pratique dApplication 2120.A1-1 valuer le processus de contrle interne et en rendre compte , pour de plus amples informations. Le respect des Modalits Pratiques dApplication est facultatif.
JUIN 2004
47
1. La solidit des marchs financiers repose sur la confiance des investisseurs. Des allgations de mfaits commis par des dirigeants de socits, des commissaires aux comptes et dautres acteurs du march, ont branl cette confiance. Face cela, le Congrs des tats-Unis ainsi quun nombre croissant dorganes lgislatifs et dinstances rglementaires dautres pays ont adopt une lgislation et une rglementation concernant la publication des informations et des rapports financiers par les socits.
En France, la Loi de Scurit Financire (LSF) du 1er aot 2003 (parution au Journal Officiel du 2 aot 2003) participe des mmes proccupations que le SOA savoir rtablir la confiance des investisseurs mais son approche en est bien diffrente (voir ci-aprs).
En particulier, le Sarbanes-Oxley Act (SOA), adopt aux tats-Unis en 2002, a opr une rforme radicale en instaurant lobligation pour les principaux dirigeants et responsables financiers de fournir des informations publies et des certifications supplmentaires. 2. Le SOA oblige les entreprises mettre en place des processus pour permettre aux cadres dirigeants dacqurir lassurance ncessaire pour certifier personnellement les informations publies. Lune des composantes essentielles du processus de certification rside dans le management des risques et dans les contrles internes relatifs lenregistrement et la synthse des informations financires.
Nouvelles obligations lgales

3. La section 302 du Sarbanes-Oxley Act prcise les responsabilits des socits en matire de rapports financiers et la SEC a publi des recommandations pour appliquer la loi. Les rgles 13a-14 et 15d-14 adoptes par la SEC prvoient lobligation pour le ou les principaux dirigeants et responsables financiers, ou pour les personnes exerant des fonctions similaires, de certifier dans tout rapport trimestriel et annuel, y compris les rapports publis durant la priode de transition, dpos ou prsent par la socit mettrice au titre de larticle 13, point a), ou 15, point d), du Exchange Act : quils ont examin le rapport ; qu leur connaissance, le rapport ne contient pas de dclaration inexacte portant sur un point significatif, ou quil nomet aucun point significatif quil aurait t ncessaire de mentionner, la lumire des circonstances qui entourent les dclarations publies, de telle sorte que ces dclarations ne soient pas trompeuses pour la priode couverte par le rapport ; qu leur connaissance, les tats financiers et les autres informations financires figurant dans le rapport donnent, sur tous les points importants, une image fidle de la situation financire, des rsultats et des flux de trsorerie de la socit mettrice pour les priodes examines dans le rapport ;
48
JUIN 2004
quen outre : ils sont responsables, pour la socit mettrice, de la mise en place et de la mise jour des procdures et des contrles en matire de publication des informations ( disclosure controls and procedures , cette nouvelle expression reprenant le concept mentionn larticle 302 (a) (4) de la loi) ; ils ont conu ces procdures et ces contrles afin dassurer que les informations significatives sont portes leur connaissance, en particulier au cours de la priode durant laquelle le rapport priodique est tabli ; ils ont valu, au cours de la priode de 90 jours prcdant la date de dpt du rapport, lefficacit des procdures et des contrles de la socit mettrice en matire de publication des informations ; et ils ont prsent dans le rapport leurs conclusions concernant lefficacit de ces procdures et de ces contrles, en se fondant sur lvaluation requise cette date. quils ont inform les auditeurs et le comit daudit du Conseil dadministration de la socit mettrice (ou les personnes exerant une fonction quivalente) : de toute lacune et faiblesse significatives dans la conception ou le fonctionnement des contrles internes (expression dj utilise par le pass pour dsigner les contrles internes relatifs aux rapports financiers) susceptible daltrer la capacit de la socit mettrice enregistrer, traiter, synthtiser et diffuser des informations financires, et ont identifi, pour les auditeurs de la socit mettrice, toute faiblesse significative des contrles internes ; de toute fraude, significative ou non, dans laquelle seraient impliqus des cadres dirigeants ou dautres employs exerant dans la socit mettrice un rle important en matire de contrle interne ; de lexistence (ou de labsence) de modifications importantes apportes au dispositif de contrle interne ou tout autre facteur susceptible daffecter de manire significative ce dispositif aprs son valuation, y compris les mesures correctrices concernant les lacunes et faiblesses importantes dtectes.
Recommandations lintention des auditeurs internes

4. Les actions et les rflexions suivantes sont proposes aux auditeurs internes, comme des services valeur ajoute quils peuvent fournir concernant les rapports financiers trimestriels, la publication des informations et les certifications par les dirigeants requis par la SEC et le Sarbanes-Oxley Act. Ces mesures sont galement proposes, au titre de meilleures pratiques, aux socits non cotes et aux autres organisations dsireuses dadopter des processus similaires pour leurs rapports financiers trimestriels. a. La mission impartie lauditeur interne dans ces processus peut porter sur la conception initiale du processus, la participation un disclosure committee
JUIN 2004
49
( Comit de publication des informations ), la coordination ou la liaison entre les cadres dirigeants et leurs auditeurs, ou lvaluation du processus en toute indpendance. b. Tout auditeur interne impliqu dans les processus de reporting financier trimestriel et de publication des informations doit avoir une mission clairement dfinie et doit se rfrer, pour dterminer ses responsabilits, aux Normes de conseil et dassurance de lIIA appropries, ainsi quaux recommandations contenues dans les modalits pratiques dapplication correspondantes. c. Les auditeurs internes doivent sassurer que les organisations disposent dune politique formelle et de procdures documentes rgissant les processus relatifs aux rapports financiers trimestriels, la publication des informations y affrentes et aux autres exigences rglementaires. Le cas chant, un examen appropri des politiques et procdures par les avocats, les auditeurs externes ou par dautres experts, peut conforter le fait quelles couvrent tous les points importants et quelles sont conformes aux exigences applicables. d. Les auditeurs internes doivent encourager les organisations mettre en place un disclosure committee charg de coordonner le processus et de guider les participants. Ce comit comptera parmi ses membres des reprsentants des secteurs cls de lorganisation, notamment les principaux responsables financiers, les avocats ou conseillers juridiques, ainsi que le directeur des risques, le responsable de laudit interne, et les responsables des services fournissant des informations pour les documents et la publication des informations obligatoires. En principe, le responsable de laudit interne devrait faire partie du disclosure committee . Il convient toutefois dexaminer son statut au sein du comit. Les responsables de laudit interne qui sigent au comit en qualit de prsident ou de membre permanent ou ayant droit de vote, doivent tre attentifs aux rgles dindpendance et consulter les recommandations et la liste des informations fournir mentionnes dans les Normes de lIIA et les modalits pratiques dapplication correspondantes. En principe, le statut de membre de droit ne pose aucun problme dindpendance. e. Les auditeurs internes doivent procder priodiquement un examen et une valuation des processus de reporting financier trimestriel et de publication des informations, des activits du disclosure committee et des documents y affrents, et fournir la direction gnrale et au comit daudit une valuation du processus ainsi quune assurance concernant lensemble des oprations et le respect des rgles et procdures. Les auditeurs internes dont lindpendance pourrait tre altre en raison du rle qui leur est imparti dans le processus doivent sassurer que la direction gnrale et le comit daudit peuvent obtenir par dautres sources une assurance suffisante concernant le processus. Ces autres sources incluent les processus dauto-valuation interne ainsi que les tiers, notamment les auditeurs externes et les consultants.
50
JUIN 2004
f. Les auditeurs internes doivent formuler des recommandations et proposer des amliorations sur les rgles, procdures et le processus trimestriel de reporting et de publication des informations en sappuyant sur lvaluation des activits concernes. Les meilleures pratiques recommandes pour ces activits peuvent comporter la totalit ou une partie des procdures et des lments suivants, selon le processus propre chaque organisation : rgles, procdures, contrles et rapports de contrle dment documents ; check-list trimestrielle des procdures et lments cls des contrles ; rapports de contrle standardiss sur les principaux contrles relatifs la publication dinformations ; auto-valuations du management (notamment des auto-valuations des contrles ou CSA) ; approbations ou lettres de dclaration des managers cls ; examen des projets de documents rglementaires avant leur prsentation ; description du processus de documentation des sources des donnes sous-jacentes aux documents rglementaires, des contrles cls et des responsables de ces donnes ; suivi des points prcdemment mentionns et non rsolus ; examen des rapports daudit interne mis au cours de la priode ; examens ponctuels ou cibls des points complexes, problmes ou prsentant un niveau de risque lev, notamment des estimations comptables significatives, des valuations de provisions, des postes hors bilan, des principales filiales, des joint-ventures et des entits cres dans un but spcial ; examen du processus de clture des tats financiers et des critures de rgularisation correspondantes, y compris les ajustements volontairement non comptabiliss ; confrences tlphoniques avec les principaux managers des tablissements loigns, de faon assurer la prise en compte et la participation des composantes majeures de lorganisation ; examen des litiges ventuels ou en suspens et des dettes ventuelles ; le rapport sur le contrle interne, mis par le responsable de laudit interne au minimum une fois par an et si possible tous les trimestres ; des runions rgulires du disclosure committee et du comit daudit. g. Les auditeurs internes doivent procder une comparaison entre les processus mis en uvre en application de la section 302 du Sarbanes-Oxley Act (reporting financier trimestriel et publication des informations), et les procdures mises en place
JUIN 2004
51
conformment la section 404, relatif aux valuations annuelles par les dirigeants et leur rapport sur le contrle interne. Lorganisation de processus similaires ou compatibles contribuera une meilleure efficacit oprationnelle et rduira la probabilit ou le risque de voir apparatre des problmes et des erreurs ou de ne pas les dtecter. Si les processus et les procdures peuvent tre similaires, le rle de lauditeur interne, en revanche, est susceptible de varier. Dans certaines organisations, les travaux des auditeurs internes servent de support aux dclarations des cadres dirigeants sur le contrle interne, tandis que dans dautres organisations, les auditeurs internes peuvent tre appels examiner lvaluation effectue par les dirigeants. La nature des travaux daudit interne, et lusage qui en est fait, peuvent affecter lexploitation de ces travaux par lauditeur externe ou le degr de confiance quil leur attribue. Les auditeurs internes doivent sassurer que la mission de tous les participants est clairement dfinie et que leurs activits sont coordonnes et dtermines dun commun accord avec les cadres dirigeants et les auditeurs externes. Dans les organisations o les dirigeants se fondent sur leur propre valuation des contrles pour formuler une opinion, les auditeurs internes doivent procder un examen de cette valuation et des documents justificatifs. Les auditeurs internes doivent valuer le mode de classification des observations contenues dans les rapports daudit interne, et sassurer que les observations qui sont susceptibles de figurer dans les certifications trimestrielles ou dans le rapport annuel sur le contrle interne sont communiques comme il se doit la direction gnrale et au comit daudit. Il convient de vrifier attentivement que ces observations sont suivies rapidement dactions appropries. Loi de Scurit Financire du 1er aot 2003
Les articles qui nous intressent plus particulirement sont ceux qui concernent le rapport du Prsident sur les procdures de contrle interne mises en place par la socit :
Art. 117 :
Le prsident du Conseil dadministration rend compte dans un rapport des conditions de prparation et dorganisation des travaux du Conseil ainsi que des procdures de contrle interne mises en place par la socit .
Art. 120 :
Les CAC prsentent dans un rapport joint leurs observations sur le rapport (du Prsident) pour celles des procdures de contrle interne qui sont relatives llaboration et au traitement de linformation comptable et financire .
52
JUIN 2004
Art. 122 :
Les personnes morales faisant appel public lpargne rendent publiques les informations (relatives aux procdures de contrle interne) dans les conditions fixes par le rglement gnral de lAutorit des Marchs Financiers. Celle-ci tablit, chaque anne, un rapport sur la base de ces informations .
Recommandations lintention des auditeurs internes franais

LIFACI a mis une note informative destine rpondre aux questions que se posent les auditeurs internes pour aider les Prsidents rdiger le rapport qui rend compte des procdures de contrle interne mises en place par la socit.
1 Les enjeux de la LSF pour les entreprises

1) Se mettre en conformit avec une obligation lgale, cest--dire rendre compte dans un rapport des conditions de prparation et dorganisation des travaux de conseil, ainsi que des procdures de contrle interne mises en place par la socit. 2) Profiter de cette obligation pour faire un recensement de lexistant en matire de dispositif de contrle interne, sassurer de sa qualit et faire toute proposition pour en amliorer son efficacit. Une attention toute particulire pourra tre porte sur la formalisation des procdures de contrle interne ainsi que sur les dlgations de pouvoir.
2 Quelles sont les socits concernes ?

Toutes les socits ayant la forme anonyme sont concernes, quil sagisse de socits cotes ou non cotes. La LSF ne sapplique pas, par contre, aux socits par actions simplifies (SAS). Pour les socits en commandite par action, rien ne leur interdit, dans la mesure o elles font appel public lpargne, dappliquer les dispositions des articles 117, 120 et 122.
3 Contenu du rapport pour le groupe, pour les SA filiales ? Les filiales peuvent-elles renvoyer au rapport de la maison mre ?
Au sujet des procdures de contrle interne, le texte vise celles qui sont mises en place par la socit. Le rapport doit donc tre tabli par chaque socit. Lorsquil sagit dune socit tte de groupe, lobjectif de ces procdures consiste, pour la socit mre, sassurer de la fiabilit des comptes consolids et, le cas chant, de son contrle sur les entits concernes. Ces procdures portent donc notamment sur llaboration de la consolidation des comptes, qui incombe la socit mre. En outre, chaque filiale ayant la forme anonyme et son sige en France, devra tablir un rapport.
JUIN 2004
53
Sagissant des filiales non cotes et contrles 100 %, leur rapport pourrait tre succinct et signaler simplement quelles appliquent les procdures dcrites par leur socit mre. (doc. AFEP/MEDEF)
4 Quentend-on par procdures de contrle interne ?

La loi ne parle pas de contrle interne, ni de systme de contrle interne ou de dispositif de contrle interne, mais de procdures de contrle interne. Si lon se rfre au modle de contrle interne COSO, les procdures de contrle interne font partie dun des lments de ce modle, savoir lactivit de contrle. Il faut donc sen tenir pour linstant ce que la loi a indiqu et ne pas se rfrer ncessairement au modle COSO pris dans sa globalit. LIFACI a dfini les procdures de contrle interne de la faon suivante : Les procdures de contrle interne sont constitues des rgles, directives et manires de procder, en place au sein dune organisation, qui visent : Sassurer que ses activits ainsi que les comportements de ses membres : se conforment aux lois et rglements, normes et rgles internes applicables sinscrivent dans le cadre des valeurs, orientations et objectifs dfinis par les organes sociaux et leurs dlgataires, notamment en matire de politique de gestion des risques. Vrifier que les communications internes et externes refltent avec sincrit la situation et lactivit de lorganisation. Au sein des organisations qui en sont dotes, laudit interne value de manire indpendante lefficacit des procdures de contrle interne. Les procdures de contrle interne, aussi bien conues et appliques soient-elles, offrent une assurance raisonnable, mais ne reprsentent pas une garantie absolue.
5 Qui est responsable du rapport ?

Cest le prsident du Conseil dadministration ou de surveillance qui est charg du rapport. Il assure la responsabilit de lexistence de ce rapport et de la runion des informations ncessaires ltablissement de ce rapport. Aucune sanction spcifique nest prvue en cas domission dinformations.
6 - Sur quelles bases ou sur quelles pices le prsident prpare-t-il son rapport ?
Le prsident labore son rapport en tant que prsident du conseil sur la base des informations fournies par la direction gnrale ou le conseil, en
54
JUIN 2004
sappuyant sur les documents prpars par le directeur comptable, le directeur juridique, le directeur financier et surtout, le directeur de laudit interne, qui doit, en la matire, jouer un rle majeur pouvant aller jusqu la rdaction dun projet de rapport. Ces documents prparatoires nont pas tre mentionns dans le rapport, mais doivent tre conservs pour tre prsents, si ncessaire, lAMF. Dans un document, en date du 23 janvier 2004, lAMF donne les prcisions suivantes : Dune manire gnrale, il convient que le rapport prcise les diligences qui ont sous-tendu lanalyse prsente par le Prsident (tels que les entretiens avec la Direction Gnrale, les discussions au sein du Conseil dAdministration, les runions avec les Commissaires aux Comptes et le Comit daudit, le cas chant) .
7 Quelle doit tre la forme du rapport ?

Le rapport doit tre court, synthse des diffrents documents ports la connaissance du prsident. Il ne peut avoir un contenu variable selon que les socits sont prsides par un prsident de conseil dissoci ou un PDG ou, a fortiori, ont une structure duale. Le lgislateur na pu faire peser en effet sur lauteur du rapport, et, par voie de consquence, sur le contenu de celui-ci, dautres exigences que celles qui sont compatibles avec les seuls pouvoirs et moyens daction que la loi reconnat es qualits au prsident du conseil dadministration ou au prsident du conseil de surveillance, selon le cas. Le prsident rend compte des procdures de contrle interne mises en place par la socit, ce qui signifie quil les relate, les explique. Pour la premire anne, il ne sera pas tenu de les valuer ni de porter un jugement sur elles. LAMF souhaite (toutefois) que la dmarche sinscrive dans une perspective dynamique, permettant aux metteurs daboutir terme une apprciation sur ladquation et lefficacit de leur contrle interne . LAMF encourage par ailleurs les metteurs qui disposent dores et dj dune valuation de leurs procdures de contrle interne au titre de lexercice 2003, la rsumer dans leur rapport en prcisant, le cas chant, les pistes damlioration envisages . Enfin, titre liminaire, lAMF rappelle que tout metteur qui publie sur un march tranger des informations autres que celles prvues (dans le rapport du Prsident) est tenu de publier simultanment une information quivalente destination du march franais. Tel sera notamment le cas des metteurs faisant appel public lpargne en France qui appliqueront les dispositions du Sarbanes-Oxley Act amricain ( compter des exercices clos au 15 avril 2005 (1)) ou du Combined Code britannique (pour les exercices ouverts aprs le 1er novembre 2003 (1)) . ________
(1) Information Les Echos du 26/01/04.
JUIN 2004
55
Le rapport pourrait comprendre la premire anne : le rappel des objectifs des procdures de contrle interne ; puis lorganisation gnrale des procdures de contrle interne au niveau de la socit : acteurs, structures exerant des activits de contrle interne, les rfrences externes ou internes de lentreprise (codes de dontologie, chartes daudit, manuels de procdures internes), lorganisation dans laquelle sinscrit llaboration de linformation financire et comptable destine aux actionnaires ; enfin, une prsentation des informations synthtiques sur les procdures de contrle interne mises en place, en se focalisant sur des lments significatifs susceptibles davoir un impact sur le patrimoine ou sur les rsultats de la socit. Mme si le rapport du prsident concerne lensemble des procdures de contrle interne, celles relatives linformation financire et comptable destine aux actionnaires devront tre privilgies. En termes de prsentation, il conviendra, dans la mesure du possible, de rassembler au sein du rapport, lensemble des informations relatives aux procdures de contrle interne relatives llaboration et au traitement de linformation financire et comptable, ces informations devant faire lobjet du rapport des CAC joint leur rapport gnral sur les comptes.
8 - Degr de dtail dans la description de la procdure de contrle interne

On peut se rfrer ici aux propositions de lAFEP/MEDEF et de lANSA (Association Nationale des Socits par Action).
Extrait du document de lAFEP et du MEDEF :

1) Organisation gnrale des procdures de contrle interne au niveau de la socit : acteurs, structure(s) spcifique(s) en charge, rles respectifs et interaction Cette description synthtique a pour objet de prciser comment les procdures de contrle interne sont organises dans lentreprise et quelles sont les liaisons et interactions entre les diffrents acteurs ou structure(s) exerant des activits de contrle titre dexemple, sont prsents : les acteurs ou structure(s) exerant des activits de contrle : champ et rpartition des comptences, niveau de rattachement des diffrents acteurs ou structures, organisation des dlgations / autorisations, rle du conseil dadministration ou de surveillance et des comits ventuels en matire de contrle interne (dans la mesure o ces sujets ne seraient pas dj traits dans la partie du rapport consacr la prparation et lorganisation des travaux du conseil) ;
JUIN 2004
56
le rle des diffrents acteurs ou structures exerant des activits de contrle en matire de procdures de contrle interne (contrle de gestion, audit interne, ou autre fonction ayant une responsabilit en matire de contrle interne) et leurs modalits gnrales de fonctionnement. titre dexemple, contrle de lapplication des procdures selon un plan annuel approuv ou revu par ( prciser selon le cas), rapports crits avec recommandations directement communiqus ( prciser selon le cas) ainsi quau comit des comptes (le cas chant), et suivi des recommandations ; les rfrences externes ou internes de lentreprise (codes de dontologie, chartes daudit, manuels de procdures internes, ) un accent est mis, de manire spcifique, sur lorganisation dans laquelle sinscrit llaboration de linformation financire et comptable destine aux actionnaires : identification des principaux acteurs du contrle interne impliqus dans le contrle de cette information, liaisons/interactions entre ces acteurs ce titre, le cas chant, rle et fonctionnement du comit des comptes (dans la mesure o ces sujets ne seraient pas dj traits dans la partie du rapport consacre la prparation et lorganisation des travaux du conseil), rfrences gnrales (manuels de procdures comptables, ), liaisons avec les commissaires aux comptes, etc. 2) Prsentation des informations synthtiques sur les procdures de contrle interne mises en place par la socit Les informations synthtiques sur les procdures de contrle interne mises en place se focalisent sur les lments significatifs susceptibles davoir un impact sur le patrimoine ou sur les rsultats de la socit. Lobjet du rapport du prsident est de rendre compte des principales procdures de contrle interne mises en place par la socit, dont la nature varie selon les caractristiques de celle-ci (secteur dactivit, localisation, taille, organisation, etc.). La socit peut donc : prciser le caractre centralis ou dcentralis des procdures de contrle interne ; prciser la nature de ces principales procdures (par exemple, procdure didentification et de suivi des principaux risques, de contrle juridique et oprationnel des filiales) ; donner des indications sommaires, lorsque linformation a un degr lev de pertinence, sur ces procdures ou leurs principes essentiels ; donner des indications sur la manire dont les principes de contrle interne de la socit et, le cas chant, les procdures sont mises en uvre ; indiquer, le cas chant, lexistence dune procdure de test des procdures de contrle.
JUIN 2004
57
Comme en matire dorganisation gnrale du contrle interne, un accent est mis, de manire spcifique, sur les procdures de contrle interne les plus utiles llaboration et au traitement de linformation financire et comptable destine aux actionnaires et sur les procdures visant en assurer la conformit aux principes comptables gnraux et aux rfrentiels et mthodes retenus par la socit. titre dexemple, la socit, en fonction de ses caractristiques, peut dcider de communiquer plus particulirement sur certaines des procdures suivantes : procdures dlaboration de la consolidation des comptes (pour le rapport du prsident de la socit mre), procdures de reporting, procdures de suivi des engagements hors bilan, procdures de suivi des actifs, procdures de contrle de la qualit des informations financires et comptables
Extrait du document de lANSA :

1) Description synthtique du systme comptable Organisation du systme comptable proprement dit : est-il interne ou (pour les PME) assur par un expert-comptable extrieur ? Si interne : prciser sil sagit dun systme standard (logiciel de gestion) ou dun systme spcifique. Si spcifique, tabli avec un ou plusieurs organismes externes : le prciser ainsi que les dates dintervention. Rattachement des comptables (notation rmunration : double reporting ou non pour comptables des filiales). Autres spcificits 2) Manuels de procdures Existe-t-il ou non des guides de procdures, directives de comportement ? Ont-elles t labores avec des concours extrieurs ? Si oui, lesquels ? Tout ou partie des guides ou directives sont-ils une application de normes ou codes de dontologie ? Quel organe arrte les polices internes ? 3) Description synthtique des procdures de contrle interne Service spcifique de contrle mis en place en Comprend auditeurs (le cas chant : ayant suivi une formation spciale). Le chef du service est rattach (Directeur Gnral, Directeur Financier). Les rapports sont adresss (membres du Comit daudit du disclosure committee).
58
JUIN 2004
Le programme daudit est arrt par Missions : si dfinition particulire. Application dune charte interne de dontologie / ou dun code externe de dontologie (prciser). valuation priodique externe de laudit interne (indiquer date de dernire valuation et organisme ayant opr).
9 Doit-on donner, dans le rapport, un inventaire des risques recenss ?

Il nest pas demand de prsenter un inventaire des diffrents risques de la socit sous forme de cartographie ou autrement. Il nest pas non plus demand de prsenter un systme partant des objectifs de la socit et des risques pouvant faire obstacle la ralisation de ces objectifs pour aboutir au dispositif de contrle interne susceptible den assurer la matrise. LANSA note, au sujet des procdures relatives lidentification et lvaluation des risques, quil convient seulement de prciser si une cartographie des risques a t tablie, et si elle a t diffuse (aux contrleurs, aux contrls), sil existe un "risk manager" (concerne-t-il tous les risques ou non ?), sil existe un "disclosure committee" charg de contrler linformation financire relative aux risques .
10 Doit-on communiquer les rsultats des missions daudit ?

Non, contrairement ce qui est exig pour les banques dans le cadre du rapport du rglement 97/02. Mais ce dernier rapport est destin seulement au conseil dadministration, au secrtariat gnral de la commission bancaire et aux CAC, et non aux actionnaires et au grand public, comme cest le cas pour le rapport du prsident (Art. 117 de la LSF). Le rapport na donc pas contenir dinformation sur les dfaillances releves dans les rapports daudit, mais toute disposition visant amliorer les procdures existantes pourra tre mentionne. Par contre, lAMF rappelle que dans le cadre de leur obligation de communication des problmes apparus lors de lexcution de leur mission, les Commissaires aux comptes sont tenus de faire tat aux organes sociaux de lentreprise des dficiences majeures quils auraient releves dans le contrle interne. Il convient donc que le Prsident auquel une telle dficience aurait t signale par les Commissaires aux comptes en fasse tat dans son propre rapport . Elle rappelle enfin que la rglementation de la COB impose aux metteurs de porter immdiatement la connaissance du public toute information dont la rvlation aurait une incidence significative sur leur cours de bourse, ou tout changement significatif dune information dj communique. Ce serait notamment le cas dune dfaillance ou insuffisance grave du contrle interne identifie loccasion du processus dvaluation ou des diligences qui ont entour llaboration du rapport .
JUIN 2004
59
11 Rle respectif du responsable de laudit interne et des CAC

Le Responsable de laudit interne doit jouer un rle essentiel dans llaboration dun projet de rapport. Il est, selon le cas, lanimateur ou membre dun groupe de projet comprenant essentiellement le directeur financier, le directeur comptable et le directeur juridique. Pour les procdures de contrle interne servant llaboration et au traitement de linformation financire et comptable destine aux actionnaires et sur les procdures visant en assurer la conformit aux principes comptables gnraux et aux rfrentiels et mthodes retenus par la socit, il travaille en troite collaboration avec la direction comptable et financire, les lments essentiels tant fournis par celle-ci. Pour toutes les autres procdures, il appartient au Responsable de laudit interne den faire le recensement et den dgager les plus significatives. Le plus souvent, il lui sera demand de rdiger un avant-projet du rapport. Quant aux CAC, ils devront vrifier la sincrit et la concordance avec les comptes, des informations relatives aux procdures de contrle interne touchant au domaine comptable et financier donnes par le prsident dans son rapport de larticle 117 (doc. AFEP/MEDEF).
MPA 2120.A1-4 Audit du processus de reporting financier Nature de cette Modalit Pratique dApplication La prsente MPA explore le rle et les responsabilits de laudit interne dans le processus de reporting financier dune organisation. Les rles respectifs de la direction gnrale, des auditeurs externes et des auditeurs internes sont les suivants : La direction gnrale est responsable de lenvironnement de contrle et de linformation financire, y compris les notes annexes aux tats financiers et les informations publies dans le rapport financier. Lauditeur externe certifie au lecteur du rapport financier que les informations quil contient donnent une image fidle de la situation financire et des rsultats de lorganisation en conformit avec les principes comptables gnralement admis. Lauditeur interne met en uvre des procdures afin de donner la direction gnrale et au comit daudit (ou un autre comit) du Conseil, un degr dassurance quant lefficacit des contrles affrents aux processus dlaboration du rapport financier. La MPA 2060-2, intitule Relations avec le comit daudit , traite des liens et interactions entre lauditeur interne et le comit daudit. La MPA 2120.A1-1 valuer les
60
JUIN 2004
processus de contrle interne et en rendre compte traite des lments probants ncessaires en vue de lvaluation dun systme de contrle interne et de la formulation dune opinion. La MPA 2120.A1-3, intitule Le rle de laudit interne en matire de reporting financier trimestriel, de publication des informations et de certifications par les dirigeants , contient des recommandations concernant les exigences du SarbanesOxley Act aux tats-Unis et de la rglementation annexe de la SEC (Securities and Exchange Commission) ainsi que des considrations sur la Loi de Scurit Financire franaise du 1er aot 2003, rajoutes par lIFACI. La prsente MPA met laccent sur les relations que lauditeur interne entretient avec la direction gnrale et lauditeur externe dans le cadre du processus de reporting financier. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les rapports sur les checs du processus de gouvernement dentreprise publis aux tats-Unis et dans dautres pays, soulignent la ncessit dintroduire des changements afin de renforcer la responsabilit et la transparence dans toutes les organisations but lucratif, but non lucratif, et publiques. La direction gnrale, le Conseil dadministration, les auditeurs internes et les auditeurs externes sont les piliers sur lesquels repose un gouvernement dentreprise efficace. Laudit interne joue cet gard un rle cl ; par sa position unique, il peut contribuer amliorer le fonctionnement dune organisation en valuant et en renforant lefficacit des processus de management des risques, de contrle et de gouvernement dentreprise. Les initiatives rcentes ont mis en vidence la ncessit de rendre la direction gnrale plus responsable des informations contenues dans les rapports financiers dune organisation. La direction gnrale et le comit daudit de bon nombre dorganisations demandent laudit interne de fournir des prestations supplmentaires afin damliorer les processus de gouvernement dentreprise et de reporting financier. Ces demandes portent notamment sur lvaluation des contrles internes affrents aux rapports financiers de lorganisation et sur lvaluation de la fiabilit et de lintgrit de ses rapports financiers.
Rapports sur le contrle interne

2. Le comit daudit (ou un autre comit manant du Conseil) dune organisation et laudit interne ont des objectifs cohrents entre eux. Le responsable de laudit interne a pour mission principale de sassurer que le comit daudit bnficie des services quil sollicite et dont il a besoin. Lun des principaux objectifs du comit daudit est la surveillance des processus de reporting financier de lorganisation afin de garantir la fiabilit et la sincrit des informations. Ce comit et la direction gnrale demandent gnralement que laudit interne accomplisse des travaux daudit suffisants et recueille des informations au cours de lexercice pour se forger une opinion sur ladquation et lefficacit des processus de contrle interne. En rgle gnrale, le
JUIN 2004
61
responsable de laudit interne communique les rsultats de cette valuation au comit dans des dlais appropris. Le comit value la porte et le caractre adquat du rapport mis par le responsable de laudit interne, dont il peut reprendre les conclusions dans le rapport quil prsente au Conseil. 3. Le plan daudit et les missions spcifiques dassurance de laudit interne commencent par un inventaire mticuleux des risques auxquels lorganisation est expose. Le plan daudit est fond sur les risques et sur lvaluation des processus de management des risques et de contrle mis en place par les dirigeants afin dattnuer ces risques. Le recensement des risques inclut notamment les oprations et les vnements suivants : nouvelles activits y compris les fusions et acquisitions ; nouveaux produits et nouveaux systmes ; joint-ventures et partenariats ; restructurations ; estimations, prvisions et budgets tablis par le management ; questions lies lenvironnement ; respect de la rglementation.
Un cadre de contrle interne

4. Lvaluation du systme de contrle interne dune organisation doit reposer sur une dfinition large du contrle. LIIA estime pour sa part que les recommandations les plus efficaces actuellement disponibles en matire de contrle interne sont celles figurant dans le rapport intitul Internal Control Integrated Framework (publi en France sous le titre La pratique du contrle interne COSO Report ), publi en 1992 et en 1994 par le COSO (Committee of Sponsoring Organisations de la Commission Treadway). Bien que le recours au modle propos par le COSO soit communment admis, il peut savrer appropri dutiliser dautres modles reconnus et crdibles. Il arrive parfois que les exigences rglementaires ou lgales prconisent lutilisation dun modle ou dun dispositif de contrle particulier pour une organisation ou un secteur au sein dun pays donn. 5. Il est pertinent de rappeler plusieurs conclusions du rapport intitul La pratique du contrle interne COSO Report . Le contrle interne est dfini de faon large ; il ne se limite pas des contrles comptables et nest pas restreint au seul reporting financier ; Malgr limportance des rapports comptables et financiers, il existe dautres domaines importants, notamment la protection du patrimoine, lefficacit et lefficience des
62
JUIN 2004
oprations, et le respect des rgles, de la rglementation et des procdures de lorganisation. Ces facteurs ont galement un impact sur le reporting financier ; Le contrle interne relve de la responsabilit du management et son efficacit suppose la participation de tous les membres dune organisation ; Le cadre de contrle est li aux objectifs de lentreprise et il est suffisamment souple pour tre modulable.
Rapports sur lefficacit du contrle interne

6. Le responsable de laudit interne doit communiquer au comit daudit son valuation sur lefficacit du dispositif de contrles de lorganisation, y compris son opinion sur la pertinence du modle conceptuel de contrle. Le Conseil sappuie sur le management pour mettre en place un systme de contrle interne adquat et efficace. Cet appui sera renforc par lexercice dune supervision indpendante. Le Conseil ou son comit daudit (ou tout autre comit en tenant lieu) doivent poser les questions suivantes et peuvent attendre du responsable de laudit interne quil contribue y rpondre. (a) Existe-t-il un environnement et une culture thiques solides ? Les membres du Conseil et la direction gnrale montrent-ils lexemple dun haut niveau dintgrit ? Les objectifs de performance et les objectifs fixs pour le calcul des primes sontils ralistes ou engendrent-ils une pression excessive incitant ne considrer que les rsultats court terme ? Le code de conduite de lorganisation est-il renforc par des sances de formation et par une communication partant du sommet ? Le message parvient-il jusquaux salaris sur le terrain ? Les canaux de communication de lorganisation sont-ils ouverts ? Les cadres, tous les chelons de la hirarchie, obtiennent-ils les informations dont ils ont besoin ? Applique-t-on un degr de tolrance zro tous les niveaux en cas dinformation financire mensongre ? (b) Comment lorganisation identifie-t-elle et gre-t-elle les risques ? Existe-t-il un processus de management des risques, et est-il efficace ? Les risques sont-ils grs dans lensemble de lorganisation ? Les risques importants sont-ils examins ouvertement avec le Conseil ?
JUIN 2004
63
(c) Le dispositif de contrle est-il efficace ? Les contrles effectus par lorganisation sur le processus de reporting financier sont-ils exhaustifs et incluent-ils llaboration des tats financiers, des notes annexes et des autres informations obligatoires et facultatives qui font partie intgrante des rapports financiers ? La direction gnrale et les cadres oprationnels montrent-ils quils acceptent la responsabilit des contrles ? Les rsultats financiers ou les informations financires annexes publis par lorganisation gnrent-ils un nombre croissant de surprises parmi les membres de la direction gnrale, du Conseil ou au sein du public ? La communication et le reporting sont-ils de qualit dans lensemble de lorganisation ? Les contrles sont-ils perus comme un moyen de mieux assurer la ralisation des objectifs ou comme un mal ncessaire ? Lorganisation recrute-t-elle rapidement des collaborateurs comptents, et reoivent-ils une formation adquate ? Les problmes sont-ils rsolus rapidement et intgralement ? (d) Existe-t-il un bon pilotage ? Le Conseil est-il indpendant du management, bien inform et soucieux de se tenir inform ? Ses membres sont-ils libres de tout conflit dintrt ? Laudit interne bnficie-t-il du soutien de la direction gnrale et du comit daudit ? Les auditeurs internes et externes peuvent-ils communiquer et communiquentils ouvertement avec tous les membres de la direction gnrale et du comit daudit ? Y ont-ils un accs priv ? Les cadres oprationnels pilotent-ils le processus de contrle ? Existe-t-il un programme de suivi des processus externaliss ? 7. Les contrles internes ne peuvent garantir le succs. Les mauvaises dcisions, le manque de comptence des managers ou certains facteurs lis lenvironnement peuvent annihiler les contrles. Par ailleurs, des dirigeants malhonntes peuvent outrepasser les contrles et ignorer ou neutraliser les communications de leurs subordonns. Un Conseil actif et indpendant avec lequel tous les membres du management communiquent de faon ouverte et sincre, et qui bnficie de lassistance de services financiers, juridiques et daudit interne comptents, est en mesure didentifier les problmes et dassurer une supervision efficace.
64
JUIN 2004
Missions de lauditeur interne

8. Le responsable de laudit interne doit examiner lvaluation des risques ralise par laudit interne et le plan annuel daudit, en particulier lorsque les ressources engages pour assister la direction gnrale, le comit daudit et lauditeur externe remplir leurs missions, en matire de reporting financier de lanne venir, ne sont pas suffisantes. Le processus de reporting financier englobe la prparation des informations et llaboration des tats financiers, des notes annexes et des autres informations publies dans les rapports financiers de lorganisation. 9. Le responsable de laudit interne doit sappuyer sur lvaluation des risques de lorganisation pour allouer les ressources de laudit interne aux processus de reporting financier, de gouvernement dentreprise et de contrle. Les procdures quil met en uvre doivent donner la direction gnrale et au comit daudit une assurance que les contrles relatifs aux processus dlaboration des rapports financiers sont bien conus et efficaces. Ces contrles doivent tre suffisants pour assurer la prvention et la dtection des erreurs significatives, des irrgularits, des hypothses et estimations fausses, et de tout autre vnement pouvant entraner la prsentation dtats financiers, de notes annexes ou dautres informations inexactes ou trompeuses. 10. La liste suivante propose des sujets que le responsable de laudit interne pourra examiner, dans le cadre du soutien apport au processus de gouvernement dentreprise de lorganisation et aux fonctions de supervision du Conseil ou organe dlibrant et de son comit daudit (ou de tout autre comit) afin dassurer la fiabilit et lintgrit des rapports financiers. (a) Reporting financier apport dinformations concernant la dsignation des experts-comptables indpendants ; coordination des plans daudit, de la couverture des travaux et du calendrier daudit avec les auditeurs externes ; discussion des rsultats des audits avec les auditeurs externes ; change dobservations pertinentes avec les auditeurs externes et le comit daudit sur les procdures et mthodes comptables, sur les dcisions prises dans ce domaine (notamment celles concernant les lments discrtionnaires et les oprations hors bilan), sur certains aspects du processus de reporting financier, ainsi que sur les oprations et les vnements financiers inhabituels ou complexes (par exemple oprations entre parties lies, fusions et acquisitions, joint-ventures, et transactions conclues dans le cadre de partenariats) ; participation au processus dexamen des rapports financiers et de linformation financire avec le comit daudit, les auditeurs externes et la direction gnrale ; valuation de la qualit des rapports financiers, notamment de ceux qui sont dposs auprs dinstances rglementaires ;
JUIN 2004
65
valuation de ladquation et de lefficacit des contrles internes de lorganisation, en particulier des contrles affrents au processus de reporting financier ; cette valuation doit tenir compte de la vulnrabilit de lorganisation au risque de fraudes et de lefficacit des programmes et des contrles destins attnuer ou liminer ces risques ; contrle du respect par les managers du code de conduite de lorganisation, des rgles dthique et des autres procdures visant promouvoir un comportement thique ; le fait que la direction gnrale montre lexemple en matire dthique et instaure un mode de communication ouvert et sincre avec les salaris, le Conseil et les parties prenantes extrieures, constitue un facteur important pour linstauration dune relle culture thique dans lorganisation. (b) Gouvernement dentreprise examen des procdures relatives au respect des lois et rglements, lthique, aux conflits dintrt et la ralisation denqutes approfondies, et dans des dlais appropris, en cas de soupon de mfait et de fraude ; examen des litiges ou des procdures judiciaires en cours en rapport avec les risques et le gouvernement dentreprise de lorganisation ; communication dinformations sur les conflits dintrt des salaris, les mfaits, les fraudes et les autres aspects ou lments des procdures dthique et du systme de reporting de lorganisation. (c) Contrles de lorganisation examen de la fiabilit et de lintgrit des informations financires et de gestion rassembles et publies par lorganisation ; analyse des contrles affrents aux procdures comptables les plus sensibles et comparaison avec les meilleures pratiques (par exemple, en cas doprations soulevant des questions concernant la comptabilisation du chiffre daffaires ou le traitement comptable des lments hors bilan, il convient de vrifier la conformit aux normes comptables gnralement admises en la matire) ; valuation du caractre raisonnable des estimations et des hypothses retenues pour llaboration des rapports financiers et des rapports de gestion ; contrle de la cohrence des estimations et des hypothses incluses dans les informations publies avec les donnes sous-jacentes et les pratiques de lorganisation et, le cas chant, avec des lments similaires figurant dans les rapports dautres socits ; valuation du processus de prparation, dexamen, dapprobation et de comptabilisation des critures ; valuation du caractre suffisant des contrles en place dans la fonction comptable.
66
JUIN 2004
2120.A4 Des critres adquats sont ncessaires pour valuer le dispositif de contrle. Les auditeurs internes doivent dterminer dans quelle mesure le management a dfini des critres adquats pour apprcier si les objectifs et les buts ont t atteints. Si ces critres sont adquats, les auditeurs internes doivent les utiliser dans leur valuation. S'ils sont inadquats, les auditeurs internes doivent travailler avec le management pour laborer des critres d'valuation appropris.
MPA 2120.A4-1 Critres de contrle Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils valuent les critres de contrle. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Lvaluation des contrles suppose que la direction gnrale dtermine au pralable le niveau de risque quelle est dispose prendre dans le domaine considr. Les auditeurs internes doivent identifier ce niveau de risque. cette fin, il convient de raisonner en termes de rduction de limpact potentiel des principaux risques sur la ralisation des grands objectifs fixs pour le domaine considr. 2. Lorsque la direction gnrale na pas prcis les principaux risques ni le niveau de risque quelle est dispose prendre, laudit interne peut lassister en organisant des ateliers chargs didentifier les risques ou en mettant en uvre dautres techniques utilises par lorganisation. 3. Une fois le niveau de risque prcis, les contrles en place peuvent tre valus : on peut alors estimer leur capacit ramener les risques au niveau souhait.
JUIN 2004
67
2130
Gouvernement dentreprise
L'audit interne doit valuer le processus de gouvernement dentreprise et formuler les recommandations appropries en vue de son amlioration. cet effet, il dtermine si le processus rpond aux objectifs suivants : promouvoir des rgles dthique et des valeurs appropries au sein de lorganisation ; garantir une gestion efficace des performances de lorganisation, assortie dune obligation de rendre compte ; bien communiquer aux services concerns au sein de lorganisation les informations relatives aux risques et aux contrles ; fournir une information adquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination efficace de leurs activits.
2130.A1 Laudit interne doit valuer la conception, la mise en uvre et lefficacit des objectifs, des programmes et des activits de l'organisation lis lthique.
MPA 2130-1 Le rle de laudit interne et de lauditeur interne en terme de culture thique Nature de cette Modalit Pratique dApplication : Les auditeurs internes doivent tenir compte des points suivants pour dfinir leur rle en matire de culture thique au sein dune organisation. Ce rle varie selon quil existe ou non une culture thique dans lorganisation et selon son degr de dveloppement. La prsente MPA na pas pour but de dcrire toutes les procdures mettre en uvre pour raliser une mission complte dassurance ou de conseil sur la culture dune organisation en matire dthique. Le respect des Modalits Pratiques dApplication est facultatif. 1. La prsente MPA souligne limportance de la culture dentreprise dans linstauration dun environnement thique et contient des suggestions quant au rle que les auditeurs internes peuvent jouer dans lamlioration de cet environnement. En particulier, cette MPA :
68
JUIN 2004
dcrit la nature du processus de gouvernement dentreprise ; tablit un lien entre ce processus et la culture de lentreprise en matire dthique ; prcise que toute personne lie lorganisation, et en particulier les auditeurs internes, doivent promouvoir et dfendre lthique ; numre les caractristiques dune culture thique renforce. 2. Lorganisation peut adopter diverses formes juridiques, structures, stratgies et procdures pour sassurer : quelle respecte la lgislation et la rglementation en vigueur ; quelle rpond aux normes gnralement admises dans le monde des affaires, aux principes dthique et aux attentes sociales de la socit civile ; quelle opre conformment lintrt gnral et quelle renforce les intrts de ses parties prenantes, tant long terme qu court terme ; quelle informe ses actionnaires, les instances rglementaires, les autres parties prenantes et le public de faon exhaustive et sincre et rend compte de ses dcisions, de ses actes, de sa gestion et de ses rsultats. Les moyens mis en uvre par une organisation pour remplir ces quatre objectifs correspondent ce que lon dsigne gnralement par lexpression processus de gouvernement dentreprise. Lefficacit du gouvernement dentreprise relve de la responsabilit de lorgane dlibrant de lorganisation (tels que Conseil ou comit de direction) et de la direction gnrale. 3. Les pratiques adoptes par une organisation en matire de gouvernement dentreprise sont le rsultat dune culture unique et sans cesse volutive qui influe sur les rles, conditionne les comportements, dtermine les objectifs et les stratgies, mesure les performances et dfinit les responsabilits. Cette culture influe sur les valeurs, les rles et les comportements dicts et tolrs par lorganisation et conditionne limportance, le soin ou lindiffrence quelle attache lexercice de ses responsabilits envers la socit civile. Ainsi, lefficacit du processus de gouvernement dentreprise dpend dans une large mesure de la culture de lorganisation. 4. Toutes les personnes lies lorganisation sont dans une certaine mesure responsables de sa culture thique. tant donn la complexit et la dispersion des processus de dcision dans la plupart des organisations, chacun doit tre encourag promouvoir et dfendre lthique, que ce rle lui soit dlgu officiellement ou de faon informelle. Les codes de conduite, ainsi que les rapports sur la stratgie et les politiques de lorganisation, constituent dimportantes dclarations dans lesquelles lorganisation prcise ses valeurs et ses buts, le comportement attendu de son personnel et les stratgies adoptes pour instaurer une culture cohrente avec les responsabilits qui
OCTOBRE 2002
69
lui incombent sur le plan juridique, sur celui de lthique et vis--vis de la socit civile. Un nombre croissant dorganisations ont dsign un responsable de lthique charg de conseiller la direction gnrale, les cadres et les autres membres du personnel et de montrer lexemple au sein de lorganisation. 5. Les auditeurs internes et laudit interne doivent contribuer activement soutenir la culture thique au sein de lorganisation. On leur accorde une confiance et une intgrit leve au sein de lorganisation ; ils possdent galement les comptences ncessaires pour promouvoir avec efficacit une conduite thique. Ils ont la capacit dinciter les dirigeants, les cadres et les autres employs de lorganisation respecter les obligations qui leur incombent tant sur le plan juridique quen termes dthique ou vis--vis de la socit civile. 6. Laudit interne peut promouvoir et dfendre lthique de diffrentes manires. Il peut, notamment, compter parmi ses collaborateurs un responsable de lthique (mdiateur, Compliance officer, conseiller de la direction ou expert en matire dthique), un membre du comit interne dthique, ou une personne charge dvaluer le climat thique qui rgne dans lorganisation. Il peut arriver, dans certains cas, que lexercice des fonctions de responsable de lthique nuise lindpendance de laudit interne. 7. Le service daudit interne doit, au minimum, valuer priodiquement le climat thique qui rgne au sein de lorganisation et lefficacit des stratgies, des tactiques, de la communication et des autres processus mis en uvre pour atteindre le niveau souhait de conformit la loi et aux normes dthique. Les auditeurs internes doivent apprcier la ralit des lments suivants, qui sont le signe dune culture forte et efficace en matire dthique : existence dun code de conduite officiel, clair et comprhensible, de rapports et de procdures annexes (notamment de procdures couvrant la fraude et la corruption), et dautres documents dcrivant les aspirations de lorganisation ; frquentes dmonstrations et tmoignages de comportement exemplaire en termes dthique manant de dirigeants influents de lorganisation ; stratgies explicites visant soutenir et renforcer la culture thique par des programmes rguliers permettant dactualiser et de renouveler lengagement de lorganisation en matire dthique ; existence de plusieurs systmes faciles daccs permettant de rvler, en toute confidentialit, les manquements prsums au code de conduite et aux procdures, et dautres actes de mauvaise conduite ; dclarations rgulires des employs, des fournisseurs et des clients attestant quils sont informs des rgles dthique respecter dans le cadre de transactions avec lorganisation ;
70
OCTOBRE 2002
dfinition claire des responsabilits permettant de sassurer que les implications en termes dthique sont values, que des conseils sont prodigus en toute confidentialit, que les fautes prsumes font lobjet dune enqute et que ces anomalies sont correctement rapportes ; facilit daccs une formation permettant tous les collaborateurs de promouvoir et de dfendre lthique, pratiques positives du personnel, qui incitent chacun contribuer linstauration dun climat thique dans lorganisation ; enqutes rgulires auprs des employs, des fournisseurs et des clients afin dapprcier le climat thique qui rgne au sein de lorganisation ; examens rguliers des processus formels et informels de lorganisation susceptibles dengendrer des pressions et des drives peu propices une culture thique ; vrification rgulire des rfrences et du parcours professionnel du personnel en cours de recrutement, notamment tests dintgrit, contrles concernant la consommation de drogues et autres mesures similaires.
On rappellera que le droit franais et la jurisprudence nautorisent la pratique de tests de dpistage sur le lieu de travail que pour les salaris occups des travaux dangereux ou la conduite de vhicules, ou pour faire cesser immdiatement une situation juge dangereuse.
OCTOBRE 2002
71
MPA SRIE 2200

Planification de la mission
2200 PLANIFICATION
DE LA MISSION
LES AUDITEURS INTERNES DOIVENT CONCEVOIR ET FORMALISER UN PLAN POUR CHAQUE MISSION. CE PLAN PRCISE LE CHAMP DINTERVENTION, LES OBJECTIFS, LA DATE ET LA DURE DE LA MISSION, AINSI QUE LES RESSOURCES ALLOUES
2201
Considrations relatives la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : les objectifs de lactivit soumise l'audit et la manire dont elle est matrise ;
Activit : Le texte originel parle de activity lentit soumise un audit nest pas ncessairement un service au sens strict du terme. Ce peut tre un processus complet (qui peut donc concerner plusieurs services, ex : laudit du processus achat va concerner le service achat, le service logistique, le service comptable), un systme, un thme etc.
les risques significatifs lis lactivit, ses objectifs, les ressources mises en uvre et ses tches oprationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu un niveau acceptable ; la pertinence et l'efficacit des systmes de management des risques et de contrle de lactivit en rfrence un cadre ou modle de contrle appropri ; les opportunits damliorer de manire significative les systmes de management des risques et de contrle de lactivit.
2201.A1
Lorsquils planifient une mission pour des tiers extrieurs lorganisation, les auditeurs internes doivent laborer avec eux un accord crit sur les objectifs et le champ de la mission, les responsabilits et les attentes respectives, et prciser les restrictions observer en matire de diffusion des rsultats de la mission et daccs aux dossiers.
JUIN 2004
MPA 2200-1 Planification de la mission

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils planifient les missions. La prsente MPA na pas pour but de prsenter toutes les procdures mettre en uvre dans le cadre dune mission daudit ou de conseil concernant le respect de la rglementation. Le respect des Modalits Pratiques dApplication est facultatif. 1. Lauditeur interne est responsable de la planification et de la conduite des missions qui lui sont confies, sous rserve du contrle et de lapprobation par son superviseur. Le programme de la mission doit : documenter les procdures permettant l'auditeur interne de collecter, analyser, interprter et documenter les informations pendant la mission ; dfinir les objectifs de la mission ; tablir le champ dintervention et le degr d'approfondissement ncessaire des tests pour atteindre les objectifs de chaque phase de la mission ; identifier les aspects techniques, les risques, les procds et les transactions qui doivent tre audits, tablir la nature et l'tendue ncessaire des tests ; tre prpar avant le dmarrage de la mission et modifi, si ncessaire, au cours de la mission. 2. Le responsable de l'audit interne a la responsabilit de dterminer comment, quand et qui les rsultats de l'audit seront communiqus. Ces prcisions seront documentes et communiques au management autant que possible, pendant la phase de planification de la mission. Les changements ultrieurs qui affectent les dlais et la diffusion des rsultats de l'audit devront tre galement communiqus au management, si ncessaire. 3. D'autres exigences telles que la dure de la mission et les dates estimes de sa ralisation, devront tre dtermines. La structure du rapport d'audit final devra tre envisage, puisqu'une planification correcte ce stade facilite la prparation du rapport final.
Rapport daudit final : le terme anglais est plus gnral final engagement communication, ceci indique que le produit fini dune mission ne se matrialise pas ncessairement sous forme de rapport au sens traditionnel du terme. La prsentation des rsultats dune mission peut se faire sur diffrents supports et suivant diffrents formats (prsentation de type power point, rapport classique ). Par contre, si le format a t dfini au moment de la lettre de mission, il est impratif de sy conformer. La forme et le mdia sont laisss lapprciation du dpartement daudit interne.
OCTOBRE 2002
SRIE 2200 - PLANIFICATION DE LA MISSION
4. Une information devra tre donne au management concern. Des runions doivent se tenir avec le management responsable de l'activit tudie. Un rsum des sujets discuts pendant les runions et des conclusions doit tre prpar, distribu aux personnes concernes et conserv dans le dossier de la mission.
Dans certaines circonstances, pour assurer le succs de la mission et la fiabilit des rsultats attendus, la communication pralable la mission peut tre restreinte ou soumise un niveau de confidentialit plus important. Dans certains cas mme, le responsable de lentit audite peut ne pas tre averti de la mission, avec laccord de la direction gnrale.
Les sujets de discussion peuvent tre les suivants : les objectifs et le champ d'intervention de la mission d'audit planifie ; le calendrier de la mission ; la liste des auditeurs internes affects la mission ; le processus de communication en cours de mission, y compris les mthodes, le calendrier, et les personnes responsables ; les conditions de gestion et les oprations de l'activit audite, y compris les changements rcents au niveau du management et des systmes les plus importants ; les proccupations et les demandes du management ; les sujets particuliers ou les proccupations de l'auditeur interne ; la description des procdures de l'audit interne pour rendre compte et assurer le suivi de la mission.
OCTOBRE 2002
2210
Objectifs de la mission
Les objectifs doivent tre prciss pour chaque mission
MPA 2210-1 Objectifs de la mission
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils tablissent les objectifs de la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Cette planification doit faire lobjet de documents crits. Les objectifs de la mission et le champ dintervention doivent tre dfinis. Les objectifs d'audit mis au point par les auditeurs internes dfinissent les ralisations attendues de la mission en termes gnraux. Les procdures de la mission sont les moyens pour atteindre les objectifs de la mission. L'ensemble des objectifs et des procdures de la mission dfinissent le champ d'intervention de l'auditeur interne. 2. Les objectifs et les procdures de la mission doivent tenir compte des risques lis l'activit audite. Le mot risque est la probabilit que se produise un vnement susceptible davoir un impact sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit. Le but de l'valuation des risques, pendant la phase de planification de l'audit, est d'identifier les secteurs importants de l'activit quil convient dexaminer comme objectifs potentiels de la mission.
JUIN 2004
2210.A1
Objectifs de la mission
L'auditeur interne doit procder une valuation prliminaire des risques lis lactivit soumise l'audit. Les objectifs de la mission doivent tre dtermins en fonction des rsultats de cette valuation.
MPA 2210.A1-1 valuation des risques dans la planification de la mission
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils valuent les risques lors de la planification de la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Il appartient aux auditeurs internes dapprcier quels sont les lments ncessaires pour acqurir une assurance suffisante que les risques appropris sont identifis pour une mission donne. Le respect des Modalits Pratiques dApplication est facultatif. 1. Lauditeur interne doit tenir compte de lvaluation des risques effectue par le management pour lactivit examine, et notamment des lments suivants : fiabilit de cette valuation des risques ; suivi des risques et diffusion dinformations sur les risques par le management ; comptes-rendus du management sur les vnements qui ont dpass les limites fixes en matire de tolrance des risques ; existence de risques identifis par le management au sein de lorganisation dans des activits lies lactivit examine, ou dans des systmes support ; valuation par le management lui-mme des contrles relatifs aux risques. 2. Des informations de base sur lactivit auditer doivent tre obtenues. Un examen de ces informations devra tre effectu pour dterminer leur impact sur la mission. Elles peuvent porter notamment sur : les objectifs et les buts de lactivit ; les rgles, plans, procdures, lois, rglementations et contrats qui peuvent avoir un impact significatif sur les oprations, et les rapports ;
JUIN 2004
l'organisation, par exemple, le nombre et le nom des salaris, les collaborateurs occupant des postes cl, la description des postes, ainsi que les dtails relatifs aux derniers changements de l'organisation, y compris les changements importants des systmes informatiques ; le budget, les rsultats dexploitation et les donnes financires sur l'activit auditer ; les papiers de travail de la mission prcdente ; les rsultats d'autres missions, y compris ceux des auditeurs externes, termins ou en cours ; les dossiers de correspondance afin de dtecter dventuelles problmatiques importantes ; la littrature technique faisant autorit pour l'activit concerne. 3. Ralisation, si ncessaire, dun examen prliminaire sur place pour se familiariser avec les activits, les risques et les contrles, pour identifier les domaines o la mission devra tre approfondie et pour inviter les clients de la mission fournir leurs commentaires et suggestions. Un examen prliminaire est un procd permettant de rassembler des informations sur l'activit tudie, sans vrification dtaille. Les principaux buts sont : comprendre l'activit tudie ; identifier les secteurs importants ncessitant une analyse plus approfondie ; obtenir des informations utiles pour raliser la mission ; dterminer s'il est ncessaire de continuer la mission. 4. Un examen prliminaire permet une approche documente pour planifier et raliser la mission. C'est un moyen efficace pour affecter les ressources de l'audit interne aux secteurs o elles peuvent tre utilises le plus efficacement. Suivant la nature de l'audit, l'examen prliminaire sera plus ou moins approfondi. Ltendue et la dure de l'examen prliminaire varieront en fonction de l'exprience et de la formation de l'auditeur, sa connaissance de l'activit tudie, le type de mission et le fait que ce soit une mission rcurrente ou une mission de suivi de mise en place des recommandations. La dure sera aussi influence par la dimension et la complexit de l'activit tudie ainsi que par la dispersion gographique de cette activit. 5. Un examen prliminaire peut entraner l'utilisation des procdures suivantes : discussions avec le client de la mission ; entretiens avec les personnes concernes par l'activit, par exemple, les utilisateurs des produits dlivrs par l'activit ;
8
JUIN 2004
observations sur place ; revue des rapports et des tudes du management ; procdures d'audit analytiques ; diagrammes de circulation ; walk-through fonctionnels (tests sur tches dun travail spcifique du dbut jusqu la fin) ; documentation des activits de contrle cl. 6. Lauditeur interne doit tablir un rsum des rsultats obtenus suite lexamen de lvaluation des risques effectue par le management, des informations de base, et des conclusions des revues prliminaires. Ce rsum doit identifier : les problmes importants et les raisons pour poursuivre une tude plus approfondie ; les informations pertinentes provenant de diffrentes sources ; les objectifs et les procdures de la mission, ainsi que les approches particulires telles que les techniques d'audit assist par ordinateur ; les points de contrles potentiellement dlicats, les manques ou les excs de contrle apparents ; les premires estimations en matire de dlai et de besoin en ressources ; les dates actualises pour les phases dmission du rapport et de fin de mission ; si ncessaire, les raisons pour ne pas continuer la mission.
JUIN 2004
2230
Ressources affectes la mission

Les auditeurs internes doivent dterminer les ressources appropries pour atteindre les objectifs de la mission. La composition de lquipe doit sappuyer sur une valuation de la nature et de la complexit de chaque mission, des contraintes de temps et des ressources disponibles.
MPA 2230-1 Ressources affectes la mission
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils affectent des ressources la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Pour dterminer les ressources ncessaires la ralisation de la mission, il est important dvaluer les points suivants : les exigences quant au nombre d'auditeurs internes et au niveau d'exprience de l'quipe d'audit doivent sappuyer sur une valuation de la nature et de la complexit de la mission confie, les contraintes de temps et les ressources disponibles ; les connaissances, le savoir-faire et autres comptences des auditeurs internes sont prendre en considration pour leur affectation chaque mission d'audit ; les besoins de formation des auditeurs doivent tre pris en compte pour chaque mission : c'est partir de l que se constitue la base des connaissances ncessaires de laudit interne ;
Besoins de formation : Cette recommandation nimplique pas ncessairement que lauditeur suive une formation ad hoc avant de commencer une mission (comptences pr-requises abordes au 2e point) mais qu'une mission peut tre aussi une opportunit pour un auditeur dapprofondir la connaissance de lentreprise et de ses processus tout en lui permettant de dvelopper ses propres comptences.
l'utilisation de ressources externes doit tre envisage dans les cas o des connaissances, un savoir-faire ou des comptences supplmentaires sont ncessaires.
10
OCTOBRE 2002
2240
Programme de travail de la mission

Les auditeurs internes doivent laborer un programme de travail permettant d'atteindre les objectifs de la mission. Ce programme de travail doit tre formalis.
MPA 2240-1 Programme de travail de la mission
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils laborent les programmes de travail de la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les procdures daudit, y compris les techniques de sondage et dchantillonnage utilises, doivent tre fixes lavance si possible, et dveloppes ou modifies si les circonstances le justifient. Des lignes directrices plus dtailles sont prsentes dans la MPA 2210.A1-1. 2. Le processus de collecte, danalyse, dinterprtation et de documentation de linformation doit tre supervis afin dobtenir une assurance raisonnable que lobjectivit de lauditeur est maintenue et que les objectifs daudit sont atteints.
OCTOBRE 2002
11
2240.A1
Le programme de travail doit dfinir les procdures appliquer pour trouver, analyser, valuer et documenter les informations lors de la mission. Le programme de travail doit tre approuv avant sa mise en uvre. Les ajustements ventuels doivent tre approuvs rapidement.
MPA 2240.A1-1 Approbation des programmes de travail
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils approuvent les programmes de travail. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le programme de travail de la mission doit tre approuv par crit par le responsable de l'audit interne ou son dlgu avant le dmarrage de la mission, dans toute la mesure du possible. L'approbation peut tre d'abord obtenue oralement s'il n'est pas possible de l'obtenir par crit avant le dmarrage de la mission. Les modifications apportes au programme de la mission doivent tre approuves temps.
Par crit : la formalisation de lapprobation nest pas ncessairement lourde. Le document programme de travail peut faire apparatre le nom du crateur du document et mnager un espace revu par _ que le Directeur de laudit interne ou son dlgu pourront marger une fois la revue du document acheve.
12
JUIN 2004
MPA SRIE 2300

Accomplissement de la mission
2300 A C C O M P L I S S E M E N T
DE LA MISSION
LES AUDITEURS INTERNES DOIVENT IDENTIFIER, ANALYSER, VALUER ET DOCUMENTER LES INFORMATIONS NCESSAIRES POUR ATTEINDRE LES OBJECTIFS DE LA MISSION
MPA 2300-1 Lutilisation dinformations caractre personnel par lauditeur interne dans le cadre des audits
Interprtation de la norme n 2300 extraite des Normes internationales pour la Pratique Professionnelle de lAudit Interne Nature de cette recommandation : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils envisagent dutiliser des informations caractre personnel dans le cadre dune mission dassurance ou de conseil. La prsente MPA na pas pour but de dresser une liste exhaustive de recommandations relatives lutilisation de donnes caractre personnel. Elle a seulement pour objet de rappeler limportance dune utilisation approprie de ces informations conformment aux lois et procdures du pays concern, savoir celui dans lequel laudit est ralis et o lorganisation exerce une activit. Le respect des Modalits Pratiques dApplication est facultatif. 1. La protection de la vie prive et des informations caractre personnel fait lobjet dune attention accrue dans la mesure o les avances en matire de technologies de linformation et de moyens de communication introduisent de nouveaux risques et menaces pour la vie prive. Dans la plupart des pays, la lgislation contraint les organisations se doter dun dispositif de contrle visant protger la vie prive. 2. Les informations caractre personnel correspondent gnralement des informations que lon peut associer un individu donn, soit en tant que telles soit en les regroupant avec dautres informations1. Il peut sagir dinformations factuelles ou subjectives, enregistres ou non, et ce quels quen soient la forme ou le support.
JUIN 2004
3-1
titre dexemple, les informations1 caractre personnel incluent notamment : le nom, ladresse, les numros didentification, le revenu ou le groupe sanguin ; les valuations, les commentaires, le statut social ou les mesures disciplinaires ; les dossiers des salaris, les informations relatives aux crdits et aux prts accords. 3. Dans la plupart des cas, la lgislation stipule que les organisations doivent identifier lobjectif de la collecte dinformations caractre personnel, au plus tard la date de celle-ci, et que ces informations ne doivent pas tre utilises ni divulgues des fins autres que celles pour lesquelles elles ont t collectes, sauf accord de lintress ou prescription lgale. 4. Il est important que lauditeur interne comprenne et respecte les lois concernant lutilisation dinformations caractre personnel tant dans leur pays que dans ceux o leur organisation exerce une activit. 5. Lauditeur interne ne doit pas perdre de vue quil peut tre inopportun, voire illgal, daccder des informations caractre personnel dans le cadre de certaines missions daudit interne, ou de rcuprer ce type dinformations, de les examiner, manipuler ou de les exploiter. 6. Lauditeur interne doit tudier avec soin tout problme avant denclencher un audit et consulter les juristes de lorganisation en cas de question ou de doute dans ce domaine.
1. Privacy: Assessing the Risk (Le respect de la vie prive : valuation du risque) de Kim Hargraves, Susan B. Lione, Kerry L Shackelford et Peter C Tilton ; The Institute of Internal Auditors Research Foundation.
JUIN 2004
3-2
SRIE 2300 - ACCOMPLISSEMENT DE LA MISSION
2310
Identification des informations

Les auditeurs internes doivent identifier les informations ncessaires, fiables, pertinentes et utiles pour atteindre les objectifs de la mission.
MPA 2310-1 Identification des informations
Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils recueillent des informations. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Des informations doivent tre rassembles sur tous les lments en relation avec les objectifs et le champ dapplication de la mission. Les auditeurs internes utilisent des procdures analytiques lors de l'examen et de l'identification des informations. Les procdures d'audit analytiques sont mises en uvre en tudiant et en comparant les relations entre les informations financires et les autres. Les procdures d'audit analytiques pour identifier les informations analyser se fondent sur l'hypothse, qu'en absence de conditions connues contraires, on s'attend raisonnablement ce que des rapports entre certaines informations existent et se maintiennent. Des exemples de conditions contraires sont des transactions ou des vnements inhabituels ou ne se reproduisant pas : des modifications de principes comptables, d'organisation, d'oprations, d'environnement, ainsi que des changements technologiques ; des insuffisances ; des facteurs d'inefficacit ; des erreurs ; des irrgularits ou des fraudes. 2. Ces informations doivent tre suffisantes, concluantes, pertinentes et utiles, de manire fournir une base solide aux constatations de laudit et ses recommandations. Une information est suffisante si elle est fonctionnelle, approprie et probante, de sorte quune personne prudente et informe aboutisse aux mmes conclusions que
OCTOBRE 2002
4-1
lauditeur. Une information concluante est fiable et facilement accessible par lutilisation de techniques daudit appropries. Une information est pertinente si elle conforte les constatations et recommandations de laudit, et rpond aux objectifs de la mission. Une information est utile si elle aide lorganisation atteindre ses objectifs.
4-2
OCTOBRE 2002
2320
Analyse et valuation
Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des analyses et valuations appropries.
MPA 2320-1 Analyse et valuation
Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils utilisent des analyses et des valuations pour fonder leurs conclusions. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les procdures d'audit analytiques fournissent aux auditeurs des moyens efficaces et efficients pour valuer et juger les informations collectes durant une mission. L'valuation est le rsultat de la comparaison de ces informations avec les rsultats attendus, identifis ou dvelopps par l'auditeur interne. Les procdures d'audit analytiques sont utiles pour identifier, par exemple : des diffrences inattendues ; l'absence de diffrences attendues ; des erreurs potentielles ; des irrgularits ou des fraudes potentielles ; d'autres transactions ou vnements inhabituels ou non rcurrents. 2. Les procdures d'audit analytiques comportent par exemple : la comparaison entre les informations de la priode en cours et les informations similaires des priodes prcdentes ; la comparaison entre les informations de la priode en cours et les budgets ou les prvisions ; l'tude des rapports existants entre des informations financires et des informations non financires appropries (par exemple, les montants de la paie comptabiliss compars avec lvolution du nombre moyen de collaborateurs) ;
OCTOBRE 2002
l'tude des rapports existants entre divers lments d'information (par exemple, les fluctuations des montants d'intrt comptabiliss, compares aux volutions des soldes des dettes correspondantes) ; la comparaison entre les informations concernant plusieurs units oprationnelles ; la comparaison avec des informations sectorielles de mme nature. 3. Les procdures d'audit analytiques peuvent utiliser des valeurs montaires, des quantits physiques, des ratios ou des pourcentages. Des procdures d'audit analytiques spcifiques peuvent comporter, par exemple, des ratios, des tendances et des analyses de rgression, des tests de vraisemblance, des comparaisons entre priodes, des comparaisons avec les budgets, les prvisions, et des informations conomiques extrieures. Les procdures d'audit analytiques aident l'auditeur interne identifier les conditions qui peuvent entraner des procdures d'audit complmentaires. Les auditeurs internes doivent utiliser des procdures d'audit analytiques pour planifier la mission dans le respect des instructions contenues dans la section 2200 des normes (MPA 2210-1) 4. Les procdures d'audit analytiques doivent galement tre utilises pendant la mission pour examiner et valuer les informations qui supportent les rsultats d'audit. Les auditeurs internes doivent prendre en considration les facteurs suivants pour dterminer dans quelle mesure des procdures d'audit analytiques doivent tre utilises. Aprs avoir valu ces facteurs, les auditeurs internes doivent prendre en considration et utiliser, si ncessaire, d'autres procdures d'audit pour atteindre l'objectif de la mission, savoir : l'importance du secteur tudi ; la validit du systme de contrle interne ; la disponibilit et la confiance dans les informations financires et non financires ; la prcision attendue des rsultats des procdures daudit analytiques ; la disponibilit et la possibilit de faire des comparaisons sectorielles ; la validit d'autres procdures d'audit pour tayer les rsultats de la mission. 5. Quand les procdures d'audit analytiques mettent jour des rapports ou des rsultats inattendus, les auditeurs internes doivent examiner et valuer ces rsultats et rapports. L'examen et l'valuation des rapports ou des rsultats inattendus obtenus par des procdures d'audit analytiques doivent conduire interroger le management ou utiliser d'autres procdures d'audit jusqu' ce que les auditeurs internes obtiennent des explications satisfaisantes. Les rsultats ou les rapports, obtenus par des procdures d'audit analytiques, et qui ne sont pas expliqus, peuvent tre le signe de faits importants tels qu'une erreur, une irrgularit, une fraude possibles. Les rsultats ou les rapports, fournis par des procdures d'audit analytiques, qui ne sont pas suffisamment expliqus, doivent tre communiqus au niveau appropri du management. Les auditeurs internes peuvent recommander que des actions appropries soient prises, en fonction des circonstances.
6
OCTOBRE 2002
2330
Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour tayer les conclusions et les rsultats de la mission.
MPA 2330-1 Documentation des informations
Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils enregistrent les informations obtenues. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les papiers de travail qui servent documenter les travaux daudit doivent tre tablis par lauditeur interne et revus par le management de laudit interne. Ces documents doivent consigner les informations obtenues et les analyses faites, et doivent conforter les constatations et les recommandations daudit qui seront diffuses. Les papiers de travail servent gnralement : fournir le principal document dappui au rapport de la mission ; aider la planification, lexcution et la rvision des missions ; documenter la ralisation des objectifs daudit ; faciliter la revue par des tiers ; fournir une base dvaluation du programme qualit de laudit interne ; apporter les lments probants en cas de rclamations des compagnies dassurance, de fraude et de poursuites judiciaires ; aider au dveloppement professionnel de lquipe daudit interne ; dmontrer que laudit interne respecte les Normes pour la pratique professionnelle de laudit interne. 2. Lorganisation, la conception et le contenu des dossiers de travail de laudit sont fonction de la mission. Les dossiers de travail doivent toutefois comprendre les lments suivants du processus : la planification de la mission ;
OCTOBRE 2002
lexamen et lvaluation de la validit et de lefficacit du systme de contrle interne ; les procdures suivies pour effectuer la mission, les informations obtenues et les conclusions tires ; la rvision des dossiers de travail ; la communication des rsultats ; le suivi de la mission. 3. Les dossiers de travail doivent tre complets et doivent appuyer les conclusions tires de la mission. Les dossiers d'audit peuvent inclure entre autres : les documents de planification et les programmes de la mission ; les questionnaires de contrle, les diagrammes de circulation de linformation, les listes de contrle et les memorandums de synthse ; les notes et les comptes rendus des entretiens ; des donnes sur lorganisation, comme les organigrammes et les dfinitions de postes ; une copie des contrats importants ; des informations sur les politiques oprationnelles et financires ; les rsultats des valuations du processus de contrle interne ; les lettres de confirmation et de reprsentation ; lanalyse et les sondages effectus sur des transactions, des processus et les soldes comptables ; les rsultats des procdures d'audit analytiques ; le rapport final de la mission et les commentaires du management ; la correspondance change, si elle documente les conclusions tires de la mission. 4. Le dossier de travail peut tre prsent sous forme papier, de cassette, de disquette, dun film ou de tout autre moyen denregistrement. Lorsque le dossier de travail nest pas sous forme papier, une copie de sauvegarde doit tre tablie. 5. En cas daudit portant sur les tats financiers, les papiers de travail doivent montrer quils sont en accord ou rconcilis avec la comptabilit. 6. Le responsable de l'audit interne doit dfinir les rgles suivre en matire de papiers de travail, adaptes chaque type de mission. La normalisation des dossiers de travail comme celle des questionnaires et des programmes daudit peut amliorer lefficacit dune mission et faciliter la dlgation du travail. Certains dossiers de travail peuvent tre considrs comme des dossiers permanents. Ces dossiers contiennent les informations importantes caractre permanent.
8
OCTOBRE 2002
7. Voici des techniques typiques de la prparation dun dossier de travail : chaque papier de travail doit porter le nom de la mission et dcrire le contenu ou lobjet du papier de travail ; chaque papier de travail doit tre sign (ou paraph) et dat par lauditeur interne ralisant le travail ; chaque papier de travail doit porter un index ou un numro de rfrence ; les symboles de vrification ( tick marks ) doivent tre expliqus ; les sources des donnes doivent tre prcises.
OCTOBRE 2002
2330.A1
Le responsable de l'audit interne doit contrler laccs aux dossiers de la mission. Il doit, si ncessaire, obtenir laccord de la direction gnrale et/ou lavis dun juriste avant de communiquer ces dossiers des parties extrieures.
MPA 2330.A1-1 Contrle des dossiers daudit
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes qui concernent le contrle des dossiers daudit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les papiers de travail de la mission sont la proprit de lorganisation. Ils doivent gnralement demeurer sous le contrle de laudit interne et ne doivent tre accessibles quau personnel autoris. 2. Le management et les autres membres de lorganisation peuvent demander laccs aux papiers de travail de la mission. Un tel accs peut tre ncessaire pour corroborer ou expliquer les constatations et recommandations de la mission ou pour utiliser les documents dune mission dautres fins. Le responsable de l'audit interne doit autoriser pralablement ces demandes. 3. Il est de pratique courante pour les auditeurs internes et externes de se communiquer leurs dossiers de travail respectifs. Laccs accord aux auditeurs externes doit tre approuv par le responsable de l'audit interne. 4. Il y a des cas o les demandes daccs aux dossiers de travail et aux rapports sont faites par des personnes extrieures lorganisation, autres que les auditeurs externes. Avant daccepter de fournir la documentation demande, le responsable de l'audit interne doit obtenir lapprobation de la direction gnrale et/ou, le cas chant, du conseiller juridique.
10
OCTOBRE 2002
En France, les rapports daudit interne doivent tre communiqus, leur demande, aux Commissaires aux comptes et la justice. Pour le secteur bancaire, le rglement 97-02 du CRBF, remplac par le rglement 2000-01, prcise en outre que les rapports sur le contrle interne et la surveillance des risques sont adresss chaque anne aux Commissaires aux comptes et au secrtariat gnral de la Commission Bancaire. Il convient donc de prsenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection. Nous renvoyons ici aux commentaires formuls propos du code de dontologie.
MPA 2330.A1-2 Accs aux dossiers daudit aspects juridiques

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes avant daccorder laccs aux dossiers daudit des personnes extrieures laudit interne. La prsente MPA na pas pour but de procder un expos exhaustif de tous les points examiner. Le respect des Modalits Pratiques dApplication est facultatif.
Remarque pralable Les auditeurs internes sont invits consulter un conseiller juridique sur toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier considrablement selon les pays. Les directives contenues dans la prsente MPA reposent principalement sur le systme juridique amricain mais peuvent tout aussi bien sappliquer dans le contexte franais. 1. Les dossiers daudit interne incluent les rapports, les documents justificatifs les notes de revue et la correspondance change, et ce quel que soit le support utilis. Les auditeurs internes constituent ces dossiers avec lappui du management et des organes dlibrants pour lesquels ils effectuent leurs prestations. Lon estime gnralement que le contenu de ces dossiers est confidentiel et quil peut reposer la fois sur des faits et sur des opinions. Or, les personnes qui nont pas une parfaite connaissance de lorganisation ou de ses mthodes daudit interne sont susceptibles de mal interprter ces faits et ces opinions. Laccs aux dossiers daudit peut tre sollicit par des tiers dans le cadre de diverses procdures, parmi lesquelles on peut citer les poursuites pnales, les litiges, les vrifications fiscales, les contrles des instances rglementaires, lexamen des marchs publics et les contrles effectus dans le cadre de professions habilites sauto-rglementer. La quasi totalit des dossiers non couverts par le secret professionnel liant lavocat son client peuvent tre communiqus en cas de poursuites pnales. Pour les autres procdures, la question de laccs aux dossiers est moins vidente.
OCTOBRE 2002
11
2. Linsertion de procdures explicites dans les documents de laudit interne numrs ci-dessous peut permettre de renforcer le contrle de laccs aux dossiers daudit. Ces suggestions sont analyses dans les paragraphes ci-dessous : Charte ; Dfinitions de postes ; Procdures internes du service ; Procdures sur le droulement des enqutes effectues avec le Conseiller juridique. 3. La charte de laudit interne doit traiter la question de laccs aux dossiers et aux informations appartenant lorganisation et de leur contrle et ce, quel que soit le support utilis pour conserver les documents. 4. Les membres de laudit interne doivent disposer de dfinitions de postes crites prcisant la nature des tches complexes et varies quils accomplissent. Ces dfinitions de postes pourront aider les auditeurs internes en cas de demande de transmission des dossiers. En outre, elles les aideront mieux cerner ltendue de leurs travaux tout en permettant galement aux tiers de mieux apprhender les dossiers des auditeurs internes 5. Il convient dtablir des procdures spcifiques au service daudit interne afin de prciser le mode de fonctionnement de laudit interne. Ces procdures crites devront couvrir notamment les points suivants : contenu des dossiers daudit, dlai de conservation des dossiers du service, modalits de traitement des demandes daccs aux dossiers et procdures particulires suivre en cas denqute effectue avec le conseiller juridique. Ces points sont examins ci-dessous. 6. Une procdure concernant les divers types de missions doit prciser le contenu et la forme des dossiers daudit ainsi que le mode de traitement des notes de revue (conservation lappui des questions souleves et rsolues ultrieurement ou destruction afin dempcher les tiers dy accder). Par ailleurs, il convient de prciser dans une procdure le dlai de conservation des dossiers daudit. Ces dlais seront fixs en fonction des besoins de lorganisation et des exigences lgales. (Il est important de vrifier ce point avec le conseiller juridique). 7. Les procdures de laudit interne doivent prciser lidentit des personnes charges dassurer le contrle et la scurit des dossiers du service et de celles qui peuvent tre autorises accder aux dossiers daudit, ainsi que les modalits de traitement des demandes daccs ces dossiers. Ces procdures peuvent varier en fonction des pratiques suivies dans le secteur ou du droit applicable lorganisation. Le responsable de l'audit interne et les autres membres de laudit interne doivent suivre avec attention lvolution de la jurisprudence et des pratiques du secteur. Ils doivent galement anticiper les demandes ventuelles daccs aux rsultats de leurs travaux.
12
OCTOBRE 2002
6. La procdure qui dfinit les conditions daccs aux dossiers daudit doit galement couvrir les points suivants : processus suivre pour rsoudre les problmes daccs ; dlai de conservation pour chaque type de document de travail ; programme de formation et dactualisation des connaissances de lquipe daudit interne sur les risques et les problmes daccs leurs dossiers ; et ncessit de procder priodiquement une tude du secteur afin danticiper dventuelles demandes daccs aux dossiers. 9. Une procdure doit permettre lauditeur interne de dterminer si un audit justifie une enqute ou, en dautres termes, si un audit doit donner lieu une enqute effectue en liaison avec un avocat et quelles sont les procdures particulires suivre en terme de communication avec le Conseiller juridique. Elle doit galement aborder la question de la signature dun engagement de confidentialit concernant toute information confie lavocat. 10. Les auditeurs internes doivent par ailleurs sensibiliser le Conseil et le management aux risques daccs aux dossiers daudit. Les procdures concernant le droit daccs aux dossiers, les modalits de traitement des demandes daccs et la dmarche suivre lorsquun audit justifie la conduite dune enqute doivent tre revues par le comit daudit (ou par un organe dlibrant quivalent). Ces procdures varieront selon les caractristiques de lorganisation et selon les dispositions de la loi en matire de secret professionnel. 11. Il est important de bien prparer les dossiers daudit qui doivent tre divulgus. A cet gard, il convient de suivre les tapes suivantes : seuls les documents demands doivent tre divulgus. En rgle gnrale, les dossiers daudit contenant des avis et des recommandations ne sont pas communiqus. Les documents qui dvoilent largumentation ou les stratgies des avocats sont gnralement couverts par le secret professionnel et leur communication nest pas obligatoire ; seules des copies doivent tre transmises, lexemplaire original devant tre conserv, en particulier si les documents ont t rdigs au crayon. Si le tribunal exige loriginal, laudit interne doit conserver une copie ; apposer sur chaque document la mention confidentiel ainsi quune annotation prcisant que toute diffusion autrui doit faire lobjet dune autorisation pralable.
OCTOBRE 2002
13
2330.A2
Le responsable de l'audit interne doit arrter des rgles en matire de conservation des dossiers de la mission. Ces rgles doivent tre cohrentes avec les orientations dfinies par l'organisation et avec toute exigence rglementaire ou autre.
MPA 2330.A2-1 Conservation des dossiers
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes pour dfinir les modalits de conservation des dossiers daudit. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Les modalits de conservation des dossiers daudit doivent tre conues de faon couvrir tous les dossiers, quelle que soit la forme sous laquelle ils sont conservs.
14
OCTOBRE 2002
2340
Supervision de la mission
Les missions doivent faire l'objet d'une supervision approprie afin de garantir que les objectifs sont atteints, la qualit assure et le dveloppement professionnel du personnel effectu.
MPA 2340-1 Supervision de la mission
Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes au moment de superviser la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif.
1. Le responsable de l'audit interne a la responsabilit dassurer une supervision adquate des audits. La supervision commence la planification de la mission et se poursuit avec les vrifications, les valuations, le rapport et le suivi de la mission. La supervision consiste : 1) sassurer que les auditeurs choisis possdent les connaissances, le savoir-faire et les autres comptences requises pour raliser la mission ; 2) donner des instructions appropries durant la planification de la mission et approuver le programme de la mission ; 3) vrifier que le programme approuv est correctement excut sous rserve des modifications justifies et autorises ; 4) contrler que les papiers de travail contiennent les lments probants justifiant les constatations, conclusions et recommandations de la mission ; 5) sassurer que le rapport est exact, objectif, clair, concis, constructif et tabli dans les dlais fixs ; 6) sassurer que les objectifs daudit ont t atteints ; 7) saisir toutes les occasions pour dvelopper les connaissances, le savoir-faire et les autres comptences des auditeurs internes. 2. La trace de la supervision doit tre documente et conserve dans les papiers de travail. Ltendue de la supervision est fonction de la comptence et de lexprience des
OCTOBRE 2002
15
auditeurs internes, ainsi que de la complexit de la mission. Le responsable de l'audit interne a lentire responsabilit de la supervision des missions mais il peut dsigner une autre personne lexprience et la comptence requises pour raliser cette supervision. Des auditeurs internes possdant lexprience requise peuvent tre employs superviser le travail dautres auditeurs internes moins expriments. 3. Le responsable de l'audit interne est en charge de toutes les missions daudit quelles soient effectues par ou pour le compte de laudit interne. Il est galement responsable de toutes les opinions professionnelles significatives formules lors de la planification, des vrifications, des valuations, du rapport et du suivi de la mission. Le responsable de l'audit interne doit mettre en place les moyens appropris pour assumer cette responsabilit. Les moyens appropris concernent les rgles et procdures destines : minimiser le risque que des opinions professionnelles formules par des auditeurs internes ou autres personnes ralisant des travaux pour laudit interne soient en dsaccord avec lopinion professionnelle du responsable de l'audit interne ce qui aurait un effet dfavorable sur la mission ; rgler les conflits dopinion entre le responsable de l'audit interne et les auditeurs internes sur les points importants concernant la mission. Les moyens utiliser peuvent tre : a) le dbat sur les constats pertinents ; b) des enqutes et recherches complmentaires ; c) la mention dans les papiers de travail des diffrents points de vue, avec documents lappui. En cas dopinions contraires sur une question dthique, les moyens appropris doivent faire appel aux personnes qui, dans lorganisation, ont des responsabilits dans ce domaine. 4. La supervision inclut la formation et le dveloppement du personnel, lvaluation des performances, le suivi des dpenses et du temps pass, et toutes autres matires administratives de mme nature. 5. Tous les papiers de travail doivent tre revus afin de sassurer quils supportent le rapport daudit et que toutes les procdures daudit ncessaires ont t effectues. Cette revue doit tre matrialise par lapposition, sur chaque papier de travail revu, des initiales du superviseur et de la date. Dautres techniques de rvision qui fournissent une preuve de la revue incluent une checklist de rvision ou un mmorandum prcisant la nature, ltendue et les rsultats de la revue. 6. Les superviseurs peuvent prparer une liste crite des questions (notes de revue) souleves au cours de la revue. Au moment de la leve des points de revue, on doit prendre soin de sassurer que le dossier de travail contient dornavant les lments
16
OCTOBRE 2002
dmontrant que les questions souleves lors de la revue ont t rsolues. Les alternatives acceptables, en ce qui concerne la conservation des feuilles de notes, sont les suivantes : garder les notes de revue en tant qu'enregistrement des questions souleves par le superviseur et des actions prises pour les rsoudre ; liminer les notes de revue aprs que les problmes soulevs aient t rsolus et que les documents de travail ncessaires aient t modifis pour fournir les informations supplmentaires exiges.
OCTOBRE 2002
17
MPA SRIE 2400

Communication des rsultats
2400 C O M M U N I C A T I O N
DES
R S U LTAT S
LES AUDITEURS INTERNES DOIVENT COMMUNIQUER LES RSULTATS DE LA MISSION

MPA 2400-1 Communication des rsultats Aspects juridiques
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de la communication des rsultats de la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner lors de la communication des rsultats. Le respect des Modalits Pratiques dApplication est facultatif.
Remarque Les auditeurs internes sont invits consulter un conseiller juridique sur toutes les questions dordre juridique, les rgles applicables tant susceptibles de varier considrablement selon les pays. Les directives contenues dans la prsente Modalit Pratique dApplication reposent principalement sur le systme juridique amricain. 1. Les auditeurs internes doivent prendre toutes les prcautions ncessaires avant de mentionner dans leurs rapports ou leurs documents de travail des conclusions et des opinions concernant des infractions la loi et la rglementation ou toute autre question dordre juridique. Il est vivement recommand de mettre en place des procdures sur ce point et de travailler en troite collaboration avec les responsables comptents (conseiller juridique, Compliance Officer / dontologue, etc.). 2. Les auditeurs internes doivent rassembler des lments probants, mettre des jugements fonds sur des analyses, rendre compte des rsultats de leurs travaux et sassurer que des mesures correctives sont prises. Les impratifs de lauditeur interne, tenu de documenter les dossiers daudit, peuvent tre difficiles concilier avec ceux du conseiller juridique, soucieux de ne pas conserver les lments susceptibles de compromettre les moyens de dfense de lorganisation. En effet, mme si lauditeur interne mne une enqute dans les rgles de lart, les faits divulgus peuvent
JUIN 2004
remettre en cause largumentation du conseiller juridique. Une planification et des procdures appropries sont donc essentielles pour viter quune rvlation soudaine des faits ne provoque un dsaccord entre le conseiller juridique (de la socit) et lauditeur interne. Il convient de prciser, dans les procdures, le rle de chacun et le mode de communication. Par ailleurs, lauditeur interne et le conseiller juridique doivent favoriser au sein de lorganisation une culture thique et un comportement prventif en sensibilisant le management aux procdures. Les auditeurs internes doivent prendre les points suivants en considration, en particulier dans le cadre de missions dont les rsultats sont susceptibles dtre divulgus ou communiqus des personnes extrieures lorganisation. 3. Quatre lments sont ncessaires pour prserver le secret professionnel auquel est tenu lavocat. Il faut quil existe : une communication, faite en toute confidentialit, entre des personnes protges par le secret professionnel, en vue de fournir une assistance juridique au client. Le secret professionnel, dont le principal objet est de protger les informations communiques aux avocats, peut galement sappliquer aux informations communiques des tiers travaillant avec lavocat. 4. Certaines juridictions ont admis lexistence dun droit dauto-analyse critique qui permet de prserver la confidentialit de documents dauto-critique tels que les dossiers daudit. En rgle gnrale, la reconnaissance de ce droit repose sur le postulat selon lequel la confidentialit des analyses effectues dans les cas examins prime sur lintrt gnral, comme en tmoigne largumentation suivante extraite dun jugement :
Le droit danalyse auto-critique a t admis sous certaines conditions afin de prserver la confidentialit de certaines auto-valuations critiques. Il permet aux personnes physiques ou aux organisations de sassurer quelles respectent les rgles lgales et rglementaires sans pour autant gnrer de preuves susceptibles dtre retenues leur encontre par la partie adverse en cas de litige ultrieur. Cette doctrine est fonde sur lide quune telle auto-valuation critique encourage limportance accorde par le public au respect du droit.
5. En rgle gnrale, la protection par le secret professionnel implique le respect de trois conditions : il faut que les informations protges par le secret proviennent dune analyse autocritique entreprise par la partie qui invoque le secret ; il faut que la protection des informations contenues dans lanalyse critique soit manifestement dicte par lintrt gnral ;
4
OCTOBRE 2002
SRIE 2400 - COMMUNICATION DES RSULTATS
il faut quil sagisse dinformations dont la divulgation ventuelle aurait pour effet den restreindre le flux. Dans certains cas, les tribunaux ont galement recherch si lanalyse critique a prcd ou provoqu le prjudice caus au plaignant, ou si elle est intervenue aprs les vnements qui sont lorigine de la plainte, auquel cas le maintien du secret est parfaitement justifi. 6. Dune faon gnrale, les tribunaux ont t plus rticents admettre lexistence dun droit au secret fond sur lauto-valuation lorsque la demande de transmission des documents mane dune administration publique au lieu dune personne prive ; cette attitude est vraisemblablement lie au fait que le respect du droit revt un plus grand intrt pour ltat. Le secret fond sur lauto-valuation est particulirement adapt aux fonctions et aux activits qui ont mis en place des procdures dautorglementation telles que, par exemple, les hpitaux, les agents de change et les cabinets dexpertise comptable. La plupart de ces procdures sont associes des procdures dassurance qualit qui viennent complter une activit oprationnelle telle que laudit financier. 7. Pour bnficier de la protection par le secret, les documents doivent, selon la doctrine, satisfaire trois conditions. Il faut que ces documents aient t tablis : dans le cadre de travaux (il peut sagir de mmos, programme informatique par exemple) ; en prvision dun litige ; et par un reprsentant de lavocat. 8. Les documents tablis avant toute relation entre lavocat et son client ne sont pas protgs en vertu de cette doctrine qui ne prvoit aucune protection en cas de remise de tels documents lavocat. En outre, lapplication de la doctrine est soumise des conditions. En effet, les documents ne sont pas protgs si la transmission des informations rpond un besoin substantiel et si ces informations ne peuvent tre obtenues autrement sans effort excessif. Ainsi, dans laffaire Grand Jury, le comit daudit de la socit avait conduit des entretiens en vue de dterminer si des paiements douteux avaient t effectus ltranger. Son rapport a bnfici de la protection par le secret en vertu de la doctrine ci-dessus, lexception des extraits correspondant aux entretiens mens avec des personnes dcdes.
OCTOBRE 2002
2410
Contenu de la communication
La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions.
Les prcdentes Normes s'arrtaient, en ce qui concerne le contenu de la communication, aux recommandations. L'incorporation dans le rapport des plans d'actions des audits tait nanmoins la pratique de certains Services d'audit interne (les autres demandaient ces plans d'actions en rponse aux recommandations contenues dans le rapport). C'est maintenant dans les Normes : l'audit interne n'apporte rellement de la valeur ajoute que si ses recommandations dclenchent des plans d'actions (qui sont mis en uvre... D'o la ncessit d'un contrle de l'avancement des suites donnes) : le rapport n'est pas complet, et la mission non termine, s'il ne les comporte pas.
MPA 2410-1 Contenu de la communication

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lors de la communication des rsultats de la mission. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner lors de la communication des rsultats. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le format et le contenu des rapports daudit peuvent varier dune organisation lautre ainsi que dun type de mission lautre. Cependant, ces rapports doivent contenir, au minimum, les objectifs, le champ et les rsultats de laudit. 2. Les rapports daudit peuvent comporter des informations sur le contexte et des synthses. Les informations sur le contexte peuvent prsenter les units et activits examines et fournir des explications utiles. L'tat des observations, conclusions et recommandations des rapports prcdents peut aussi tre repris ; on peut aussi indiquer si cet audit est une mission inscrite au plan daudit ou rpondant une demande particulire. Si des synthses sont incluses, elles doivent constituer un expos proportionn du contenu du rapport. 3. L'expos de l'objet de la mission doit dcrire les objectifs et peut, si ncessaire, informer le lecteur des motifs de la mission et des rsultats escompts.
6
OCTOBRE 2002
4. Lexpos du champ de la mission doit prciser les activits audites et comporter, au besoin, des informations complmentaires telles que la priode couverte, la nature et l'tendue des travaux. Les activits connexes non examines doivent tre mentionnes, si cela est ncessaire, pour prciser les limites de lintervention. 5. Les rsultats doivent comprendre les observations, les conclusions (opinions), les recommandations et les plans d'actions. 6. Les observations sont des exposs pertinents des faits. Les observations servant dappui aux conclusions et recommandations ou permettant dviter un malentendu doivent tre incluses dans le rapport. Les informations ou observations moins importantes peuvent tre communiques de manire informelle. 7. Les observations et recommandations sont le rsultat dun processus de comparaison entre ce qui devrait tre et ce qui est. Lorsque les situations sont conformes au rfrentiel, il peut tre appropri de faire tat dans le rapport daudit dun fonctionnement satisfaisant. Les observations et recommandations doivent tre fondes sur les caractristiques suivantes : des rfrentiels : les normes, mesures ou standards utiliss pour valuer ou vrifier (ce qui devrait exister) ; des faits : les preuves factuelles identifies par lauditeur interne au cours de son examen (ce qui existe rellement) ; des causes : lexplication de la diffrence entre les situations concrtes attendue et existante (la raison de cette diffrence) ; des consquences : le risque ou le danger encouru par lorganisation ou d'autres, du fait que les situations diffrent du rfrentiel (limpact de la diffrence). Pour dterminer l'importance du risque ou de l'enjeu, les auditeurs internes doivent prendre en considration les consquences de leurs observations et recommandations sur le fonctionnement et les tats financiers de l'organisation ; les observations et recommandations peuvent aussi inclure les amliorations de lentit, des questions connexes et des informations destines tayer les conclusions, si elles ne figurent nulle part ailleurs. 8. Les conclusions (opinions) sont les valuations par lauditeur interne des consquences des observations et recommandations sur les activits audites. Habituellement, elles situent les observations et recommandations dans la perspective de leurs implications globales. Les conclusions, lorsquelles sont incluses dans le rapport daudit, doivent tre clairement exposes comme telles. Elles peuvent porter sur l'ensemble du champ audit ou sur des aspects particuliers. Elles peuvent exposer, tout en n'tant pas limites cela, dans quelle mesure les objectifs oprationnels et les programmes sont conformes ceux de lorganisation, les buts et objectifs de l'organisation sont atteints, et lactivit examine fonctionne comme prvu.
OCTOBRE 2002
9. Les rapports doivent comprendre des recommandations sur les amliorations possibles et faire tat des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont fondes sur les observations et conclusions de lauditeur interne. Elles appellent des actions destines corriger les situations existantes ou amliorer le fonctionnement. Les recommandations peuvent suggrer des approches visant corriger ou amliorer le fonctionnement, approches que le management peut utiliser comme guide pour atteindre les rsultats voulus. Les recommandations peuvent tre de nature gnrale ou spcifique. Par exemple, dans certains cas il peut tre opportun de recommander une ligne de conduite gnrale et des propositions spcifiques de mise en uvre. Dans dautres cas, il peut tre prfrable de suggrer seulement un examen ou une tude complmentaires. 10. Les ralisations effectues par laudit, qu'il s'agisse d'amliorations apportes depuis le dernier audit, ou de la mise en place dun fonctionnement bien contrl, peuvent figurer dans le rapport. Cette information peut tre ncessaire pour reprsenter fidlement la situation actuelle, offrir une perspective approprie et assurer un quilibre convenable dans le rapport daudit. 11. Le point de vue de laudit sur les conclusions ou les recommandations de laudit peut figurer dans le rapport daudit. 12. Dans le cadre des discussions entre lauditeur interne et laudit, lauditeur interne doit tenter dobtenir laccord de l'audit sur les rsultats de laudit et sur un plan daction visant amliorer le fonctionnement si ncessaire. Si lauditeur interne et laudit ne sentendent pas sur les rsultats de laudit, le rapport d'audit peut mentionner les deux positions ainsi que les raisons du dsaccord. Les commentaires crits de laudit peuvent tre inclus en annexe au rapport ; ou bien les opinions de laudit peuvent tre prsentes dans le corps du rapport ou dans une lettre de couverture. 13. Parfois, certains renseignements ne peuvent tre dvoils tous les destinataires du rapport, parce quil sagit de renseignements couverts par le secret professionnel, protgs ou relatifs des actes irrguliers ou illgaux. Ces informations peuvent, toutefois, tre incluses dans un rapport distinct. Si les faits dont lauditeur interne fait tat impliquent la direction gnrale, le rapport doit tre adress au Prsident du comit daudit. 14. Des rapports intermdiaires peuvent tre utiliss pour communiquer des informations ncessitant une attention immdiate, pour signaler un changement dans le champ de la mission ou pour informer le management de lavancement des travaux lorsque la mission est de longue dure. Les rapports intermdiaires peuvent tre crits ou oraux, et peuvent tre transmis d'une manire officielle ou informelle. Lemploi de rapports intermdiaires ne rduit ni nlimine la ncessit d'un rapport dfinitif. 15. Un rapport sign doit tre mis la fin des travaux. Une note de synthse faisant ressortir les rsultats de laudit peut tre indique pour des niveaux de management
8
OCTOBRE 2002
suprieurs celui de laudit. Cette note peut tre mise conjointement avec le rapport dfinitif, ou sparment mais avec les mmes destinataires (sauf exception). Le terme sign signifie que l'auditeur autoris doit signer manuellement le rapport ; la signature d'une lettre de couverture est une alternative possible. L'auditeur autoris signer le rapport doit tre dsign par le responsable de l'audit interne. Si les rapports d'audit sont diffuss par des moyens lectroniques, un exemplaire sign manuellement doit tre archiv l'audit interne.
OCTOBRE 2002
2420
Qualit de la communication
La communication doit tre exacte, objective, claire, concise, constructive, complte et mise en temps utile.
MPA 2420-1 Qualit de la communication
Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des suggestions suivantes lorsquils prparent leurs communications. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner lors de la communication des rsultats. Le respect des Modalits Pratiques dApplication est facultatif.
1. Une communication exacte ne contient pas derreurs ou de dformations et est fidle aux faits sous-jacents. Les donnes et les preuves doivent tre collectes, values et synthtises puis prsentes avec soin et prcision. 2. Une communication objective est juste, impartiale, non biaise et rsulte dune valuation quitable et mesure de tous les faits et circonstances pertinents. Les constats, conclusions et recommandations doivent tre dvelopps et exprims sans prjug, esprit partisan, intrt personnel ni influence inapproprie. 3. Une communication claire est logique et facilement comprhensible. La clart peut tre amliore en vitant lutilisation dun langage excessivement technique et en fournissant toute linformation significative et pertinente. 4. Une communication concise va droit lessentiel et vite tout dtail superflu, tout dveloppement non ncessaire, toute redondance ou verbosit. Elle rsulte de rvisions et corrections permanentes des communications. Lobjectif est dexprimer la pense compltement, avec le minimum de mots possible.
Les besoins et donc les critres de concision diffrent selon les publics cibles : les audits et leur hirarchie immdiate veulent un document complet, dtaill et ventuellement technique pour adhrer aux raisonnements de l'auditeur ; la direction gnrale, qui veut tre informe mais n'a pas rsoudre les problmes, veut seulement l'essentiel, une contraction de texte sans dmonstration.
10
OCTOBRE 2002
5. Une communication constructive aide laudit et lorganisation, et conduit des amliorations lorsquelles sont ncessaires. Le contenu et le ton du discours doivent tre utiles, motivants et bienveillants, et aider lorganisation atteindre ses objectifs.
La direction gnrale est habitue aux rapports d'audit, mais de nombreux audits ne le sont pas. Il est alors utile de leur donner des indications de lecture sous la forme de remarques liminaires. A titre dexemples : Ce document est un rapport d'audit interne. Il vous est demand de ne pas le diffuser car il contient des informations confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements pour faire dvelopper des actions de progrs mais il noublie pas de noter, en quelques phrases, ce qui fonctionne correctement. Il contient des recommandations. Une recommandation est une solution propose au responsable habilit mener l'action. Celui-ci est en charge de dvelopper et mettre en place une solution au problme soulev : celle propose ou une meilleure.
6. Une communication complte n'omet rien qui soit essentiel aux destinataires cibles. Elle intgre toute linformation significative et pertinente, ainsi que les observations permettant dtayer les recommandations et conclusions. Son contenu comporte les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions (cf. Norme 2410). 7. Une communication opportune est mise en temps utile pour prise en considration attentive par ceux qui sont susceptibles dagir la suite des recommandations. La prsentation des rsultats de la mission doit tre tablie sans dlai excessif et avec lurgence ncessaire pour permettre une action prompte et efficace.
OCTOBRE 2002
11
2440
Diffusion des rsultats

Le responsable de l'audit interne doit diffuser les rsultats aux destinataires appropris.
2440.A1
Le responsable de l'audit interne est charg de communiquer les rsultats dfinitifs aux personnes mme dassurer que ces rsultats recevront l'attention ncessaire.
2440.A2
Sauf indication contraire de la loi, de la rglementation ou des statuts, le responsable de laudit doit accomplir les tches suivantes avant de diffuser les rsultats des destinataires ne faisant pas partie de lorganisation : valuer les risques potentiels pour lorganisation ; consulter la direction gnrale et/ou, selon les cas, un conseil juridique ; matriser la diffusion en imposant des restrictions quant lutilisation des rsultats.
MPA 2440-1 Destinataires des rsultats de la mission

Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes au moment de diffuser les rsultats. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les auditeurs internes doivent dbattre leurs conclusions et recommandations avec les responsables appropris avant d'mettre leur rapport dfinitif.
12
JUIN 2004
Ceci sera facilit si le management audit a t considr tout au long de la mission comme un partenaire.
2. Le dbat sur les conclusions et les recommandations seffectue habituellement durant la mission daudit ou lors des runions de fin de mission (runions de clture). Une autre technique est lexamen, par le management de l'activit audite, des problmes, observations et recommandations prvus. Ces dbats et examens contribuent donner lassurance quil ny a pas eu de malentendus ni de fausses interprtations des faits et offrent lentit audite loccasion de clarifier certains points particuliers et dexprimer son opinion sur les observations, les conclusions et les recommandations. 3. Le niveau hirarchique des participants aux discussions et aux examens peut varier dune organisation lautre et dun rapport un autre ; toutefois, les participants comprendront gnralement les personnes qui connaissent prcisment les oprations audites et celles qui sont en mesure dautoriser la mise en uvre de mesures correctrices. 4. Le responsable de l'audit interne ou son dlgu doivent revoir, approuver et signer le rapport dfinitif avant son mission, et dcider qui il sera adress. Si des circonstances particulires le justifient, il peut tre envisag que lauditeur concern, le Chef de mission ou le superviseur signent le rapport en tant que reprsentant du responsable de l'audit interne. 5. Les rapports doivent tre adresss aux membres de lorganisation qui peuvent sassurer que les rsultats de laudit recevront lattention ncessaire. Le rapport doit donc tre envoy aux personnes qui se trouvent dans une position leur permettant dentreprendre les actions correctives qui simposent ou dassurer que de telles mesures seront prises. Le rapport dfinitif doit tre adress au management de lunit audite. Les membres de lorganisation occupant un poste plus lev dans la hirarchie peuvent ne recevoir qu'une note de synthse. Quand les rapports doivent tre communiqus dautres personnes intresses ou concernes, par exemple les auditeurs externes, il faut sassurer quelles sont rellement astreintes au secret professionnel sur les points mentionns dans le rapport.
Rappelons quen France, dans le secteur bancaire, les rapports daudit sont tenus la disposition des Commissaires aux comptes en application de larticle 41 du Rglement 97/ 02 du CRBF, remplac par le Rglement 2000-01.
JUIN 2004
13
MPA 2440-2 Diffusion des rsultats lextrieur de l'organisation

Nature de cette Modalit Pratique dApplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes sils sont amens diffuser des informations en dehors de lorganisation. Ce cas peut se produire lorsque les auditeurs internes sont invits adresser un rapport ou dautres informations un tiers extrieur lorganisation pour lequel les travaux daudit interne ont t effectus. La prsente MPA contient une srie dlments prendre en compte et na pas pour but de procder un expos exhaustif de tous les points examiner. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les auditeurs internes doivent examiner les directives contenues dans la lettre de mission ou dans les procdures relatives la diffusion dinformations en dehors de lorganisation. La charte de l'audit interne et celle du comit daudit peuvent galement contenir des directives concernant la diffusion dinformations en dehors de lorganisation. A dfaut de telles directives, lauditeur interne doit faciliter ladoption de procdures appropries par lorganisation. Voici quelques exemples dinformations qui peuvent figurer dans les procdures : autorisation requise pour diffuser des informations en dehors de lorganisation ; processus dautorisation en cas de diffusion dinformations en dehors de lorganisation ; directives concernant la nature des informations dont la diffusion est ou nest pas autorise ; personnes extrieures autorises recevoir des informations et nature des informations qui peuvent leur tre communiques ; rgles relatives la confidentialit, obligations prvues par la rglementation, et points juridiques examiner avant toute diffusion dinformations en dehors de lorganisation ; nature des conclusions, conseils, recommandations, opinions, directives, et autres informations pouvant figurer dans les messages destins tre diffuss en dehors de lorganisation. 2. Les demandes peuvent concerner des informations qui existent dj, par exemple un rapport daudit interne dj diffus. Elles peuvent galement porter sur des informations qui restent obtenir ou produire dans le cadre dune nouvelle mission daudit interne. Dans le premier cas, lauditeur interne doit examiner les informations et dcider si elles peuvent tre diffuses en dehors de lorganisation. 3. Dans certains cas, des informations ou un rapport existants peuvent tre rviss pour les rendre aptes tre diffuss en dehors de lorganisation. Dans d'autres cas il est
14
OCTOBRE 2002
possible quun nouveau rapport soit tabli sur la base de travaux dj raliss. La rvision, ladaptation ou la cration dun rapport partir de travaux prcdents doivent tre effectues avec conscience professionnelle. 4. Avant toute diffusion dinformations en dehors de lorganisation, il convient dexaminer les points suivants : ncessit dobtenir un accord crit sur les informations diffuser ; identification des sources dinformation, des signataires du rapport, des destinataires des informations et des personnes ayant un lien avec le rapport ou les informations diffuses ; identification des objectifs, des limites et des procdures respecter pour produire les informations concernes ; nature du rapport ou des autres informations communiques, notamment opinions, recommandations, impossibilit de se prononcer, limitations, et type de certification ou de dclaration fournir ; droits de reproduction et restrictions concernant la diffusion ou l'utilisation ultrieures des informations. 5. Les missions ayant pour objet de produire des rapports daudit interne ou des documents destins tre diffuss en dehors de lorganisation doivent tre conduites conformment aux Normes pour la Pratique Professionnelle de lAudit Interne, et mention de ces Normes doit tre faite dans le rapport ou dans les autres documents. 6. Sil vient dcouvrir, au cours dune mission dont lobjet est de diffuser des informations en dehors de lorganisation, des informations dont il est cens rendre compte la Direction ou au Comit dAudit, lauditeur interne doit fournir toutes les informations appropries aux personnes concernes.
Des informations dlicates destines a priori la direction gnrale ou au comit daudit tant susceptibles dtre connues lextrieur de lorganisation, il convient de prsenter les faits dont ont eu connaissance les auditeurs internes avec intelligence, prudence et circonspection.
OCTOBRE 2002
15
MPA 2440-3 La communication dinformations sensibles par la voie hirarchique ou en marge de celle-ci Interprtation des Normes 2440 Diffusion des rsultats , et 2600 Acceptation des risques par la direction gnrale, et des rgles de conduite figurant dans le Code de dontologie Intgrit et confidentialit
Nature de cette Modalit Pratique dApplication Il peut arriver quun auditeur interne dcouvre des informations concernant des risques, menaces, incertitudes, fraudes, gaspillages, fautes de gestion, activits illgales, abus de pouvoir, fautes portant atteinte la sant ou la scurit publiques, ou dautres mfaits. Dans certains cas, ces informations nouvelles ont des consquences importantes et doivent tre tayes par des lments probants substantiels et crdibles. Lauditeur interne est alors confront un dilemme complexe, dans lequel entrent souvent en jeu les disparits culturelles, les diffrences lies aux pratiques du monde des affaires, les structures juridiques, les lois nationales et rgionales, ainsi que les normes professionnelles, les codes dthique et les valeurs personnelles. La dmarche adopte par lauditeur interne pour rsoudre la situation peut entraner des reprsailles et, le cas chant, engager sa responsabilit. Compte tenu de ces risques et de leurs rpercussions, lauditeur interne doit prendre soin de bien peser le caractre probant et raisonnable de ses conclusions. Il doit examiner les diverses mesures envisageables pour communiquer les informations sensibles aux personnes qui sont habilites rsoudre le problme et mettre un terme aux oprations irrgulires. Dans certains pays, des mesures spcifiques peuvent tre prescrites par la lgislation ou la rglementation locale. La prsente MPA vise stimuler la rflexion sur les nombreux problmes et dfis auxquels lauditeur interne peut tre confront dans ce type de situation. Elle contient des informations, ainsi que des suggestions concernant les facteurs qui peuvent tre pris en compte par lauditeur, mais elle na pas pour objet de procder un examen exhaustif de la question, ni de fournir lauditeur des conseils juridiques ou un avis dexpert. Les auditeurs internes doivent consulter un conseiller juridique lorsque la situation est sensible et a des consquences significatives. La prsente MPA a t labore avec le plus grand soin et aprs mre rflexion. Toutefois, lIIA et lIFACI ne sont pas responsables de lusage qui est fait des informations contenues dans la prsente MPA, ni de son application dans la pratique des situations particulires. Ils ne garantissent nullement que les mesures prconises seront couronnes de succs. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les auditeurs internes ont souvent connaissance dinformations trs sensibles et
16
JUIN 2004
importantes pour lorganisation et qui peuvent avoir des consquences significatives. Ces informations peuvent concerner des risques, incertitudes, fraudes, gaspillages, fautes de gestion, activits illgales, abus de pouvoir, fautes portant atteinte la sant ou la scurit publiques, ou dautres mfaits. Ces diffrents lments peuvent porter prjudice la rputation de lorganisation, son image, sa comptitivit, sa russite, sa viabilit, sa valeur boursire, ses investissements et ses actifs incorporels ou ses bnfices. Ils sont susceptibles daccrotre son exposition aux risques.
Communication des informations sensibles par la voie hirarchique et fonctionnelle

2. Sil estime que les informations nouvelles sont importantes et crdibles, lauditeur interne les communique en principe, dans des dlais appropris, aux membres du management qui sont en mesure dagir. Dans la plupart des cas, ces communications rsoudront la question du point de vue de laudit interne, dans la mesure o le management prendra des mesures appropries pour grer les risques en cause. Sil savre, suite ces communications, que le management expose lorganisation un degr de risque inacceptable en raison de mesures inappropries ou insuffisantes, le responsable de laudit interne doit envisager dautres mesures afin daboutir une solution satisfaisante. 3. Parmi les mesures envisageables, figure la possibilit pour le responsable de laudit interne dinformer la direction gnrale, par voie hirarchique normale, de ses craintes quant aux risques encourus. Le responsable de laudit interne tant en principe rattach fonctionnellement aux membres du comit daudit manant du Conseil (ou de tout autre comit en tenant lieu), ceux-ci seront normalement informs de ses craintes. Si, lissue de ses entretiens avec la direction gnrale, le responsable de laudit interne na toujours pas obtenu satisfaction et en conclut quelle expose lorganisation un degr inacceptable de risque et quelle ne prend pas les mesures appropries pour mettre un terme ou remdier la situation, la direction gnrale et le responsable de laudit interne doivent alors rendre compte des informations essentielles et de leurs divergences dopinion au Conseil ou un comit manant de celui-ci. 4. Ce scnario classique de communication peut tre acclr, pour certains types dvnements sensibles, en vertu de dispositions lgales nationales, de rglementations ou de pratiques courantes. Par exemple, en cas de publication de fausses informations financires par une socit cote aux tats-Unis, la rglementation prvoit lobligation dinformer sans dlai le comit daudit des circonstances entourant le risque de publication de rapports financiers trompeurs et ce, mme si la direction gnrale et le responsable de laudit interne sont daccord, pour lessentiel, sur les mesures prendre. Les lois et rglements dans plusieurs pays prvoient lobligation dinformer les membres du Conseil ou le comit qui en mane de la dcouverte dune infraction aux lois pnales, aux lois relatives aux titres de socits, aux denres ali JUIN 2004
17
mentaires, aux stupfiants ou la pollution, ou de tout autre acte illgal, tel que la corruption ou toute autre forme de versement irrgulier effectu en faveur de fonctionnaires ou dagents de fournisseurs ou de clients.
Communications en marge de la voie hirarchique et fonctionnelle

5. Lauditeur interne peut, dans certains cas, tre amen envisager de communiquer les informations dcouvertes des personnes qui il nest pas rattach, ou mme lextrieur de lorganisation. Le fait de divulguer des informations ngatives une personne de lorganisation en marge de la voie hirarchique et fonctionnelle habituelle de lintress, ou une administration ou une autre instance entirement extrieure lorganisation, est communment dsign par lexpression droit dalerte ( whistleblowing , soit littralement tirer la sonnette dalarme). 6. La plupart des tudes relatives au droit dalerte indique que la majorit des personnes donnant lalerte divulgue les informations sensibles en interne, si ncessaire en marge de leur ligne de rattachement, en particulier si elles ont confiance dans la capacit des procdures et des dispositifs en place dans lorganisation dclencher une enqute et les mesures appropries en cas dallgation dopration illgale ou irrgulire. Toutefois, il peut arriver que certaines personnes en possession dinformations sensibles dcident de les divulguer en dehors de lorganisation, en particulier si elles redoutent des reprsailles de la part de leur employeur ou de salaris, si elles doutent que laffaire fasse lobjet dune enqute approprie, si elles pensent quelle sera dissimule ou si elles dtiennent la preuve dune opration illgale ou irrgulire mettant en pril la sant, la scurit ou le bien-tre de membres de lorganisation ou de la communaut. La principale motivation des personnes qui donnent lalerte et qui agissent en toute bonne foi, est de mettre un terme aux agissements illgaux, dommageables ou irrguliers. 7. Lauditeur interne, lorsquil est confront ce type de dilemme et quil doit envisager toutes les options possibles, doit valuer les diffrents moyens de communiquer le risque une personne ou un groupe qui ne fait pas partie de sa voie hirarchique et fonctionnelle. tant donn les rpercussions et les risques lis ces approches, lauditeur interne doit prendre soin de bien peser le caractre probant et raisonnable de ses conclusions et dexaminer les avantages et inconvnients de chacune des mesures envisageables. Une dmarche de ce type peut savrer approprie pour lauditeur si elle doit aboutir ladoption de mesures responsables par la direction gnrale ou les personnes impliques dans le gouvernement dentreprise, tels que les membres du Conseil ou de lun de ses comits. Il est probable que lauditeur interne nenvisagera quen dernier ressort de communiquer ces informations lextrieur du dispositif de gouvernement dentreprise de lorganisation. Il nagira ainsi que dans les rares cas o il est convaincu de la gravit du risque et de ses consquences ventuelles, et sil estime quil existe de fortes probabilits pour que la direction gnrale de
18
JUIN 2004
lorganisation, et son dispositif de gouvernement dentreprise, naient pas la capacit ou la volont de grer efficacement le risque. 8. De nombreux pays membres de lOCDE (Organisation de Coopration et de Dveloppement conomiques) ont adopt des lois ou des rglements administratifs en vertu desquels les fonctionnaires qui ont connaissance dactes illgaux ou contraires lthique sont tenus dinformer un Inspecteur gnral, un autre fonctionnaire, ou un mdiateur. Certaines lois nationales relatives aux actions du type droit dalerte protgent les citoyens qui sapprtent divulguer certains types dirrgularits. Les irrgularits numres par les lois et rglements de ces pays comprennent notamment : les infractions criminelles et les autres infractions la loi ; les actes assimils des dnis de justice ; les actes mettant en pril la sant, la scurit ou le bien-tre des personnes ; les actes dommageables pour lenvironnement ; les oprations destines dissimuler ou couvrir les actes ci-dessus. Dautres pays ne disposent daucune directive ni daucun systme de protection. Lauditeur interne doit tre inform des lois et rglements des divers pays dans lesquels opre lorganisation, et il doit prendre des mesures conformes ces obligations lgales. Il doit envisager de consulter un conseiller juridique en cas de doute sur les dispositions lgales en vigueur.
En France, la Loi (article 40 du code de procdure pnale) impose tout fonctionnaire de signaler au Parquet des dlits ou faits susceptibles de constituer des dlits. Cette obligation est d'autant plus imprative que le fonctionnaire a une position de responsabilit lui permettant d'avoir une vue complte du problme. Le non-signalement volontaire est bien entendu sanctionn, et peut d'ailleurs tre constitutif d'une complicit. noter que, depuis 1996, les infractions au code des marchs publics sont des dlits. Ceci a donc trs fortement augment le champ effectif d'application de l'article 40. La Fonction publique est d'abord rgie par le principe de lgalit quel que soit le principe d'obissance hirarchique. L'arrt du Conseil d'tat Commissaires de police Algrie , rendu en 1959, reconnat aux fonctionnaires le droit de refuser un ordre manifestement illgal . En outre, ces piliers sont conforts par le dveloppement de rgles de dontologie , par le renforcement des contrles internes et externes, et enfin par le dveloppement de la transparence (spontane ou impose : mdiateur).
9. De nombreuses associations professionnelles imposent leurs membres lobligation de divulguer les agissements illgaux ou contraires lthique. Le caractre distinc JUIN 2004
19
tif dune profession rside dans le fait quelle accepte des responsabilits tendues envers le public et quelle entend prserver le bien-tre gnral. Outre lexamen des obligations lgales, les membres de lInstitut, ainsi que tous les auditeurs internes CIA doivent suivre les rgles prescrites par le Code de dontologie de lIIA en matire dagissements illgaux ou contraires lthique.
LIFACI, sollicit par la Commission Bancaire sur son document consultatif sur laudit interne dans les organisations bancaires (juillet 2000), a pris ce sujet une position trs claire : la mission dalerte des auditeurs internes doit concerner exclusivement les organes de dcision internes, Direction Gnrale, Conseil dAdministration et, sil existe, le Comit dAudit. LIFACI prconise que le responsable de laudit interne ait un devoir dalerte vis--vis du comit daudit pour des faits minemment graves commis par la Direction Gnrale et pouvant mettre en danger la continuit dexploitation, condition que ces faits soient avrs et que le rle de laudit interne en la matire soit dment explicit dans une charte dthique. En revanche, pour ce qui est du rle dalerte que laudit interne pourrait jouer auprs des superviseurs bancaires et des Commissaires aux comptes, cette ventualit ne parat pas approprie. La Commission Bancaire a adopt le mme point de vue. Elle considre en effet que le fait dimposer aux auditeurs internes une obligation dalerte auprs des tiers (Commission Bancaire, Commissaires aux comptes, ) pourrait tre de nature affaiblir leur position et leur crdibilit au sein des entreprises, ce qui nuirait lefficacit de leurs contrles .
Dcision de lauditeur interne

10. Lauditeur interne est tenu, par devoir professionnel et par souci dthique, de peser avec soin le caractre probant et raisonnable de ses conclusions, puis de dcider si dautres mesures sont ncessaires pour prserver les intrts de lorganisation, de ses parties prenantes, de la communaut extrieure ou des institutions de la socit. En outre, lauditeur doit tenir compte de lobligation de confidentialit impose par le Code de dontologie de lIIA, respecter la valeur et le caractre confidentiel des informations et sabstenir de les divulguer sans y tre dment habilit, sauf en cas dobligation lgale ou professionnelle. Lauditeur doit consulter un conseiller juridique et, le cas chant, dautres experts durant ce processus dvaluation. Ces consultations peuvent savrer utiles, notamment parce quelles permettent de connatre un autre point de vue sur les circonstances de laffaire et de recueillir un avis sur lincidence et les consquences ventuelles des diverses mesures envisageables. La dmarche adopte par lauditeur interne pour rsoudre ce type de situation complexe et sensible peut donner lieu des reprsailles et, le cas chant, engager sa responsabilit.
20
JUIN 2004
11. Lauditeur interne doit, en dfinitive, dcider en son me et conscience. La dcision de communiquer en marge de la voie hirarchique et fonctionnelle doit tre prise en connaissance de cause. Elle doit tre motive par des preuves suffisantes et crdibles concernant les agissements en cause, et par la ncessit de prendre dautres mesures en vertu dune obligation lgale, rglementaire, professionnelle ou dune rgle dthique. Le comportement de lauditeur doit tre dict par la volont de mettre un terme aux agissements illicites, dommageables ou irrguliers.
JUIN 2004
21
2440.C2
Au cours des missions de conseil, il peut arriver que des problmes relatifs aux processus de management des risques, de contrle et de gouvernement dentreprise soient identifis. Chaque fois que ces problmes sont significatifs pour lorganisation, ils doivent tre communiqus la Direction Gnrale et au Conseil.
Pour que le client d'une mission de conseil n'ait pas l'impression que sa confiance a t trahie, cette communication possible la direction gnrale et au Conseil doit figurer dans la charte (Norme 1000.C1) et avoir t rappele avant le dbut de la mission : lors de son acceptation et de sa planification.
22
OCTOBRE 2002
MPA SRIE 2500

Surveillance des actions de progrs
2500 S URVEILLANCE
DES ACTIONS DE PROGRS
LE RESPONSABLE DE L'AUDIT INTERNE DOIT METTRE EN PLACE ET TENIR JOUR UN SYSTME PERMETTANT DE SURVEILLER LA SUITE DONNE AUX RSULTATS COMMUNIQUS AU MANAGEMENT
Cette surveillance est plus aise, et partant plus efficace, quand l'activit d'audit interne est effectue par un Service interne l'entreprise. Elle reste obligatoire quand l'activit est externalise.
MPA 2500-1 Surveillance des actions de progrs Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils valuent la suite donne aux rsultats communiqus au management. La prsente Modalit Pratique dApplication na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le responsable de laudit interne doit tablir des procdures couvrant les aspects suivants : un dlai dans lequel le management doit rpondre aux observations et recommandations de l'audit ; une apprciation de la rponse du management ; une vrification de la rponse (si ncessaire) ; une mission de suivi (si ncessaire) ; une procdure pour porter, lattention du niveau appropri de management, les rponses/actions non satisfaisantes et lacceptation du risque qui en rsulte. 2. Certaines observations et recommandations de l'audit peuvent tre dune importance telle quelles ncessitent une action immdiate de la part du management. Ces situa OCTOBRE 2002
tions doivent tre surveilles par l'audit interne jusqu leur correction, en raison des consquences quelles peuvent avoir sur lorganisation. 3. Moyens utiliss pour rellement surveiller les progrs : notifier les observations et recommandations de l'audit aux niveaux appropris du management responsables dentreprendre les actions correctives ; collecter et valuer les rponses du management aux observations et recommandations de l'audit, pendant la mission ou dans un dlai raisonnable aprs la diffusion du rapport. Les rponses sont dautant plus utiles quelles comportent des informations suffisantes pour que le responsable de laudit interne puisse en apprcier la pertinence et le calendrier de mise en uvre ; obtenir du management des mises jour priodiques permettant dapprcier l'tat davancement de ses actions pour corriger les situations signales ; obtenir et apprcier les informations en provenance dautres entits de lorganisation ayant une responsabilit dans les procdures de suivi ou de correction ; rendre compte la Direction Gnrale ou au Conseil de lavancement des rponses aux observations et recommandations de l'audit.
2500.A1 Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont t effectivement mises en uvre par le management ou que la Direction Gnrale a accept de prendre le risque de ne rien faire.
MPA 2500.A1-1 Processus de suivi de la mission Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes lorsquils mettent en place un processus de suivi. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Les auditeur internes doivent sassurer quune action corrective a t entreprise et quelle atteint les rsultats escompts, ou que la Direction Gnrale ou le Conseil ont
4
OCTOBRE 2002
SRIE 2500 - SURVEILLANCE DES ACTIONS DE PROGRS
accept le risque de ne pas engager dactions correctives sur des observations figurant dans le rapport. 2. Le suivi par les auditeurs internes se dfinit comme un procd suivant lequel ils apprcient si les actions entreprises par le management, en rponse aux observations et recommandations, y compris celles de l'audit externe ou d'autres intervenants, sont appropries, relles et entreprises temps. 3. La responsabilit du suivi doit tre dfinie par crit dans la charte de laudit interne. La nature, le calendrier et l'tendue du suivi doivent tre fixs par le responsable de laudit interne. Les facteurs prendre en considration pour dterminer les procdures de suivi appropries sont : limportance des observations et recommandations ; le niveau deffort et de cot ncessaire pour corriger les situations ; limpact que pourrait avoir lchec de laction corrective ; la complexit de la correction ; les dlais. 4. Il peut y avoir des cas o le responsable de laudit interne juge que la rponse crite ou orale du management montre que l'action dj entreprise est suffisante en regard de limportance relative de l'observation et de la recommandation de l'audit. Dans de tels cas, le suivi peut tre fait au cours de la mission suivante.
Ceci implique que, dans les autres cas, l'audit interne doit effectuer un suivi spcifique.
5. Les auditeurs doivent sassurer que les actions prises suite aux observations et recommandations corrigent les situations sous-jacentes. 6. Le responsable de laudit interne a la charge de planifier les activits de suivi comme faisant partie de la planification des missions. La planification du suivi doit tre fonde sur les risques encourus, ainsi que sur le niveau de difficult et le dlai de mise en place des actions de correction.
OCTOBRE 2002
MPA SRIE 2600

Acceptation des risques par la Direction Gnrale
2 6 0 0 A C C E P TAT I O N D E S R I S Q U E S PA R L A D I R E C T I O N G N R A L E
LORSQUE LE RESPONSABLE DE L'AUDIT INTERNE ESTIME QUE LA DIRECTION GNRALE A ACCEPT UN NIVEAU DE RISQUE RSIDUEL QUI POURRAIT SAVRER INACCEPTABLE POUR L'ORGANISATION, IL DOIT EXAMINER LA QUESTION AVEC ELLE. S'ILS NE PEUVENT ARRTER UNE DCISION CONCERNANT LE RISQUE RSIDUEL, ILS DOIVENT SOUMETTRE LA QUESTION AU CONSEIL AUX FINS DE RSOLUTION.
lvidence, la mise en uvre de cette norme savre particulirement dlicate pour le responsable de laudit interne. Elle devra tre en consquence applique avec sagesse et prudence. Sa mise en uvre devrait tre facilite si, comme le prvoit la loi du 15 mai 2001 relative aux Nouvelles Rgulations Economiques, le Conseil dadministration de lorganisation a choisi de nommer un directeur gnral diffrent du prsident du Conseil dadministration et si le responsable de laudit interne entretient une relation forte et suivie avec le comit daudit et son prsident. Mais l aussi, les rgles du jeu devront tre trs claires pour tous les acteurs ce qui signifie quelles devront tre explicites tant dans la Charte daudit interne que dans celle du comit daudit.
MPA 2600-1 Acceptation des risques par la direction gnrale

Nature de cette modalit pratique dapplication : Il est conseill aux auditeurs internes de tenir compte des recommandations suivantes concernant lacceptation des risques par le management. La prsente MPA na pas pour but de procder un expos exhaustif des points examiner. Elle a seulement pour objet de recommander la prise en compte dun ensemble dlments. Le respect des Modalits Pratiques dApplication est facultatif. 1. Le management a la responsabilit de dcider laction adquate engager en rponse aux observations et recommandations signifies lissue de la mission. Le respon JUIN 2004
sable de laudit interne a la responsabilit dvaluer si cette action apportera temps une solution aux problmes relevs dans les observations et recommandations de l'audit. Pour dcider de l'tendue du suivi, les auditeurs doivent prendre en considration les autres procdures de suivi de lorganisation. 2. Comme dcrit dans la Modalit Pratique dApplication 2060-1 de ces Normes, la direction gnrale peut dcider daccepter le risque de ne pas corriger la situation constate, pour des raisons de cot ou dautres considrations. Le Conseil doit tre inform de la dcision de la direction gnrale sur toutes les observations et recommandations importantes de l'audit.
OCTOBRE 2002

Normes Professionnelles

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Normes Professionnelles

Transféré par

Droits d'auteur :

Formats disponibles

NORMES PROFESSIONNELLES

accompagnes des commentaires de lIFACI

Annexes : The IIA Professional Practices Framework (PPF)

Cadre de rfrence des Pratiques Professionnelles

Normes de mise en uvre

Normes de mise en uvre

Dfinition de lAudit Interne

Dfinition de lAudit Interne

Modalits pratiques dapplication Accompagnement au dveloppement professionnel

Dfinition et Code de dontologie

DFINITION DE LAUDIT INTERNE (1)

PRAMBULE : POURQUOI UN CODE DE DONTOLOGIE

Champ dapplication et caractre obligatoire

Normes de fonctionnement Glossaire

1100 Indpendance et objectivit

1110 Indpendance dans l'organisation

1120 Objectivit individuelle

1130 Atteintes l'indpendance et l'objectivit

1200 Comptence et conscience professionnelle

1220 Conscience professionnelle

1340 Indication de non-conformit

2020 Communication et approbation

2030 Gestion des ressources

2040 Rgles et procdures

2060 Rapports au Conseil et la Direction Gnrale

2100 Nature du travail

2110 Management des risques

2130 Gouvernement d'entreprise

2200 Planification de la mission

2201 Considrations relatives la planification

2210 Objectifs de la mission

2220 Champ de la mission

2230 Ressources affectes la mission

2240 Programme de travail de la mission

2300 Accomplissement de la mission

2310 Identification des informations

2320 Analyse et valuation

2330 Documentation des informations

2340 Supervision de la mission

2400 Communication des rsultats

2410 Contenu de la communication

2420 Qualit de la communication

2430 Indication de non-conformit aux Normes

2440 Diffusion des rsultats

2500 Surveillance des actions de progrs

2600 Acceptation des risques par la Direction Gnrale

Modalits pratiques dapplication

LES MODALITS PRATIQUES DAPPLICATION

Tableau rcapitulatif des mises jour

MPA 1000 Missions, pouvoirs et responsabilits MPA 1100 Indpendance et objectivit

MPA 1200 Comptence et consciences professionnelle

MPA 2100 Nature du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MPA 2200 Planification de la mission

MPA 2300 Accomplissement de la mission MPA 2400 Communication des rsultats

TABLEAU DE CORRESPONDANCE NORMES/MODALITS PRATIQUES DAPPLICATION

Normes de qualification 1200 Comptence et conscience professionnelle 1210 Comptence

Normes de mise en uvre

1312 valuations externes

Normes de mise en uvre

2020 Communication et approbation 2030 Gestion des ressources

2040 Rgles et procdures 2050 Coordination

Normes de fonctionnement 2060 Rapports au Conseil et la direction gnrale

Normes de mise en uvre

2100 Nature du travail

Normes de fonctionnement 2110 Management des risques