38 0 965KB
PRÉPARATION A L’EXAMEN CIA (CERTIFIED INTERNAL AUDITOR) PARTIE I : LES BASES DE L'AUDIT TEST PRELIMINAIRE PROPOSÉ PAR L'IIA QCM : 50QUESTIONS SOCIAD/ 04 MARS 2015 QUESTION 1 La direction des opérations d'une grande chaîne de vente au détail insiste pour que la fonction d'audit interne évalue l'efficacité des contrôles anti-fraude, contribue à sensibiliser l'ensemble du personnel aux problèmes de fraude et participe aux examens et enquêtes autour de fraudes potentielles. Quelles sont les pratiques et stratégies qui peuvent aider le responsable d'audit interne (RAI) à préserver l'indépendance et l'objectivité de l'activité d'audit interne ? I. L'envoi de communications périodiques sur les risques de fraude à la direction et au comité d'audit. II. Un dialogue avec la direction des opérations dans le but de fixer des objectifs d'évaluation des risques de fraude et de tenir le personnel informé. III. Une stratégie visant à encourager les auditeurs internes à respecter le Code de déontologie. IV. Un accord entre le RAI, la direction et le comité d'audit concernant les rôles et responsabilités de chacun. a. b. c. d.
I et IV seulement I,III et IV seulement Il, III et IV seulement Toutes les propositions précédentes
B: LOGIQUE Les structures d'audit interne doivent préserver leur indépendance et leur objectivité. Les RAI doivent définir et promouvoir ce que l'activité d'audit interne peut apporter à l'organisation tout en s'assurant que les frontières sont claires et que les attentes en matière d'audit interne sont réalistes. Les stratégies I, III et IV favorisent une communication appropriée et ouverte. Au début de chaque audit interne, la direction doit être informée du périmètre d'action et des objectifs de l'audit. Cependant, définir les objectifs des missions et tenir le personnel informé, en collaboration avec la direction des opérations, peut potentiellement nuire à l'indépendance et à l'objectivité de l'activité d'audit interne. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 2. QUESTION 2 Parmi les propositions suivantes, quelles tâches le contrôle interne peut-il effectuer ? I. Garantir la réussite organisationnelle. II. Garantir la survie organisationnelle. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 1
III. IV.
Garantir la fiabilité du reporting financier Garantir une conformité absolue avec les lois et les règlements a. b. c. d.
I, Il et III seulement Il, III et IV seulement I, II, III et IV Aucune des propositions ci-dessus.
D: LOGIQUE Les organisations ne doivent pas avoir des attentes irréalistes vis-à-vis du contrôle interne. Le contrôle interne peut constituer une aide pour atteindre les objectifs fixés, mais ne peut en garantir aucun. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre A, Rubrique 1. QUESTION 3 Pour promouvoir une image positive au sein de son organisation, un responsable d'audit interne (RAI) prévoit de mener des missions d'assurance mettant en évidence les économies de coûts potentielles. Les observations négatives ont été omises du rapport d'audit final. Quelle action entreprise par le RAI serait considérée comme une violation des Normes ? L'objet des missions d'audit a changé sans que la charte ne soit modifiée ou le comité d'audit consulté. Les observations négatives ont été omises du rapport d'audit final. Les recommandations d'économies de coûts ont été mises en avant dans le rapport d'audit final. a. b. c. d.
I seulement I et II seulement I et III seulement Il et III seulement
B: LOGIQUE Le RAI a complètement dénaturé la fonction d'audit sans consulter le comité d'audit ni modifier la charte d'audit interne. La norme de qualification 1000 stipule que la fonction, les pouvoirs et les responsabilités de l'activité d'audit interne doivent être formellement définis dans une charte d'audit interne, conformément à la Définition des activités d'audit interne, au Code de déontologie et aux Normes. Le responsable d'audit interne doit procéder à une révision périodique de la charte d'audit interne et la soumettre à l'approbation de la direction et du conseil. La norme de fonctionnement 2400 exige que les auditeurs internes communiquent les résultats des missions. La norme de fonctionnement 2420 stipule que les communications doivent être exactes, objectives, claires, concises, constructives, complètes et opportunes et l'interprétation de la Norme précise que des communications complètes contiennent tous les éléments essentiels au public visé et incluent toutes les informations et observations importantes et pertinentes venant étayer les recommandations et conclusions. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 1.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 2
QUESTION 4 Le responsable d'une chaîne de production dispose de l'autorité nécessaire pour commander et recevoir les pièces de rechange de toutes les machines nécessitant une maintenance périodique. L'auditeur interne a reçu un renseignement anonyme sur le fait que le responsable commandait substantiellement plus de pièces que nécessaire à un membre de sa famille, fournisseur de pièces détachées. Les pièces en trop n'étaient jamais livrées. Le responsable traitait les documents de réception et affectait les pièces aux comptes de maintenance de machine. Les règlements des pièces non fournies étaient envoyés au fournisseur et l'argent était partagé entre le responsable et le membre de sa famille. Parmi les contrôles internes suivants, lequel aurait le plus probablement évité cette fraude? a. b. c. d.
Établir des niveaux de dépense prédéfinis pour tous les fournisseurs au cours de l'appel d'offres Comparer le bordereau d'expédition des pièces de rechange et le bon de commande approuvé Séparer la fonction de réception de celle autorisant les achats de pièces Utiliser le système d'inventaire de la société pour faire correspondre les quantités demandées avec les quantités reçues
C: LOGIQUE Une autorisation supplémentaire serait le choix le plus probable pour éviter la fraude. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre A, Rubrique 1. QUESTION 5 Parmi les propositions suivantes, laquelle représente l'élément le plus probant de l'existence de créances clients ? a. Des factures de vente b. Des bordereaux d'expédition c. Des bons de livraison d. Des confirmations expresses D: LOGIQUE Le caractère probant ou fiable des informations d'audit dépend en partie du type de preuve. Dans cette situation, la confirmation par un client représente la preuve la plus fiable de l'existence d'une créance. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre B, Rubrique 2. QUESTION 6 D'après la modalité pratique d'application 1210.A1-1 « Recours à des prestataires de service externes en soutien ou en complément de l'activité d'audit interne », laquelle des méthodes suivantes est la plus efficace pour vérifier la réputation d'un prestataire de service externe lors de l'évaluation des compétences ? a. b.
Déterminer si le prestataire de service a une affiliation professionnelle avec le conseil d'administration ou la direction. Se renseigner sur la gamme des services que le prestataire peut proposer à l'entreprise.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 3
c. d.
Appeler d'anciens clients afin de savoir s'ils sont satisfaits du travail du prestataire de service. Déterminer si le prestataire possède une certification ou une licence professionnelle.
C: LOGIQUE Prendre contact avec d'autres entreprises ayant déjà eu recours au prestataire de service externe est une bonne méthode pour déterminer sa réputation. Une certification ou une licence professionnelle est une exigence minimale pour tout prestataire de service potentiel. Les autres propositions permettent de déterminer l'indépendance et l'objectivité du prestataire. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 4. QUESTION 7 Une activité d'audit interne compte de nombreuses parties prenantes associées à sa réussite. Les revues d'assurance qualité internes d'une activité d'audit interne sont principalement effectuées au bénéfice d'une partie prenante en particulier. Laquelle ? a. Le responsable d'audit interne b. Le conseil d'administration et la direction c. Les futurs clients d'audit interne d. L'ensemble de la profession d'audit interne A: LOGIQUE Bien que toutes les réponses correspondent effectivement à des parties prenantes d'une activité d'audit interne, les revues internes du programme d'assurance qualité profitent principalement au responsable d'audit interne (RAI). Les Normes n'exigent pas du RAI qu'il partage le rapport final d'une revue interne du programme de qualité avec la direction et le conseil, mais la modalité pratique d'application 1311-1 recommande « qu'une fois par an au moins, le RAI transmette les résultats des évaluations internes, des plans d'action nécessaires et de leur mise en œuvre fructueuse à la direction et au conseil. » Entre autres responsabilités, il incombe au RAI d'assurer l'activité d'audit la plus efficace et la plus performante possible pour aider l'organisation à atteindre ses objectifs. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 7. QUESTION 8 Le responsable d'audit interne (RAI), qui possède de solides connaissances en finance, accepte une mission de conseil pour le service des ressources humaines. Dans le cadre de cette mission, il doit élaborer un guide d'entretien et superviser le recrutement d'un expert en investissement qui sera chargé de concevoir et d'administrer un nouveau plan de retraite. Parmi les propositions suivantes, laquelle décrit le problème majeur lié à cet arrangement du point de vue de l'activité d'audit interne? a. b. c.
Cet arrangement réduit les ressources disponibles au sein de l'activité d'audit pour les missions d'assurance. L'expérience en finance du RAI n'a pas de rapport avec les tâches de recrutement. Cette mission risque de discréditer l'activité d'audit interne au sein de l'organisation si la nouvelle recrue se révèle être un mauvais choix pour ce poste.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 4
d.
Participer à la sélection d'un collaborateur clé du service des ressources humaines peut compromettre l'indépendance et l'objectivité du RAI, ainsi que la crédibilité de l'activité d'audit.
D: LOGIQUE Lorsqu'un auditeur interne participe directement au fonctionnement d'autres activités de l'entreprise, il risque de compromettre sa capacité à évaluer ces activités de manière objective lors de futurs audits. Que le RAI possède ou non une expertise en recrutement ou en finance importe peu. Toute mission soustrait des ressources disponibles qui pourraient être assignées à d'autres tâches et constitue une opportunité pour l'activité d'audit interne de rehausser ou de compromettre sa réputation au sein de l'organisation. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 2. QUESTION 9 Un système adéquat de contrôles internes a davantage de chance de détecter une irrégularité perpétrée par a. un seul directeur. b. un seul employé. c. un groupe de directeurs en connivence. d. un groupe d'employés en connivence. B: LOGIQUE Un système efficace de contrôles internes est plus susceptible de mettre à jour une irrégularité si celle-ci a été perpétrée par un seul employé, sans aucune aide. Les membres de la direction peuvent souvent contourner les contrôles, de manière isolée ou en groupe. Un groupe a plus de chance de réussir à perpétrer une irrégularité qu'un individu isolé. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre A, Rubrique 2. QUESTION I0 Quel programme d'échantillonnage ne requiert aucun échantillonnage supplémentaire lorsque la première erreur est trouvée ? a. L'échantillonnage arrêt-départ b. L'échantillonnage stratifié c. Échantillonnage par découverte d. Échantillonnage d'attributs C: LOGIQUE L'objectif de l'échantillonnage par découverte est de garantir jusqu'à un certain niveau que l'échantillon contiendra au moins un exemple d'attribut si le taux d'occurrence de cet attribut dans la population est supérieur ou égal à la limite spécifiée. La décision de l'audit est prise à la première erreur détectée. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 6. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 5
QUESTION 11 Toutes les actions qui suivent illustrent le professionnalisme dont il convient de faire preuve dans l'exécution des missions d'assurance à l'exception de l'une d'entre elles. Laquelle ? a. b. c. d.
Se tenir informé des recommandations non obligatoires émises par les organismes concernés. Demander à des pairs extérieurs à l'organisation d'évaluer régulièrement le fonctionnement de l'activité d'audit interne. Envisager d'utiliser des outils informatiques d'aide à l'audit et d'autres techniques d'analyse des données. Renoncer à des missions en raison d'un manque de connaissances spécialisées.
D: LOGIQUE Renoncer à une mission en raison d'un manque de connaissances spécialisées est acceptable dans le cas de missions de conseil mais ne démontre pas un grand professionnalisme dans le cadre de missions d'assurance. Toutes les autres actions permettent de s'assurer que la conduite de l'activité d'audit interne est conforme à celle des autres auditeurs internes professionnels. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 5. QUESTION 12 Parmi les situations suivantes, lesquelles sont admissibles selon le Code de déontologie de l'IIA? a. Après avoir félicité un employé dans un récent rapport d'audit, un auditeur accepte un cadeau de la part de celui-ci. b. Un auditeur utilise des informations liées à l'audit pour décider d'acheter des actions émises par la société de l'employeur. c. En réponse à une citation à comparaître, un auditeur témoigne devant une cour et divulgue des informations confidentielles liées à l'audit, qui pourraient nuire à l'organisation de l'auditeur. d. Un auditeur ne rapporte pas au conseil les observations significatives concernant une activité illégale car la direction a indiqué qu'elle règlerait le problème. C: LOGIQUE Les auditeurs doivent faire preuve de fidélité envers l'organisation, mais ils ne doivent participer à aucune activité illégale. Les auditeurs doivent ainsi respecter les citations à comparaître. Les autres situations sont interdites par les règles de conduite (1.2, 2.3 et 3.2). Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre B, Rubrique 1. QUESTION I3 Parmi les propositions suivantes, laquelle décrit le mieux les avantages potentiels de la certification professionnelle pour les auditeurs internes ? I. II. III. IV.
Permet d'accéder à des postes mieux rémunérés Atteste un niveau global de compétence et de professionnalisme en audit interne Comble un déficit de formation pour débuter en tant que professionnel de l'audit interne Encourage à entretenir ses réseaux et à se tenir au courant des dernières évolutions du métier
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 6
a. b. c. d.
Il seulement Il et IV seulement I, Il et III seulement I, Il et IV seulement
D: LOGIQUE L'obtention d'une certification professionnelle renvoie une image de professionnalisme et de maîtrise aux employeurs et autres collaborateurs potentiels. Outre la satisfaction personnelle que cette réussite procure, la certification prépare les individus aux défis de leur carrière et peut faire la différence entre les candidats aux meilleurs postes. La plupart des certifications exigent des individus qu'ils se tiennent informés des dernières tendances et normes de l'industrie par la formation professionnelle continue (CPE, « Continuing Professional Education »). Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 6. QUESTION 14 Lorsqu'un auditeur interne rejoint un audit informatique sur le terrain pour remplacer le précédent auditeur interne, quelle méthode, parmi les suivantes, serait la plus efficace pour sa préparation ? a. L'observation du lieu de travail et l'interrogation du personnel de l'IT b. La lecture de la documentation du matériel et des logiciels disponibles auprès du client c. La répétition du travail effectué par l'auditeur remplacé d. Le passage en revue des papiers de travail et du programme d'audit D: LOGIQUE Les papiers de travail doivent documenter tous les aspects de l'audit, jusqu'à l'arrivée du nouvel auditeur. Le programme d'audit fournit une description complète des objectifs de l'audit, ainsi que toutes les preuves recueillies. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre D, Rubrique 1. QUESTION 15 La définition par l'IIA de l'audit interne attribue aux auditeurs internes a. une charte visant à protéger l'organisation des pertes de ressources. b. la responsabilité de réviser les objectifs commerciaux et de s'assurer qu'ils sont mesurables et réalisables. c. un rôle actif dans les processus de gestion des risques et de gouvernance de l'organisation. d. la responsabilité de garantir que les contrôles de la direction sont appropriés. C: LOGIQUE L'IIA définit l'audit interne comme « une activité de conseil et d'assurance indépendante et objective destinée à renforcer une organisation et à améliorer l'efficacité de ses opérations. Il aide une organisation à atteindre ses objectifs en apportant une approche systématique et rigoureuse pour évaluer et améliorer l'efficacité des processus de gestion des risques, contrôle et gouvernance. » Cette définition du champ d'action des auditeurs internes intègre le fait que les contrôles aident l'organisation à gérer le risque et à promouvoir une gouvernance efficace. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 7
Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre A, Rubrique 2.
QUESTION 16 Alors qu'il étudie des propositions pour un contrat, un courtier ferme les yeux sur le fait qu'une entreprise n'a pas de références et présente peu de qualifications et d'expérience en rapport avec le contrat. Le courtier aide l'entreprise à falsifier sa documentation en échange d'un pourcentage du montant du contrat. De quel type de fraude s'agit-il ici ? a. b. c. d.
Abus de biens sociaux Déboursement frauduleux Corruption Vol d'espèces
C: LOGIQUE Il s'agit d'un exemple de corruption, sous la forme de pots-de-vin. Le courtier a reçu de l'argent pour influencer sa décision qui profite à l'entreprise qui corrompt. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre D, Rubrique 2. QUESTION 17 Dans la série de nombres suivantes, quel nombre représente le mode ? 98, 98, 102, 99, 101, 100, 99, 101, 99, 110 a. 99 b. 99,5 c. 100 d. 100,7 A: LOGIQUE Le mode est la mesure de la tendance centrale représentée par le nombre apparaissant le plus souvent. Ici, c'est le nombre 99. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 3 . QUESTION 18 D'après le Cadre international de référence de la pratique professionnelle (IPPF), l'indépendance de l'activité d'audit interne est garantie par: a. la formation professionnelle continue et une diligence professionnelle irréprochable. b. les relations humaines et la communication. c. son statut au sein de l'organisation et son objectivité. d. la qualité du personnel et de la supervision. C: LOGIQUE Selon l'interprétation de la Norme 1100 « Afin d'atteindre un degré d'indépendance nécessaire et suffisant à l'exercice de ses responsabilités, le responsable d'audit interne doit avoir un accès SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 8
direct et non restreint à la direction générale et au Conseil. Et cela peut être assuré grâce à un double rattachement hiérarchique... L'objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d'autres personnes. » Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 2. QUESTION I9 Lors d'une évaluation des risques associés aux contrats de vente et aux commissions afférentes, lequel des facteurs suivants serait le plus susceptible d'entraîner une extension du périmètre de la mission ? a. Baisse des commissions de vente, accompagnée d'une baisse des ventes de produits b. Augmentation des retours sur vente, accompagnée d'une augmentation des commissions c. Baisse des retours sur vente, accompagnée d'une augmentation des ventes de produits d. Accroissement des ventes de produit, accompagné d'une augmentation des commissions B: LOGIQUE Ces tendances peuvent indiquer des chiffres de vente gonflés. Les autres tendances n'entraînent pas une extension du périmètre car elles sont compatibles. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 1. QUESTION 2O Alors qu'il réalise un audit des opérations dans un des points de vente en gros d'un fournisseur, un auditeur interne montre de l'intérêt pour le calendrier offert gratuitement aux clients privilégiés, illustrant les produits de l'entreprise. Le chef de rayon offre à l'auditeur plusieurs calendriers qu'il pourra conserver et distribuer aux membres de son équipe. Parmi les réponses suivantes, laquelle est la plus fidèle à l'esprit des Normes en matière d'objectivité ? a. L'auditeur peut accepter le cadeau, mais doit en avertir immédiatement le comité d'audit. b. L'auditeur doit refuser le cadeau et signaler cette proposition au comité d'audit. c. L'auditeur peut accepter le cadeau sans en informer quiconque. d. L'auditeur doit refuser le cadeau et dissuader le client de solliciter les faveurs de l'activité d'audit interne à l'avenir. C: LOGIQUE Conformément à la modalité pratique d'application 1130-1, les auditeurs internes peuvent accepter des cadeaux ou objets promotionnels de la part de leurs clients, dès lors qu'ils n'ont pas de valeur significative. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 2. QUESTION 21 Un auditeur interne pense que le taux de roulement élevé peut être causé par un environnement de travail oppressant. Pour encourager le client d'audit à confirmer ou infirmer cet avis, quelle stratégie parmi les suivantes est la meilleure ?
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 9
a.
Au cours d'un entretien, demander aux membres du personnel : « Vous sentez-vous soutenus par votre responsable ? » b. Dans un questionnaire, demander aux membres du personnel d'évaluer l'environnement de travail sur une échelle de 1 à 5. c. Au cours d'un entretien, dire aux membres du personnel : « Parlez-moi de votre environnement de travail ». d. Au cours d'un entretien, demander aux membres du personnel : « Aimez-vous votre travail ? C: LOGIQUE Lorsqu'il est nécessaire que les personnes soient ouvertes, donnent un avis et fournissent une analyse, comme c'est le cas ici, le fait de poser une question ouverte telle que « Parlez-moi de votre environnement de travail » donnera de meilleurs résultats. Les questions fermées auxquelles on peut répondre par oui, non ou par un fait sont moins propices au dialogue. Les questionnaires limitent également les possibilités de dialogue, notamment si le personnel se sent menacé et donc peu enclin à donner un avis par écrit, sauf s'ils sont absolument sûrs du caractère anonyme des réponses. (dans une situation difficile comme celle-ci, plusieurs approches peuvent être nécessaires.) Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 3. QUESTION 22 Les documents de travail électroniques de l'auditeur interne offrent tous les avantages cidessous sauf: a. les liens de navigations permettent un accès facile et rapide. b. l'amélioration de l'innovation et de la créativité lors du processus d'audit. c. le stockage des documents de travail est simplifié. d. la méthodologie d'audit peut être basée sur la structure des documents de travail. B: LOGIQUE Les documents de travail automatisés constituent un moyen efficace pour consigner, consulter, stocker et accéder aux informations attestant des vérifications et du travail de consultation effectués. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 1. QUESTION 23 Selon les normes légales, parmi les propositions suivantes, laquelle serait considérée comme preuve primaire qu'un responsable a ordonné à un employé de se débarrasser illégalement de déchets dangereux ? a. b. c. d.
Le témoignage d'une autre personne de l'organisation, affirmant que le responsable a admis avoir ordonné l'acte illégal au cours d'une conversation avec elle. L'original d'une note, signée par le responsable, ordonnant l'élimination illégale de déchets Le témoignage de l'employé indiquant que le responsable lui a directement ordonné de réaliser cet acte illégal dans une note qui n'existe plus Un témoignage oculaire de la réalisation de cet acte illégal par l'employé
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 10
B: LOGIQUE La preuve juridique primaire, également appelée meilleure preuve, se réduit en général aux documents écrits dont la valeur est considérée comme supérieure à un témoignage oral. La preuve serait encore plus efficace si elle était étayée par des tests documentant l'élimination de ces déchets comme exigé dans la note. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre B, Rubrique 1. QUESTION 24 Une petite entreprise utilise la séparation des fonctions pour traiter les chèques et les espèces liquide reçus dans son bureau. Aucune opération financière n'est effectuée dans son intégralité par une seule et même personne. Ceci est un exemple de: contrôle préventif. contrôle d'atténuation. contrôle de détection. contrôle directif. A: LOGIQUE Les contrôles préventifs sont des contrôles proactifs visant à empêcher que des événements indésirables se produisent. Des activités spécifiques de contrôle de la séparation des fonctions doivent être décrites dans les méthodes comptables et le manuel de procédures. Les contrôles de détection sont réactifs et détectent les événements indésirables qui sont déjà survenus. Les contrôles directifs sont proactifs et causent ou encouragent la survenue d'un événement souhaitable. Les contrôles d'atténuation ou les contrôles compensatoires permettent de compenser l'absence d'un autre contrôle prévu. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 1. QUESTION 25 Les diagrammes de circulation de haut niveau d'un processus, créés durant la phase de planification de la mission a.
permettent d'identifier les personnes ou les tâches nécessaires pour une exécution efficace et rapide du processus. b. fournissent un cadre de référence pour l'identification des systèmes et des sous-processus clés à intégrer dans le périmètre de la mission. c. permettent d'identifier les risques de fraude potentiels au niveau du processus, du fait de la nature même du processus. d. évitent le recours aux documents ou communications de la part de l'utilisateur du processus ou de sources extérieures. B: LOGIQUE Le diagramme de circulation permet d'éliminer les abstractions concernant les flux de travail d'un système. Durant la phase de planification d'une mission, les diagrammes de circulation peuvent être utilisés pour confirmer la bonne compréhension d'un processus par l'auditeur interne, auprès de l'utilisateur du processus, et pour déterminer quels domaines ou sous-processus sont inclus dans le périmètre des activités ultérieures de la mission. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 7.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 11
QUESTION 26 Une municipalité de taille moyenne fournit 32 milliards de gallons d'eau par an à 31 000 clients. Les compteurs d'eau sont remplacés au moins tous les cinq ans pour garantir une facturation précise. Le service des eaux suit les consommations sans comptage pour identifier la consommation d'eau non facturée. Le service a récemment publié le rapport d'activité suivant: Activité
Mois Un
Mois Deux
Mois Trois
1er
Objectif 1er
Trimestre réel
Trimestre 1 425
Compteurs remplacés
475
400
360
1 235
Fuites signalées
100
100
85
285
Fuites réparées
100
100
85
285
100.
Eau sans comptage
2%
5%
2%
4%
2%
Sur la base de l'activité signalée pour les fuites réparées durant le premier trimestre, un auditeur interne conclurait que a. b. c. d.
le programme de réparation des fuites est en sureffectif. les écarts par rapport à l'objectif doivent être analysés et une action corrective doit être entreprise. la norme d'exploitation doit être modifiée. les normes d'exploitation établies sont comprises et respectées.
D: LOGIQUE Toutes les fuites signalées ont été réparées. L'objectif établi est atteint. Les auditeurs internes ont en charge la révision des opérations et des programmes pour s'assurer de la mesure dans laquelle les résultats sont cohérents avec les objectifs établis, afin de déterminer si les opérations et programmes sont mis en œuvre ou réalisés comme prévu. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 3. QUESTION 27 L'un des objectifs de l'audit d'une entreprise de production est de s'assurer que tous les éléments retravaillés sont contrôlés par l'ingénieur de production. Parmi les procédures suivantes, laquelle permet de remplir au mieux cet objectif ? a. b. c. d.
Tracer un échantillon d'entrées du journal de retravail jusqu'aux demandes de retravail. Tracer un échantillon de demandes de retravail jusqu'aux entrées du journal d'examen. Tracer un échantillon de demandes de retravail jusqu'aux entrées du journal de retravail. Tracer un échantillon d'entrées, du journal de retravail à l'action de correction entreprise.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 12
B: LOGIQUE Le meilleur moyen de vérifier qu'un travail a été effectué est le jeu de formulaires de demande de retravail, et la meilleure façon de contrôler les éléments vérifiés sont les entrées du journal d'examen. Pour déterminer si tous les éléments retravaillés ont été contrôlés, l'auditeur doit commencer par rechercher la population de tous les retravaux effectués (à savoir, les formulaires de demande de retravail) et les preuves des contrôles effectués (à savoir, le journal d'examen). Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 4. QUESTION 28 Avant la publication du rapport Turnbull, l'Institut des comptables agréés en Angleterre et au Pays de Galles (ICAEW, "Institute of Charter Accountants in England and Wales") a élaboré le modèle Cadbury qui est centré sur lequel des reporting relatifs aux contrôles suivants ? a. b. c. d.
Au reporting sur le contrôle interne dans sa totalité Au reporting sur la fiabilité du reporting financier seulement Au reporting sur l'efficacité et l'efficience des politiques de responsabilité sociale des entreprises uniquement Au reporting sur la discipline, la transparence et la responsabilité de la fonction de gouvernance uniquement
B: LOGIQUE Bien que le modèle Cadbury reconnaisse que le conseil est responsable du spectre complet du contrôle interne, il confine le reporting relatif aux contrôles au domaine du reporting financier. De ce fait, en 1999, l'ICAEW a publié le rapport Turnbull, qui élargit le concept au-delà du champ des contrôles financiers. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre B, Rubrique 2. QUESTION 29 Un auditeur a été affecté à l'analyse de l'efficacité d'un ensemble de programmes de réhabilitation. Les programmes fonctionnent depuis dix ans et n'ont jamais été évalués. L'organisation qui fournit les données des programmes affirme que les données sont incomplètes. L'auditeur doit: a. ne pas réaliser l'analyse. b. réaliser malgré tout l'analyse, en évaluant les effets des données incomplètes, mais indiquer c. la limitation de périmètre relative à la fiabilité des données dans le rapport d'audit. reporter l'analyse jusqu'à ce que les données soient complètes. d. réaliser le suivi d'un ensemble d'enregistrements, choisi au hasard, jusqu'aux fichiers source, pour évaluer l'exactitude et le caractère complet des données fournies. B: LOGIQUE Après dix ans, l'efficacité des programmes doit être évaluée. Si l'auditeur évalue les effets du caractère incomplet des données au fur et à mesure qu'il les évalue et en stipule la limite de fiabilité, il fournira aux lecteurs une partie de l'évaluation de l'efficacité sans les tromper sur l'interprétabilité des données. Il arrive souvent que les auditeurs doivent travailler avec des données imparfaites. Tant que l'auditeur évalue les effets des données incomplètes et précise clairement la limite de fiabilité des données dans son rapport, l'analyse peut se révéler utile sans être trompeuse. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 13
Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre E, Rubrique 2. QUESTION 30 En quels termes, parmi les suivants, les organisations mesurent-elle les risques ? I. Opportunité II. Incertitude III. Probabilité IV. Impact a. b. c. d.
I et II seulement I, Il et IV seulement III et IV seulement I, Il, III et IV
C: LOGIQUE Le risque est la possibilité qu'un événement ait un impact sur l'accomplissement des objectifs. Le risque est mesuré en termes d'impact et de probabilité. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 1. QUESTION 31 Un organigramme des activités et contrôles de processus peut fournir une indication sur la zone où la fraude s'est produite dans un processus. aucune information liée à la prévention des fraudes. des informations sur les zones où une fraude peut se produire. des informations sur l'étendue d'une fraude passée. C: LOGIQUE En mettant en évidence les points faibles des contrôles, les organigrammes peuvent indiquer les zones où les fraudes sont possibles. Ils ne signalent pas si une fraude s'est produite et n'indiquent pas l'étendue de la fraude. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 7. QUESTION 32 Les listes de vérification utilisées pour évaluer le risque d'audit ont été critiquées pour toutes les raisons suivantes sauf une, laquelle ? a. Elles diminuent l'uniformité de l'acquisition des données. b. Elles sont incapables de traduire l'expérience ou le raisonnement solide destinés à être capturés par chaque élément sur la liste de vérification. c. Elles donnent le faux sentiment de sécurité que tous les facteurs pertinents sont traités. d. Elles impliquent de manière inappropriée que chaque élément a la même importance sur la liste de vérification.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 14
A: LOGIQUE Les listes de vérification augmentent l'uniformité de l'acquisition des données. Les autres choix sont des critiques communes des listes de vérification. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 2 QUESTION 33 Parmi les propositions suivantes, laquelle caractérise le mieux ce que doit être un « contrôle informel » dans un programme de conformité et d'éthique ? a. Le code de conduite. b. Les mesures disciplinaires progressives pour les violations éthiques. c. La surveillance pour déceler les comportements criminels. d. Les responsabilités des employés concernant le signalement des conduites inappropriées. D: LOGIQUE Les responsabilités des employés sont par nature plus subjectives que les exemples de processus, de politiques et de procédures. De manière générale, les contrôles formels sont par nature plus scientifiques et les contrôles informels plutôt orientés sur l'humain. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre A, Rubrique 1. QUESTION 34 Un responsable d'audit interne contrôle la carte des risques d'entreprise suivante :
Infime IMPAC T
Critique Majeur
Risque A
Mineur
PROBABILITÉ Possible
Probable
Risque B Risque D Risque C
Parmi les propositions suivantes, quelle est la hiérarchisation des risques correcte, en tenant compte des ressources limitées de l'activité d'audit interne ? a. b. c. d.
Risque B, Risque C, Risque A, Risque D Risque B, Risque C, Risque D, Risque A Risque D, Risque B, Risque C, Risque A Risque A, Risque B, Risque C, Risque D
C: LOGIQUE Les risques sont classés en tenant compte à la fois de la probabilité et de l'impact. Le Risque B serait prioritaire sur le Risque A, car sa probabilité est plus élevée, malgré un impact plus faible. Le Risque D serait prioritaire sur le Risque C, étant donné sa probabilité et son impact. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 2.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 15
QUESTION 35 Parmi les propositions suivantes, laquelle fournirait la meilleure preuve que le système de sécurité d'un bâtiment satisfait aux exigences énoncées par la direction ? a. b. c. d.
L'observation directe par l'auditeur interne d'un essai du système L'assurance écrite du responsable du bâtiment que le système a été testé et approuvé par le personnel compétent L'évaluation indépendante du type de système installé témoignant de sa supériorité par rapport à ses concurrents dans la même gamme de prix La confirmation par l'installateur que le système a été correctement installé et testé
A: LOGIQUE La preuve la plus solide est la preuve directe, telle que le rapport de l'auditeur sur l'observation d'un essai concluant du système. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre B, Rubrique 2. QUESTION 36 Parmi les activités suivantes, effectuées sans la consultation de la direction et du responsable d'audit interne (RAI) par un auditeur possédant une expertise spéciale dans l'analyse des états financiers, laquelle risquerait le plus probablement de violer le Code de déontologie de HIA ? a. La création et la gestion d'une fondation caritative avec des investissements familiaux b. La facturation de frais pour l'évaluation du risque financier du portefeuille personnel d'un responsable de division c. La fourniture, à titre gracieux, de conseils d'investissement à une organisation locale à but non lucratif La participation rémunérée à des séminaires sur l'investissement, dans une université locale B: LOGIQUE La prestation de services rémunérés pour le compte d'un responsable de division de l'organisation créerait un conflit d'intérêt potentiel et nécessite par conséquent le consentement de la direction et du RAI. Même si l'auditeur interne fournit un service personnel semblant sans rapport avec le travail de l'organisation, l'intérêt de l'auditeur à favoriser la réussite financière personnelle du responsable et l'intérêt de ce responsable à fournir une compensation pour ce service sortant du cadre de travail de l'auditeur pourraient nuire à leur indépendance dans l'exercice de leurs responsabilités dans l'organisation. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre B, Rubrique 1. QUESTION 37 Un auditeur interne examine le chiffre d'affaires du trimestre en cours, ainsi que celui des deux trimestres précédents. Ceci est l'exemple de quelle technique analytique ? a. Analyse de tendances b. Analyse de régression c. Comparaisons de période à période d. Analyse des ratios SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 16
A: LOGIQUE Les auditeurs internes peuvent appliquer diverses techniques lors de l'analyse et de l'évaluation des informations d'audit. Tous les exemples cités ici sont des techniques analytiques appropriées. L'analyse de tendances, en particulier, suit les données sur la durée pour identifier une tendance ou une direction. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 4. QUESTION 38 Selon la Norme 1312, des évaluations externes « doivent être menées au moins une fois tous les cinq ans par un évaluateur qualifié et indépendant ou une équipe extérieure à l'organisation ». Parmi les circonstances suivantes, lesquelles décrivent une situation pouvant nécessiter une révision plus fréquente ? a. Une acquisition a donné lieu à la fusion de deux fonctions d'audit. b. L'organisation fait l'objet d'une supervision et d'une direction externe importantes sur le plan de la gouvernance et des contrôles internes. c. Il a récemment été procédé à une large analyse comparative avec les meilleures pratiques du secteur. d. L'organisation appartient à un secteur soumis à de nombreuses réglementations et/ou à une supervision étroite. A: LOGIQUE Le responsable d'audit interne (RAI) doit discuter avec le conseil de la nécessité d'évaluations externes plus fréquentes. Des révisions plus fréquentes peuvent s'imposer, notamment en cas de modifications importantes apportées à la fonction d'audit interne ou à l'organisation ellemême. La modalité pratique d'application 1312-2 identifie les autres situations décrites ici comme des circonstances dans lesquelles une évaluation externe complète par une équipe indépendante n'est pas forcément nécessaire. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 7. QUESTION 39 Laquelle des propositions suivantes ne décrit pas le cadre intégré de management des risques d'entreprise (ERM, « Enterprise Risk Management ») du COSO ? a. Il évite de se concentrer exclusivement sur la nature négative du risque en reconnaissant les opportunités qu'il présente. b. Il met l'accent sur la réalisation des objectifs financiers c. Il adopte une approche plus concentrée que la gestion traditionnelle des risques d. Il utilise les effets de portefeuille et de couverture naturels C: LOGIQUE L'ERM adopte une approche plus large que la gestion traditionnelle des risques et traite des risques et des opportunités qui ont une incidence sur la création ou la préservation de la valeur organisationnelle. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 3. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 17
QUESTION 4O Un auditeur interne élabore l'organigramme vertical d'un processus. Le but de l'auditeur est a. de représenter les entrées, les activités, les flux de travaux ainsi que les interactions avec les autres processus et les sorties. b. de valider les données de performance de base recueillies avant de recommander des améliorations sur les contrôles. c. d'élaborer un modèle permanent montrant comment les activités sont menées à un moment spécifique. d. d'évaluer le niveau de conformité par rapport à une norme. A: LOGIQUE Les organigrammes permettent aux auditeurs internes de consigner leur vision du processus, d'évaluer son efficacité, d'isoler les zones problématiques et d'identifier les risques et les contrôles clés. Les organigrammes peuvent être utilisés pour prendre en charge l'évaluation globale de l'auditeur sur les risques et les contrôles dans un contrat d'audit. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre A, Rubrique 7. QUESTION 41 L'une des responsabilités les plus importantes que peut assumer un responsable d'audit interne en matière de gestion du personnel, seul ou conjointement avec le service des ressources humaines, concerne le développement des stratégies de fidélisation du personnel. Parmi les propositions suivantes, quelle serait la stratégie la plus appropriée et la plus efficace pour retenir le personnel ? I.
Définir un schéma unique de progression de carrière pour tous les auditeurs internes, avec les mêmes échéances à respecter entre chaque étape (nouvel auditeur à auditeur confirmé à auditeur responsable et à responsable d'audit). S'assurer que toutes les évaluations annuelles et post-audit de l'auditeur sont majoritairement positives. Élaborer, avec chaque auditeur interne, un programme de formation s'appuyant sur les objectifs de l'auditeur et ceux de l'activité d'audit interne. Distribuer des primes aux auditeurs internes en fonction des économies réalisées par l'organisation grâce à leurs recommandations d'audit.
II. III. IV.
a. b. c. d.
III seulement I et II seulement Il et III seulement I, III et IV seulement
A: LOGIQUE Les formations doivent généralement permettre à un auditeur d'acquérir de nouvelles compétences en phase avec ses objectifs et avec ceux de l'activité d'audit. C'est ce que spécifie la modalité pratique d'application 1230-1 de l'IIA, qui suggère des activités pour enjoindre au responsable d'audit interne de répondre aux besoins de développement professionnel du personnel, y compris l'obtention des certifications appropriées. Les méthodes de fidélisation qui ne prennent pas en compte les spécificités de chaque individu risquent de ne pas convenir aux personnes les plus SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 18
talentueuses, sans compter que tous les auditeurs internes n'aspirent pas à franchir toutes les étapes du schéma de progression de carrière. Les méthodes de rémunération basées sur les économies de coûts plutôt que sur des mesures de performance plus exhaustives peuvent limiter le champ de vision des auditeurs dans leur pratique de l'audit. Le RAI doit veiller à inclure tous les éléments positifs pertinents dans une évaluation, mais toutes les évaluations ne peuvent être majoritairement positives. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 6. QUESTION 42 Lors d'une évaluation des risques sur la probabilité que les résultats de l'entreprise soient manipulés par la direction au mépris des contrôles, quelle proposition, parmi les suivantes, représente l'impact éventuel d'un tel événement ? a. b. c. d.
Complexité des méthodes de comptabilité Normes d'éthique imprécises et peu exigeantes définies par la direction Tort porté à la réputation de l'entreprise Fréquence de renouvellement de la direction
C: LOGIQUE Le tort porté à la réputation de l'entreprise est un impact potentiel de la divulgation publique des fautes de la direction. Les autres éléments affectent la probabilité de l'événement. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 2. QUESTION 43 Une preuve convaincante a pour caractéristique d'être a. logique, factuelle, adéquate, testimoniale. b. raisonnable, valable, absolue, statistique. c. pertinente, fiable, suffisante, utile. d. professionnelle, valable, fiable, confidentielle. C: LOGIQUE Une preuve convaincante permet à l'auditeur interne de formuler des conclusions fondées et de fournir des conseils avec assurance. Pour être convaincante, la preuve doit être pertinente, fiable, suffisante et utile, comme indiqué dans la Norme 2130, « Identification des informations. » Pertinente signifie que la preuve doit convenir aux objectifs d'audit et soutenir de manière logique la conclusion ou les conseils de l'auditeur interne. Fiable implique que la preuve doit provenir d'une source crédible. Ceci tient compte du fait que l'auditeur interne a obtenu la preuve de manière directe ou non. Suffisante signifie qu'il devrait y avoir assez de preuves et que des éléments probants différents, mais liés, doivent se confirmer mutuellement. Une information utile aide l'organisation à atteindre ses objectifs. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre B, Rubrique 2.
SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 19
QUESTION 44 Un auditeur découvre une situation dans laquelle il suspecte une inexactitude, bien qu'il n'en ait pas la preuve. Il y aurait violation de la Norme fixant les règles de professionnalisme si l'auditeur a. identifiait les différentes manières dont une erreur a pu être commise et classait ces éléments en vue d'une enquête d'audit. b. informait le responsable d'audit de ses suspicions et lui demandait conseil sur la manière de procéder. c. étendait le programme d'audit sans l'accord du client de l'audit pour examiner les manières les plus probables dont une inexactitude aurait pu être commise. d. ne vérifiait pas l'existence d'une inexactitude au motif que le programme d'audit a déjà été approuvé par la direction du service d'audit D: LOGIQUE Ne pas effectuer les vérifications nécessaires dans cette situation constituerait une violation des Normes car l'auditeur ne prendrait alors aucune mesure malgré la présence d'éléments indiquant que l'audit devrait être étendu. Les autres choix sont conformes à la modalité pratique d'application 1220-1 des Normes portant sur la notion de professionnalisme, l'auditeur n'ayant pas besoin de l'accord du client de l'audit pour étendre les vérifications. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 5. QUESTION 45 Au cours d'une analyse de diagramme de contrôle, la limite de contrôle supérieure (UCL) et la limite inférieure de contrôle inférieure (LCL) affichées a. mettent en évidence les modèles difficiles à identifier dans un simple tableau de chiffres. b. donnent des indications théoriques sur les événements qui doivent se produire. c. indiquent le niveau auquel le processus doit être stabilisé. d. sont calculées à partir de mesure de processus réelles. D: LOGIQUE L'UCL et la LCL sont les limites de l'étendue d'un processus. Une ligne supérieure et une ligne inférieure sont tracées de chaque côté de la moyenne du processus et indiquent l'écart prévu lorsque le processus est sous contrôle. L'UCL et la LCL permettent de justifier une action à entreprendre lorsque des modèles ou des quantités de variation inhabituelles apparaissent au fil du temps dans le processus. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section III, Chapitre C, Rubrique 3. QUESTION 46 L'activité d'audit interne a récemment réalisé un audit de conformité du service financier de l'organisation. Compte tenu des rattachements fonctionnels et hiérarchiques, à quels groupes le responsable d'audit interne (RAI) doit-il communiquer les résultats ? I. La direction du service financier II. Les autres services, qui partagent les mêmes objectifs et responsabilités d'atténuation des risques III. Les organismes de régulation concernés IV. Le conseil SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 20
a. b. c. d.
I seulement I et II seulement I et IV seulement I, II, III et IV
C: LOGIQUE Les résultats d'audit interne sont transmis au client de la mission. Outre la direction du service financier, le RAI transmet au conseil les résultats des activités d'audit interne et toutes les autres données qu'il juge nécessaire de communiquer. Ce type de résultats d'audit de conformité devrait logiquement être communiqué au conseil. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 1. QUESTION 47 Une activité d'audit interne utilise le référentiel du COSO (Committee of Sponsoring Organizations) pour évaluer le système de contrôle interne de l'organisation. Parmi les domaines suivants, lesquels seront peu probablement intégrés à l'évaluation de l'environnement de contrôle ? a. « Exemple au sommet » b. Philosophie et style de la direction c. Mécanismes de gestion du changement d. Attribution de l'autorité et de la responsabilité C: LOGIQUE Les auditeurs internes peuvent utiliser plusieurs outils ou techniques d'évaluation et autres méthodologies lors de l'évaluation d'un système de contrôle interne. Le référentiel du COSO inclut cinq composantes : environnement de contrôle, évaluation des risques, activités de contrôle, information, communication et surveillance. Les mécanismes de gestion du changement sont nécessaires pour identifier les conditions évolutives des environnements économique, industriel et réglementaire, et pour y réagir. L'évaluation des mécanismes de changement ferait toutefois partie de l'évaluation des risques. Les trois autres domaines sont liés à l'environnement de contrôle. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre B, Rubrique 1. QUESTION 49 Quelles sont les actions qui illustrent le mieux la maîtrise, par les auditeurs internes, des technologies de l'information (IT) utilisées en soutien des processus commerciaux ? a. Collaborer avec des auditeurs spécialisés dans l'IT lors d'audits intégrés, en travaillant ensemble sur les résultats, à la phase d'élaboration des rapports. b. Assister les auditeurs spécialisés dans l'IT vis-à-vis des tests des contrôles manuels et automatisés. c. S'assurer que les contrôles manuels et automatisés appropriés sont identifiés, documentés, évalués et testés. d. S'assurer que les stratégies et procédures techniques appropriées sont développées et communiquées au personnel chargé de l'IT. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 21
C: LOGIQUE La modalité pratique d'application 1210-1 stipule que « le terme « maîtrise » désigne la capacité à mettre en pratique ses connaissances dans des situations susceptibles de se présenter et à gérer ces situations de manière appropriée, sans recourir de manière intensive à des recherches techniques et à une assistance. » Dans l'environnement actuel reposant sur des systèmes sophistiqués, les risques commerciaux incluent tous les risques d'un processus, qu'il soit technologique ou manuel. Les auditeurs internes doivent comprendre la manière dont les processus sont automatisés et, de manière générale, dont les applications facilitent le transfert des informations. Une compréhension insuffisante du flux de transactions entre les systèmes peut conduire les auditeurs internes à négliger des contrôles automatisés clés lors de leurs évaluations. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section I, Chapitre C, Rubrique 3. QUESTION 49 Une recette conseille de régler le four sur 350 degrés pour faire cuire un gâteau. Pour un four classique, une température de 350 degrés correspond à quel élément d'une boucle de contrôle, parmi les suivants ? a. Action corrective b. Objectif c. Constatations d. Norme D: LOGIQUE Dans cet exemple, l'objectif à atteindre serait d'avoir un four réglé sur 350 degrés pour faire cuire un gâteau, la norme serait de 350 degrés, les constatations seraient effectuées grâce à un thermostat mesurant la température réelle comparée à la norme et l'action corrective serait d'utiliser un appareil répondant aux exigences de la norme en termes de température. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre A, Rubrique 2. QUESTION 5O Qui est responsable de la supervision de l'évaluation du contrôle et de la sécurité des informations (protection des données) ? a. Comité d'audit b. Responsable de la gestion des risques c. Membres de la direction d. Responsable d'audit interne (RAI) A: LOGIQUE Tout membre d'une organisation a un rôle à jouer dans la mise en œuvre des contrôles internes. Le comité d'audit supervise l'évaluation du système de contrôles internes de l'organisation. Le responsable de la gestion des risques définit la politique en matière de sécurité des informations et les membres de la direction s'assurent de la conformité à cette politique. Le RAI évalue le système de contrôles de la sécurité des informations. Pour de plus amples informations sur ce problème, reportez-vous à la Partie 1, Section II, Chapitre C, Rubrique 3. SOCIAD/Cabinet d'Etudes & de Conseils-Alger
Page 22