29 1 2MB
Edition
2013
Cadre de Référence International des Pratiques Professionnelles de l’Audit Interne Inclus : Définition de l’audit interne Code de déontologie Normes internationales Modalités Pratiques d’Application (MPA) Dépliant L’IFACI est affilié à The Institute of Internal Auditors
Copyright © IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés.
Décembre 2012 ISBN : 978-2-915042-47-4
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
ebzone communication (www.ebzone.fr) - Impression : Imprimerie Compédit Beauregard
Florida 32701-4201. Tous droits de reproduction réservés.
Réalisation :
Copyright © 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,
Sommaire Avant-propos de l’IFACI ..................................................................................................................................... 5 Préface ..................................................................................................................................................................... 7 Dispositions obligatoires ................................................................................................................................ 13 Définition de l’audit interne .................................................................................................................................... 15 Code de déontologie .................................................................................................................................................. 17 Normes internationales .............................................................................................................................................. 23 Introduction .............................................................................................................................................................. 25 Normes de qualification .................................................................................................................................... 27 Normes de fonctionnement ........................................................................................................................... 43 Glossaire ...................................................................................................................................................................... 63 Modalités Pratiques d’Application .............................................................................................................. 73 MPA Série 1000 : Mission, pouvoirs et responsabilités ........................................................................ 75 MPA Série 1100 : Indépendance et objectivité ......................................................................................... 79 MPA Série 1200 : Compétence et conscience professionnelle ...................................................... 91 MPA Série 1300 : Programme d’assurance et d’amélioration qualité .................................... 103 MPA Série 2000 : Gestion de l’audit interne ............................................................................................. 127 MPA Série 2100 : Nature du travail .................................................................................................................. 155 MPA Série 2200 : Planification de la mission ............................................................................................ 183 MPA Série 2300 : Accomplissement de la mission ............................................................................... 195 MPA Série 2400 : Communication des résultats .................................................................................... 215 MPA Série 2500 : Surveillance des actions de progrès ..................................................................... 233
Inclus dans ce livret, le dépliant du Cadre de Référence International des Pratiques Professionnelles de l’Audit Interne
© IFACI - décembre 2012
3
4
© IFACI - décembre 2012
Avant-propos de l’IFACI
Avant-propos de l’IFACI
N
Nous avons le plaisir de vous présenter en français la version actualisée du Cadre de Référence International des Pratiques Professionnelles (CRIPP) de l’audit interne, applicable à partir du 1er janvier 2013. Les modifications des normes (mise en évidence en gras) ont essentiellement pour objet de clarifier : La responsabilité individuelle des auditeurs internes en termes de conformité aux normes et celle du responsable de l’audit interne. Les sujets pouvant alimenter la discussion avec le Conseil (Norme 1110 : Indépendance dans l’organisation et Norme 2210.A3 : Critères adéquats d’évaluation du dispositif de contrôle). La fréquence et le format des évaluations externes (Norme 1312). La nécessité de mettre à jour, en tant que de besoin, le plan d’audit en cours d’année (Norme 2010) La prise en compte des objectifs stratégiques dans l’évaluation des processus de management des risques et de contrôle (Normes 2120.A1 et 2130.A1). Les responsabilités en matière de validation et de diffusion des conclusions de l’audit interne (Norme 2440). Le suivi des risques acceptés par le management (Norme 2600 : Communication relative à l’acceptation des risques). Par ailleurs, le glossaire est enrichi de nouvelles définitions sur : L’opinion globale au niveau de la mission. L’opinion globale Le « Conseil ».
La publication contient la traduction des composantes essentielles du CRIPP ou International Professional Practices Framework-IPPF de l’IIA, à savoir : la définition de l’audit interne le code de déontologie
© IFACI - décembre 2012
les Normes internationales les modalités pratiques d’application (MPA) Un dépliant recense ces éléments ainsi que les guides pratiques et GTAG (Guides d’audit des systèmes d’information) disponibles sur le site Internet de l’IFACI. Lorsque cela s’est avéré nécessaire, l’IFACI propose des commentaires appropriés. Pour cela, l’IFACI remercie chaleureusement, pour leur forte implication et la pertinence de leurs contributions, les professionnels qui ont apporté leur contribution : Marie-Elisabeth Albert, La Poste Emeline Bredy, Agence Nationale pour la Rénovation Urbaine José Bouaniche, Caisse des dépôts et consignations Christophe Butikofer, SFR Julien Cornuche, SPB Pierre Drouard, Renault Benoît Harel, IFACI Certification Béatrice Ki-Zerbo, IFACI Jacques Renard, Consultant Comme vous l’avez remarqué, ce cadre de référence n’est pas figé car la profession continue et continuera d’évoluer. Vous êtes donc invité à consulter régulièrement notre site Internet pour prendre connaissance de mises à jour. Ce cadre de référence actualisé témoigne du professionnalisme et de la vitalité de notre profession. Il contient les méthodes et pratiques les plus à même de répondre à vos besoins et aux attentes de vos organisations. Reportez-y-vous souvent et appliquez-le toujours.
Philippe Mocquard Délégué Général
5
6
© IFACI - décembre 2012
Préface
Préface
N
Notre profession connaît des changements très rapides. C’est dans ce contexte que le Conseil d’administration de l’Institute of Internal Auditors (IIA) a mis en place un comité de pilotage international et un groupe de travail pour réviser le Cadre de Référence des Pratiques Professionnelles ainsi que l’organisation de l’IIA en ce qui concerne les lignes directrices et les processus associés. Le groupe de travail a mis l’accent sur la révision du périmètre du Cadre de Référence et sur l’amélioration de la cohérence et de la transparence des processus d’élaboration, de révision et de publication des lignes directrices. Les travaux se sont achevés avec l’élaboration d’un nouveau Cadre de Référence International des Pratiques Professionnelles (CRIPP) et la réorganisation du Conseil des Pratiques Professionnelles (CPP). Le CPP coordonne l’approbation et la publication des lignes directrices du CRIPP comme mentionné dans le nouvel ordre de mission approuvé par le Conseil en Juin 2007. En général, un cadre de référence fournit une structure schématique permettant de comprendre la relation entre un corpus de connaissances et une ligne directrice. En tant que système cohérent, le cadre de référence permet d’uniformiser l’élaboration, l’interprétation, l’application des concepts et des méthodologies ainsi que les techniques utilisées dans un domaine ou une profession donnée. Justement, l’objectif du CRIPP est d’organiser, d’une manière plus claire et plus opportune, les lignes directrices approuvées
© IFACI - décembre 2012
par l’IIA. De ce fait, la position de l’IIA en tant qu’organe normalisateur de la profession d’audit interne est renforcée au niveau mondial. En prenant en compte la pratique actuelle de l’audit interne ainsi que son développement futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier à être sensible à la demande croissante de services d’audit interne d’excellente qualité. Puisque le CRIPP est la structure conceptuelle qui organise les lignes directrices émises par l’IIA, son périmètre a été réduit pour ne prendre en compte que les lignes directrices développées par les comités techniques internationaux de l’IIA selon les procédures appropriées. On distingue deux catégories de lignes directrices approuvées par l’IIA : des dispositions obligatoires. Le respect de ces éléments est exigé et la ligne directrice est élaborée selon le processus requis qui inclut une consultation publique. La conformité aux principes mis en exergue dans les lignes directrices obligatoires est indispensable pour la pratique professionnelle de l'audit interne et, des dispositions fortement recommandées. La conformité à ces lignes directrices, approuvées par l’IIA, est fortement recommandée. Elles proposent des pratiques pour la mise en œuvre effective de la définition de l’audit interne, du Code de Déontologie de l’IIA et des Normes Internationales pour la Pratique Profession- nelle de l’Audit Interne (Normes).
7
Le CRIPP comprend désormais les éléments suivants :
Dispositions obligatoires
Eléments
Définition
Définition
La définition de l’audit interne établit l’objectif fondamental, la nature et le champ d'application de l’audit interne.
Code de déontologie
Le Code de déontologie établit les principes et attentes régissant le comportement des individus et des organisations dans la conduite de l’audit interne. Il décrit les règles minimales de conduite ainsi que des comportements attendus plutôt que des activités spécifiques.
Normes internationales pour la pratique professionnelle de l’audit interne (Normes)
Les Normes sont des principes qui fournissent un cadre pour la réalisation des missions et la promotion de l’audit interne. Elles se composent de Normes de qualification, de Normes de fonctionnement et de Normes de mises en œuvre. Les Normes sont des exigences obligatoires constituées : de déclarations sur les exigences fondamentales pour la pratique professionnelle de l’audit interne et pour l’évaluation de sa performance. Elles sont internationales et applicables au niveau du service et au niveau individuel. d’interprétations clarifiant les termes ou les concepts utilisés dans les déclarations. Il est nécessaire de considérer le texte dans sa totalité (c’està-dire les déclarations et les interprétations) afin de comprendre et d’appliquer correctement les Normes. Les termes spécifiques utilisés dans les Normes sont explicités dans le Glossaire.
8
© IFACI - décembre 2012
Préface
Dispositions fortement recommandées
Eléments
Définition
Prises de position
Les Prises de position aident l’ensemble des parties prenantes, y compris celles qui ne sont pas des professionnels de l’audit interne, à comprendre les principaux enjeux en matière de gouvernance, de risque ou de contrôle. Elles précisent également le rôle et les responsabilités de l’audit interne.
Modalités pratiques d’application (MPA)
Les Modalités Pratiques d’Application fournissent une approche et une méthodologie mais ne précisent pas les processus et les procédures détaillées. Ce sont des lignes directrices qui aident les auditeurs internes dans l'application du Code de déontologie et des Normes ainsi que la promotion des meilleures pratiques. Ces pratiques concernent notamment : des problématiques internationales, nationales ou spécifiques à certains secteurs d'activité ; des missions d'audit spécifiques ; des questions légales ou réglementaires.
Guides pratiques
Les guides pratiques sont des lignes directrices détaillées pour la conduite des activités d’audit interne. Ce sont des processus et des procédures détaillés tels que des outils, des techniques, des programmes, des approches séquentielles (par exemple, des modèles de livrables).
Les changements les plus significatifs du nouveau Cadre de Référence sont : les améliorations de processus. Elles se traduisent par une augmentation du type d’éléments constitutifs du Cadre de Référence, une plus grande transparence et des cycles de révision définis pour toutes les lignes directrices. La périodicité de révision du CRIPP a été fixée à trois ans. Même si le contenu du CRIPP ne change pas forcément tous les trois ans, l’IIA s’engage
© IFACI - décembre 2012
à le réviser selon cette périodicité et à y apporter les modifications nécessaires. l’exclusion de l'accompagnement au développement professionnel. Cet élément ne fait plus partie du Cadre de Référence. Il était constitué de données (par exemple, des supports de formation, des publications ou des rapports de recherche) que les auditeurs internes pouvaient utiliser pendant leurs travaux. Dans la mesure où le CRIPP ne prend en
9
considération que les lignes directrices approuvées par l'IIA, ces données ne correspondent plus au nouveau Cadre de Référence tel que défini ci-dessus. l’ajout des interprétations aux Normes pour préciser certains termes. Elles ne sont pas systématiques mais lorsqu’elles sont nécessaires, elles suivent immédiatement la Norme concernée. la réduction du périmètre des modalités pratiques d’application. Elles ne concernent que la méthodologie et l’approche nécessaires à la mise en œuvre du Code de déontologie et des Normes. Les données actuelles sur les outils et les techniques ont été transférées dans les guides pratiques. L’ajout des guides pratiques et des prises de position. Les guides pratiques sont des lignes directrices correspondant à des outils ou des techniques. Ils comprennent des processus et des procédures détaillés, des programmes, des approches séquentielles (par exemple, des modèles de livrables). Les prises de position concernent la vision de l’IIA sur les rôles et responsabilités de l’audit interne vis-à-vis d’une problématique donnée. Par définition, l’audit interne est une activité objective d’assurance et de conseil qui contribue à la création de valeur ajoutée et à l’amélioration des opérations d’une organisation donnée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. Au niveau mondial, l’audit interne est exercé dans des environnements divers ainsi que 10
dans des organisations dont l'objet, la taille, la complexité et la structure diffèrent. De plus, les lois et les usages varient d’un pays à l’autre. Ces différences peuvent avoir une incidence sur la pratique de l’audit interne dans chaque environnement. La mise en œuvre du CRIPP sera donc déterminée par l’environnement dans lequel l’audit interne assume les responsabilités qui lui sont assignées. Aucune information du CRIPP ne devrait être interprétée de manière contradictoire avec les lois et règlements applicables. Si dans certaines circonstances l’information contenue dans le CRIPP est contradictoire avec la législation ou la régulation, les auditeurs internes sont encouragés à prendre contact avec l’IIA ou un conseiller juridique pour avoir des lignes directrices complémentaires. Comme indiqué précédemment, le CRIPP est constitué de deux types de lignes directrices : 1. les lignes directrices comprennent : • • •
obligatoires
la Définition de l’audit interne ; le Code de déontologie ; les Normes.
Le caractère obligatoire des Normes est renforcé par l’utilisation du terme « Must ». Ce mot est utilisé dans les Normes pour indiquer une exigence impérative. Dans certains cas exceptionnels, le vocable « Should » est utilisé dans les Normes lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances. Le respect des principes énoncés dans les lignes directrices obligatoires est indispen-
© IFACI - décembre 2012
Préface
sable pour que les auditeurs internes et l’audit interne assument leurs responsabilités. Comme précisé dans le Code de Déontologie, les auditeurs internes doivent accomplir leurs missions conformément aux Normes. L’expression « auditeurs internes » est utilisée pour désigner les membres de l’Institut, les lauréats des certifications professionnelles proposées par l’IIA ou les candidats à ces certifications, ainsi que les personnes qui réalisent des missions d’audit interne conformément à la Définition de l’IIA. Les lignes directrices obligatoires sont applicables aux individus et aux entités qui réalisent des missions d’audit interne. 2. les lignes directrices recommandées comprennent : • • •
les prises de position ; les modalités pratiques d’application ; les guides pratiques.
Bien qu’approuvées par l’IIA et élaborées par un comité technique international de l’IIA et/ou un institut, les lignes directrices fortement recommandées ne sont pas
© IFACI - décembre 2012
obligatoires. Elles ont été développées pour donner un large panel de solutions applicables pour répondre aux exigences obligatoires de l’IIA. Les dispositions fortement recommandées ne donnent pas une réponse définitive à chaque contexte particulier. De ce fait, elles doivent être utilisées comme des guides. L’IIA recommande le recourt à l’avis d’autres professionnels pour les questions relatives à certains situations particulières. Ces lignes directrices sont sensées être utilisées par des auditeurs internes compétents qui font preuve de jugement professionnel. Dans les prochaines années, avec leur implication dans le développement des lignes directrices, les auditeurs internes feront en sorte que le CRIPP continue à être plus robuste. Toutes les parties prenantes concernées sont invitées à faire des commentaires et des propositions à propos de l’IPPF. Pour les avis professionnels, les commentaires et les suggestions, envoyer un message à [email protected]. Pour trouver les futures mises à jour du CRIPP, les auditeurs internes sont invités à consulter les pages « Professional Guidance » sur le site http://www.theiia.org.
11
12
© IFACI - décembre 2012
Dispositions obligatoires
Dispositions obligatoires
DISPoSItIoNS oblIgAtoIrES
© IFACI - décembre 2012
13
14
© IFACI - décembre 2012
Dispositions obligatoires
Définition de l’audit interne
Définition de l’audit interne L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organsiation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.
Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d’Administration de l’IFACI.
© IFACI - décembre 2012
15
16
© IFACI - décembre 2012
Dispositions obligatoires
Code de Déontologie
Code de Déontologie Préambule Pourquoi un Code de Déontologie ? Pourquoi donc les Normes n’aplaniraient-elles pas toutes les difficultés auxquelles l’auditeur interne peut se trouver confronté, en indiquant de manière systématique, la bonne conduite à adopter ? Cette question est légitime et appelle des réponses qui permettent de préciser la raison d’être du Code de Déontologie : Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques, les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l’audit interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systématiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profession identifie des valeurs essentielles qui ne nient par l’originalité de chaque situation. Il guide la réflexion de chaque auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d’audit interne. Expliciter et illustrer les notions d’indépendance et d’objectivité, ces préalables sont indispensables à la qualité de l’évaluation effectuée par l’auditeur interne. Il est essentiel que ces deux notions, que l’auditeur doit respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations délicates. En effet, l’auditeur interne et notamment le responsable de l’audit interne, se trouvent fréquemment confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l’épreuve de situations personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux susceptibles d’éviter ou de clarifier les situations impropres à l’exercice d’un jugement professionnel serein. Ils permettent d’obtenir les conseils d’un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu’il convient de suivre en cas de situation délicate. Témoigner du niveau élevé d’intégrité de l’audit interne : Il est important et utile que chacun sache que l’auditeur interne s’efforce de toujours agir avec honnêteté et rigueur. L’existence d’un Code de Déontologie de l’audit interne, signé par les auditeurs internes et annexé à la charte d’audit interne constitue, à notre sens, le témoignage d’un engagement favorisant un climat d’honnêteté et d’intégrité. Contribuer à la qualité des résultats de l’audit en rappelant l’exigence de confidentialité et de compétence. En effet, la confiance accrue des audités permet un meilleur travail.
© IFACI - décembre 2012
17
Introduction Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au sein de la profession d’audit interne. Définition de l’audit interne L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective sur les processus de gouvernement d’entreprise, de management des risques, et de contrôle, il était nécessaire que la profession se dote d’un tel code. Le Code de Déontologie va au-delà de la définition de l’audit interne et inclut deux composantes essentielles : 1. Des principes fondamentaux pertinents pour la profession et pour la pratique de l’audit interne ; 2. Des règles de conduite décrivant les normes de comportement attendues des auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux et ont pour but de guider la conduite éthique des auditeurs internes. On désigne par « auditeurs internes » les membres de l’Institut, les titulaires de certification professionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes proposant des services entrant dans le cadre de la définition de l’audit interne.
Champ d’application et caractère obligatoire Le Code de Déontologie s’applique aux personnes et aux entités qui fournissent des services d’audit interne. Toute violation du Code de Déontologie par des membres de l’Institut, des titulaires de certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet d’une évaluation et sera traitée en accord avec les statuts de l’Institut et ses directives administratives. Le fait qu’un comportement donné ne figure pas dans les règles de conduite ne l’empêche pas d’être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l’encontre de la personne qui s’en est rendu coupable.
18
© IFACI - décembre 2012
Dispositions obligatoires
Code de Déontologie
Principes fondamentaux Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants : 1. Intégrité : L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. 2. Objectivité : Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. 3. Confidentialité : Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation légale ou professionnelle ne les oblige à le faire. 4. Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation de leurs travaux.
Règles de conduite 1. Intégrité Les auditeurs internes : 1.1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité. 1.2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession.
Commentaire IFACI Par exemple, dans le secteur public en France, selon l’article 40 du Code de procédure pénale : « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».
© IFACI - décembre 2012
19
1.3. Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la profession d’audit interne ou leur organisation. Commentaire IFACI Il convient de préciser que la notion de déshonneur est culturelle, qu’elle dépend des époques, des individus, de l’éthique de l’organisation et de nombreux autres facteurs.
1.4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation. Commentaire IFACI Cette règle de conduite appelle la question suivante : qu’entend-on par objectif éthique et objectif légitime ? On peut définir légitime comme conforme aux lois, aux règlements et à l’objet social tandis qu’éthique fait référence aux valeurs morales et à divers principes. Il appartient à chaque auditeur interne de donner à ces deux mots un sens adapté à la situation particulière dans laquelle il se trouve. Dans le cas où l’organisation aurait des objectifs non éthiques ou non légitimes ou jugés tels par l’auditeur, ce Code de Déontologie ne contraint pas l’auditeur interne à les respecter et encore moins à y contribuer, pas plus qu’il ne l’interdit. Cette situation, si elle se produisait, ne dispenserait pas l’auditeur interne de garder à leur égard un parfait esprit critique. 2. Objectivité Les auditeurs internes : 2.1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les intérêts de leur organisation. 2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel. 2.3
Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s’ils n’étaient pas révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.
Commentaire IFACI C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ou au comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne peuvent être communiqués à la justice. Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à la disposition des commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection. 20
© IFACI - décembre 2012
Dispositions obligatoires
Code de Déontologie
3. Confidentialité Les auditeurs internes : 3.1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités. Commentaire IFACI Il est important de préciser que la confidentialité et les règles de conduite y afférentes s’appliquent à toute personne proposant des services entrant dans la définition de l’audit interne. Le responsable de l’audit interne, dans le cas où il soustraite une mission, à l’extérieur du service d’audit interne ou de l’organisation, doit veiller à ce qu’une clause de cet ordre soit intégrée dans le contrat de prestation. Commentaire IFACI L’IFACI préconise que le responsable de l’audit interne ait un devoir d’alerte vis-à-vis du comité d’audit pour des faits éminemment graves commis par la direction générale et pouvant mettre en danger la continuité d’exploitation, à condition que ces faits soient avérés et que le rôle de l’audit interne en la matière soit dûment explicité dans une charte d’éthique.
Commentaire IFACI En fonction des termes de l’arrêté portant application de l’article 156 de la Loi de Modernisation de l’Economie qui prévoit « au sein des établissements de crédit, les conditions d’information des organes de direction, d’administration et de surveillance concernant l’efficacité des systèmes de contrôle interne, d’audit interne et de gestion des risques, et le suivi des incidents révélés notamment par ces systèmes, sont fixés par arrêté. » Cet arrêté prévoit les conditions dans lesquelles ces informations sont transmises à la Commission bancaire, en outre, l’article 154 de la LME prévoit des sanctions (emprisonnement et amende financière) en cas d’absence de réponse aux demandes d’informations de la Commission bancaire ou de communication de renseignements inexacts.
3.2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation. Commentaire IFACI Est assimilable à « bénéfice personnel » non seulement le bénéfice procuré à un tiers apparenté ou ami, mais aussi l'utilisation des informations recueillies dans le cadre de l'activité d'audit à des fins étrangères à cette activité, telles que la communication à des associations caritatives, humanitaires, et plus généralement à but louable, soutenues par l'auditeur interne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils reçoivent.
© IFACI - décembre 2012
21
4. Compétence Les auditeurs internes : 4.1. Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l’expérience nécessaires. 4.2. Doivent réaliser leurs travaux d’audit interne dans le respect des Normes Internationales pour la Pratique Professionnelle de l’Audit Interne. 4.3. Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux.
22
© IFACI - décembre 2012
Dispositions obligatoires
Normes internationales
NormES INtErNAtIoNAlES
© IFACI - décembre 2012
23
24
© IFACI - décembre 2012
Dispositions obligatoires
Normes internationales
Introduction L’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outre exercé par des professionnels de l'audit, internes ou externes à l'organisation. Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque environnement, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de l'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs internes et l’audit interne s'acquittent de leurs responsabilités. Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne de respecter certaines dispositions des Normes, il est nécessaire d’en respecter les autres dispositions et de procéder à une communication appropriée. Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence, les communications de l’audit interne peuvent le cas échéant, citer l’utilisation d’autres Normes. S’il y a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et l’audit interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci sont plus exigeantes. Les Normes ont pour objet : 1. de définir les principes fondamentaux de la pratique de l'audit interne ; 2. de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d’intervention d'audit interne à valeur ajoutée ; 3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ; 4. de favoriser l'amélioration des processus organisationnels et des opérations. Les Normes sont des principes obligatoires constituées : de déclarations sur les conditions fondamentales pour la pratique professionnelle de l’audit interne et pour l’évaluation de sa performance. Elles sont internationales et applicables tant au niveau du service qu’au niveau individuel ; d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations. Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En particulier les Normes utilisent le mot « must » pour spécifier une exigence impérative et le mot « should » lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances. Il est indispensable de prendre en considération les déclarations et les interprétations ainsi que les significations spécifiques du Glossaire pour comprendre et appliquer correctement les Normes. Les Normes se composent des Normes de qualification, des Normes de fonctionnement et des
© IFACI - décembre 2012
25
Normes de mise en œuvre. Les Normes de qualification énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne. Les Normes de fonctionnement décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis. Les Normes de qualification et les Normes de fonctionnement s’appliquent à tous les services d’audit. Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de fonctionnement en indiquant les exigences applicables dans les activités d’assurance (A) ou de conseil (C). Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne détermine la nature et l'étendue des missions d’assurance. Elles comportent généralement trois types d'intervenants : (1) la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction, le processus, le système ou le sujet examiné – autrement dit le propriétaire du processus, (2) la personne ou le groupe réalisant l'évaluation – l'auditeur interne, et (3) la personne ou le groupe qui utilise les résultats de l'évaluation – l'utilisateur. Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeur interne, et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés – le client. Lors de la réalisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et n'assumer aucune fonction de management. Les Normes s’appliquent aux auditeurs internes et à l'activité d’audit interne. Tous les auditeurs internes ont la responsabilité de se conformer aux Normes relatives à l’objectivité, aux compétences et à la conscience professionnelle individuelles. De plus, ils doivent se conformer aux Normes relatives aux responsabilités associées à leur poste. Les responsables de l’audit interne ont la responsabilité d’assurer la conformité globale de l'activité d’audit interne avec les Normes et d’en rendre compte. La revue et la mise à jour des Normes est un processus continu. « The International Internal Audit Standards Board » mène une large consultation et des discussions avant de publier les Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont consultables sur le site internet de l'IIA et sont distribués à tous les instituts affiliés. Les suggestions et commentaires concernant les Normes peuvent être adressés à : The Institute of Internal Auditors Standards and Guidance 247, Maitland Avenue. Altamonte Springs, Florida 32701-4201 USA Courrier électronique : [email protected] Site web : www.theiia.org
26
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
NormES DE quAlIFICAtIoN
© IFACI - décembre 2012
27
28
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
Normes de qualification 1000 – mission, pouvoirs et responsabilités
MPA 1000-1 : Charte d’audit interne
La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale et du Conseil. Interprétation : La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil. Commentaire IFACI Le terme « Conseil » est explicité dans le Glossaire des Normes. Dans la pratique, le responsable de l’audit interne a, lorsqu’il existe, une relation fonctionnelle avec le comité spécialisé du Conseil mandaté pour les questions liées à la gestion des risques, au contrôle interne et à l’audit interne. Il s’agit le plus souvent du comité d’audit ou du comité de contrôle interne et des risques. La nature de cette relation fonctionnelle est précisée dans l’interprétation de la Norme 1110. L’IFACI considère que la charte d’audit interne devra également définir le rattachement hiérarchique du responsable de l'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le rôle de l’audit interne dans le gouvernement d’entreprise recommande que « l’audit interne soit clairement rattaché hiérarchiquement à la direction générale ». Quel que soit son niveau de rattachement, le responsable de l’audit interne devra présenter le contenu de la charte à la direction générale afin d’assurer la cohérence entre les responsabilités et les pouvoirs attribués à l’audit interne. La prise de position IFA/IFACI préconise que le comité d’audit prenne connaissance des documents formalisant l’organisation générale du service d’audit interne et en particulier la charte de l’audit interne. L’indépendance est confirmée par l’approbation de ces documents par le Conseil.
© IFACI - décembre 2012
29
La revue périodique de la charte garantit l’adéquation permanente de la capacité d’intervention de l’audit interne avec les missions qui lui sont assignées.
1000.A1 – La nature des missions d'assurance réalisées pour l'organisation doit être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature doit être également définie dans la charte d'audit interne. 1000.C1 – La nature des missions de conseil doit être définie dans la charte d'audit interne.
1010 – reconnaissance de la définition de l’audit interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interne Le caractère obligatoire de la définition de l’audit interne, du Code de Déontologie ainsi que des Normes doit être reconnu dans la charte d'audit interne. Le responsable de l’audit interne présente la définition de l’audit interne, le Code de Déontologie ainsi que les Normes à la direction générale et au Conseil.
Commentaire IFACI Lorsque le responsable de l’audit interne soumet la charte pour approbation à la direction générale et au Conseil (cf. Norme 1000), il présente en particulier la définition de l’audit interne, le Code de Déontologie et les Normes. Ces dispositions obligatoires ont fait leur preuve dans les différents contextes où l’audit interne est pratiqué. Elles constituent le niveau minimal de professionnalisme requis.
Commentaire IFACI Une bonne connaissance du CRIPP est nécessaire pour donner du sens à la présentation qui est faite aux instances dirigeantes. Elle permet d’illustrer, de façon pertinente, en quoi la réalisation des objectifs de l’organisation et sa structuration permettent l’application des principes du CRIPP.
30
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
1100 – Indépendance et objectivité L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité. Interprétation : L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement. Les atteintes à l’indépendance doivent être appréhendées à différents niveaux : au niveau de l’auditeur interne ; au niveau de la conduite de la mission ; au niveau de l’audit interne et de son positionnement dans l’organisation. L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de leurs travaux menés sans le moindre compromis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d’autres personnes. Comme pour l’indépendance, les atteintes à l’objectivité doivent être appréhendées au niveau de : l’auditeur interne ; la conduite de la mission ; l’audit interne et de son positionnement dans l’organisation.
Commentaire IFACI L’indépendance de l’audit interne dépend également du rattachement hiérarchique de son responsable à la direction générale et de sa capacité à communiquer avec le Conseil. Au niveau individuel, l’absence de subordination au jugement d’autres personnes concerne en premier lieu les opinions qui seraient formulées en dehors du service d’audit interne. L’objectivité découle en partie de l’approche systématique et méthodique prévue dans la définition de l’audit interne.
© IFACI - décembre 2012
31
1110 – Indépendance dans l'organisation
MPA 1110-1 : Le responsable de l'audit interne doit relever d’un niveau hiérar- Indépendance dans l’organisation chique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation. Interprétation : L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne rapporte fonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil : approuve la charte d’audit interne ; approuve le plan d’audit interne fondé sur l’approche par les risques ; approuve le budget et les ressources prévisionnels de l’audit interne ; soit destinataire des informations adressées par le responsable d’audit relatives à la réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ; approuve les décisions liées à la nomination et à la révocation du responsable de l’audit interne ; approuve la rémunération du responsable de l’audit interne ; demande des informations pertinentes au management et au responsable de l’audit interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne. Commentaire IFACI Comme souligné à propos de la Norme 1000, c’est le double rattachement de l’audit interne qui permet d’asseoir son indépendance au sein de l’organisation. Dans sa prise de position sur l’urbanisme du contrôle interne, l’IFACI recommande que l’audit interne soit rattaché au plus haut niveau de l’organisation afin de conforter l’objectivité de ses démarches et affirmer l’indépendance dont il a besoin pour exercer ses activités ; que ce rattachement soit situé idéalement au niveau de la direction générale, ultime responsable du contrôle interne comme de la bonne marche des organisations. Il est souhaitable que les responsabilités du Conseil à l’égard de l’audit soient formalisées. Les éléments de l’interprétation pourront être utilisés à cet effet et être complétés par d’autres bonnes pratiques professionnelles. Par exemple, le comité d’audit est tenu informé, le cas échéant : • des zones de risques non couvertes que l’audit interne a lui-même identifiées ; • de la réalisation des missions non planifiées, y compris les demandes de la direction générale ; • des changements de périmètre de certaines missions ou des reports ; • de la participation des auditeurs ou du responsable de l’audit interne à des projets ou à des travaux connexes ; • du suivi de la mise en œuvre des recommandations ; • des points significatifs de désaccord avec le management conformément au processus décrit dans la norme 2600, etc.
32
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
L’approbation du budget doit s’appuyer sur l’analyse d’un certain nombre de critères notamment au regard du plan d’audit à réaliser. Pour conforter l’indépendance de l’audit interne, le Conseil devrait contribuer à l’évaluation de la performance du responsable de l’audit interne notamment sur la base de la qualité des informations reçues.
1110.A1 – L'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats. 1111 – relation directe avec le Conseil Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil.
MPA 1111-1 : Relation avec le conseil
Commentaire IFACI Le responsable de l’audit interne doit particulièrement instaurer des relations régulières avec le Conseil ou ses comités spécialisés. Il organise une communication adaptée aux besoins de ces instances et aux exigences de sa mission. Il démontre, notamment lors de réunions d’échanges directes, la contribution de l’audit interne à l’exercice de leur responsabilité. 1120 – objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt.
MPA 1120-1 : Objectivité individuelle
Interprétation : Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer la confiance en l’auditeur interne, vis-à-vis du service d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités de manière objective.
© IFACI - décembre 2012
33
1130 – Atteinte à l'indépendance ou à l'objectivité MPA 1130-1 : Atteintes Si l'indépendance ou l'objectivité des auditeurs internes sont à l’indépendance ou à compromises dans les faits ou même en apparence, les parties l’objectivité concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance. Interprétation : Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations financières. L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépendance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit interne, et d’autre part de la nature de cette atteinte. Commentaire IFACI La mise en œuvre de cette Norme doit s’appuyer sur la charte d’audit interne et le Code de Déontologie.
1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente. 1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne.
MPA 1130.A1-1 : Audit des opérations dont les auditeurs internes ont été auparavant responsables
MPA 1130.A2-1 : Responsabilités exercées par l’audit interne au titre d’autres fonctions
1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées à des opérations dont ils ont été auparavant responsables. 1130.C2 – Si l'indépendance ou l'objectivité des auditeurs internes sont susceptibles d'être compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le client donneur d'ordre avant de les accepter.
34
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
1200 – Compétence et conscience professionnelle Les missions doivent être conduites avec compétence et conscience professionnelle. 1210 – Compétence
MPA 1200-1 : Compétence et conscience professionnelle
MPA 1210-1 : Compétence
Les auditeurs internes doivent posséder les connaissances, le savoirfaire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. Commentaire IFACI La connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique. Pour une pratique professionnelle de l’audit interne il faut également mobiliser d’autres compétences en termes de savoir-être et de savoirfaire (connaissance des métiers de l’organisation, de sa culture…), ce qui permet de renforcer l’objectivité et l’indépendance des auditeurs internes.
Interprétation : Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou par d’autres organisations professionnelles appropriées. Commentaire IFACI Les auditeurs internes peuvent démontrer qu'ils détiennent les savoirs et savoir-faire indispensables à l'exercice de leur métier en obtenant les qualifications professionnelles également proposées par l'IFACI. Ces qualifications attestent que leurs titulaires ont les connaissances et les compétences qui leur permettront de conduire une mission d’audit de manière autonome et professionnelle, en s’appuyant sur la démarche préconisée par les Normes. 1210.A1 – Le responsable de l'audit interne doit obtenir MPA 1210.A1-1 : l'avis et l'assistance de personnes qualifiées si les auditeurs Recours à des internes ne possèdent pas les connaissances, le savoir-faire prestataires externes et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission.
© IFACI - décembre 2012
35
1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité première est la détection et l'investigation des fraudes. 1210.A3 – Les auditeurs internes doivent posséder une connaissance suffisante des principaux risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique. 1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseil ou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de la mission. Commentaire IFACI Chaque auditeur pris individuellement n’a pas besoin d’avoir toutes les connaissances nécessaires à la conduite de la mission. Ces compétences doivent être disponibles collectivement. Qu’il s’agisse de mission d’assurance ou de conseil, c’est au responsable d’audit interne de veiller à ce que la constitution de l’équipe soit cohérente avec les objectifs de la mission.
1220 – Conscience professionnelle
MPA 1220-1 : Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité. 1220.A1 – Les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique professionnelle en prenant en considération les éléments suivants : l'étendue du travail nécessaire pour atteindre les objectifs de la mission ; la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont appliquées les procédures propres aux missions d'assurance ; l’adéquation et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle ; la probabilité d'erreurs significatives, de fraudes ou de non-conformité; le coût de la mise en place des contrôles par rapport aux avantages escomptés.
36
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit envisager l'utilisation de techniques informatiques d’audit et d’analyse des données. 1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égard des risques significatifs susceptibles d'affecter les objectifs, les opérations ou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menées avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés. 1220.C1 – Les auditeurs internes doivent apporter à une mission de conseil toute leur conscience professionnelle, en prenant en considération les éléments suivants : les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication des résultats de la mission ; la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre les objectifs fixés ; son coût par rapport aux avantages escomptés.
1230 – Formation professionnelle continue Les auditeurs internes doivent améliorer leurs connaissances, savoirfaire et autres compétences par une formation professionnelle continue.
MPA 1230-1 : Formation professionnelle continue
Commentaire IFACI La valeur créée par un service d'audit interne repose d'abord sur les connaissances et le savoir-faire des auditeurs internes. Le développement et le maintien des compétences doivent être une priorité et faire l'objet de toute l'attention nécessaire.
© IFACI - décembre 2012
37
1300 – Programme d'assurance et d'amélioration qualité
MPA 1300-1 : Programme d’assurance et d’amélioration qualité
Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne. Interprétation : Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer : la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes. Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit interne et d’identifier toutes opportunités d’amélioration.
1310 – Exigences du programme d'assurance et d'amélioration qualité Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu’externes. 1311 – Évaluations internes
MPA 1310-1 : Exigences du programme d’assurance et d’amélioration qualité MPA 1311-1 : Evaluations internes
Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des évaluations périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne. Interprétation : La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les informations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes. Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit interne à la définition de l’audit interne, au Code de Déontologie et aux Normes. Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
38
© IFACI - décembre 2012
1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel.
MPA 1312-1 : Evaluations externes MPA 1312-2 : Evaluations externes : auto-évaluation avec validation indépendante MPA 1312-3 : Indépendance de l’équipe d’évaluation externe dans le secteur privé
MPA 1312-4 : Indépendance de Interprétation : l’équipe d’évaluation Les évaluations externes peuvent prendre la forme d’une évaluation externe dans le secteur entièrement externalisée ou d’une auto-évaluation avec validation indé- public pendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent. Commentaire IFACI Le principe d’une évaluation externe témoigne de la capacité de l’audit interne à ne pas s’exonérer de ses propres exigences professionnelles. La direction générale devrait être préalablement informée des modalités d’implication du Conseil et plus particulièrement des éléments qui lui seront communiqués. Une évaluation externe plus fréquente peut être envisagée en fonction de l’évolution de l’environnement, du profil de risque de l’organisation, de la sensibilité des parties prenantes, de la nature des travaux de l’audit interne et de son organisation. Des éléments complémentaires concernant la qualification des évaluateurs externes sont disponibles au §7 de la MPA 1312-1 « Evaluations externes ».
© IFACI - décembre 2012
39
Dispositions obligatoires
Normes de qualification
1320 – rapports relatifs au programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit communiquer les résultats du programme d'assurance et d'amélioration qualité à la direction générale ainsi qu’au Conseil. Commentaire IFACI La conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes nécessite une déclinaison concrète de ces principes dans les procédures du service d’audit interne qui faciliteront leur appropriation par les auditeurs. L’utilisation du Référentiel Professionnel de l’Audit Interne (RPAI) développé par IFACI Certification peut aider à mettre en œuvre le Programme d’assurance et d’amélioration qualité.
Interprétation : La forme, le contenu ainsi que la fréquence des communications relatives aux résultats du programme d'assurance et d'amélioration qualité sont définis lors de discussions avec la direction générale et le Conseil, et tiennent compte des responsabilités de l’audit interne et de celles du responsable de l’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes, les résultats des évaluations internes périodiques et des évaluations externes doivent être communiqués dès l’achèvement de ces évaluations. Les résultats de la surveillance continue sont quant à eux communiqués au moins une fois par an. Ces résultats incluent l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité de l’activité d’audit interne.
1321 – utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.
MPA 1321-1 : Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne »
Interprétation : Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de la Définition de l’audit interne, du Code de déontologie et des Normes. Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des évaluations internes et des évaluations externes. Tout service d’audit interne disposera de résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté disposeront également des résultats de leurs évaluations externes.
40
© IFACI - décembre 2012
Dispositions obligatoires
Normes de qualification
Commentaire IFACI Quelle que soit l’ancienneté du service, les résultats d’une évaluation externe sont indispensables pour pouvoir utiliser cette mention. En effet, la Norme 1310 précise que « le programme d’assurance et d’amélioration qualité doit comporter des évaluations tant internes qu’externes ». Comme indiqué dans le §3 de la MPA 1321-1 « l’emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a pas démontré que l’audit interne fonctionne en conformité avec la définition de l’audit interne, le Code de déontologie et les Normes ». La mise en œuvre de cette Norme doit être cohérente avec la Norme 1322. Ces indications de conformité ou de non-conformité au niveau du service sont déclinées pour les missions avec les Normes 2430 et 2431. 1322 – Indication de non-conformité Quand la non-conformité de l’activité d’audit interne avec la définition de l’audit interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction générale et le Conseil de cette non-conformité et de ses conséquences. Commentaire IFACI L’indication de non-conformité ne se limite pas au positionnement de l’audit interne ou à son pilotage, cette déclaration concerne l’ensemble du processus d’audit : • les activités transversales telles que l’élaboration de procédures, la gestion des ressources, la coordination avec les autres acteurs du contrôle ou la communication ; • le cœur du métier avec la planification, la réalisation des missions et le suivi des recommandations. La mise en œuvre de cette Norme doit être cohérente avec la Norme 2431. Plusieurs non-conformités lors des missions devraient poser la question de la conformité de l’activité d’audit interne.
© IFACI - décembre 2012
41
42
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
NormES DE FoNCtIoNNEmENt
© IFACI - décembre 2012
43
44
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
Normes de Fonctionnement 2000 – gestion de l'audit interne Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à l’organisation. Interprétation : L’activité d’audit interne est gérée efficacement quand : les résultats des travaux de l’audit interne répondent aux objectifs et responsabilités définis dans la charte d’audit interne ; l’audit interne est exercé conformément à la définition de l’audit interne et aux Normes ; les membres de l’équipe d’audit agissent en respectant le Code de Déontologie et les Normes. Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle interne. MPA 2010-1 : La prise en compte des 2010 – Planification risques et des menaces pour l’élaboration du Le responsable de l'audit interne doit établir un plan d’audit fondé plan d’audit sur les risques afin de définir des priorités cohérentes avec les objecMPA 2010-2 : tifs de l'organisation. Prise en compte du management des risques dans la Interprétation : planification de l’audit Il incombe au responsable de l’audit interne de développer un plan d’audit interne fondé sur les risques. Pour ce faire, le responsable de l’audit interne prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation. Commentaire IFACI Le système de management des risques est l’un des éléments à prendre en considération pour l’établissement de l’ordre de priorités des missions. Au préalable, le responsable de l’audit interne doit évaluer l’efficacité du processus de management des risques de l’organisation pour s’assurer que le périmètre de ce processus recouvre l’univers d’audit et que les
© IFACI - décembre 2012
45
informations fournies sont fiables et utiles pour l’analyse des risques qu’il réalise. Par ailleurs, le responsable de l’audit interne prend en compte d’autres données : • la date et les résultats des précédentes missions ; • les demandes de la direction générale, du comité d’audit et d’autres organes de direction ; • les changements importants intervenus (ou envisagés) dans les processus et les activités de l’organisation ; • la composition de l’équipe d’audit interne, ses compétences et les modifications envisagées au niveau des ressources, etc. Le plan initial est un « contrat » (généralement annuel) avec les organes dirigeants. En ce qui concerne les éventuelles modifications, les organes dirigeants devront être sollicités à bon escient au regard des enjeux.
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la direction générale et du Conseil doivent être pris en compte dans ce processus. Commentaire IFACI Le plan d’audit ne doit pas résulter d’un simple recensement des activités et des entités de l’organisation. Le responsable de l’audit interne doit avoir une approche méthodique fondée sur des informations factuelles pour définir le contour des missions et hiérarchiser les différents sujets. Il veille à conserver la trace des éléments qui ont permis d’aboutir aux priorités qu’il définit. 2010.A2 – Le responsable de l’audit interne doit identifier et prendre en considération les attentes de la direction générale, du Conseil et des autres parties prenantes concernant les opinions et d’autres conclusions de l’audit interne. 2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne, avant de l'accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées doivent être intégrées dans le plan d'audit.
2020 – Communication et approbation
MPA 2020-1 : Communication et approbation
Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.
46
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2030 – gestion des ressources
MPA 2030-1 : Gestion des ressources Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé. Interprétation : On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre efficacement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
2040 – règles et procédures Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne.
MPA 2040-1 : Règles et procédures
Interprétation : La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l’audit interne et de la complexité de ses travaux. Commentaire IFACI La complexité des travaux dépend du contexte de la mission (environnement plus ou moins stable, activités récurrentes ou non, caractère transverse, novateur…). Elle peut également varier en fonction de la qualité du dispositif de contrôle interne sous-jacent, du niveau de détail des tests envisagés, de la technicité des opérations auditées... 2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil. Commentaire IFACI La coordination des acteurs permet une couverture efficiente des risques de l’organisation. En ayant un rôle actif dans cette concertation, le responsable d’audit interne se donne les moyens de mieux atteindre les objectifs qui lui sont assignés.
© IFACI - décembre 2012
MPA 2050-1 : Coordination MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques MPA 2050-3 : S’appuyer sur les travaux d’autres prestataires de services d’assurance
47
2060 – rapports à la direction générale et au Conseil
MPA 2060-1 : Rapports Le responsable de l'audit interne doit rendre compte périodique- à la direction générale et au conseil ment à la direction générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte : de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles correspondants ; des sujets relatifs au gouvernement d’entreprise et ; de tout autre problème répondant à un besoin ou à une demande de la direction générale ou du Conseil. Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction générale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence des actions correctives devant être entreprises par la direction générale et le Conseil.
2070 – responsabilité de l’organisation en cas de recours à un prestataire externe pour ses activités d’audit interne Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce dernier doit alerter l’organisation qu’elle reste responsable du maintien d’un audit interne efficace. Interprétation : Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité, lequel évalue la conformité avec la Définition de l’audit interne, le Code de déontologie et les Normes. Commentaire IFACI Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit interne est la personne, qui au sein de l’organisation a comme mission principale la surveillance de l'exécution du contrat de services et de la qualité de ces activités. Il rend compte à la direction générale et au Conseil des activités d'audit interne. Si les activités d’audit interne sont totalement externalisées, il convient d’être particulièrement vigilant sur les risques d’atteinte à l’indépendance ou à l’objectivité (cf. Normes 1110, 1120 et 1130).
48
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2100 – Nature du travail L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique et méthodique. Commentaire IFACI Le service d’audit élabore sa propre méthode d’évaluation des processus de gouvernement d’entreprise, de management des risques et de contrôle en utilisant des bonnes pratiques identifiées dans le Cadre de Référence International des Pratiques Professionnelles de l’audit interne (en particulier les Modalités Pratiques d’Application, les guides d’application et les prises de position), les publications de l’IFACI (cahiers de la recherche, actes de colloques, etc.), les échanges avec les pairs, la veille, etc. Le processus de contrôle vise l’ensemble du dispositif de contrôle interne. Il ne faut pas le restreindre aux procédures ou aux activités de contrôle, mais également prendre en compte l’organisation, le pilotage et la surveillance du processus qui se fondent sur une approche par les risques et une diffusion fiable de l’information. 2110 – gouvernement d'entreprise
MPA 2110-1 : Gouvernement d’entreprise : Définition
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux MPA 2110-2 : Gouvernement objectifs suivants : d’entreprise : Relations promouvoir des règles d'éthique et des valeurs appropriées avec les risques et le contrôle interne au sein de l'organisation ; garantir une gestion efficace des performances de l'organi- MPA 2110-3 : Gouvernement sation, assortie d'une obligation de rendre compte ; d’entreprise : communiquer aux services concernés de l'organisation les Evaluations informations relatives aux risques et aux contrôles ; fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités. Commentaire IFACI Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Norme.
2110.A1 – L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité des objectifs, des programmes et des activités de l'organisation liés à l'éthique. 2110.A2 – L’audit interne doit évaluer si la gouvernance des systèmes d’information de l’organisation soutient la stratégie et les objectifs de l’organisation.
© IFACI - décembre 2012
49
Commentaire IFACI Cette Norme, introduite en 2009, concerne un domaine incontournable pour toutes les organisations. En effet, les systèmes d’information doivent supporter les objectifs actuels et futurs de l’organisation et contribuer à la qualité du contrôle interne (gestion du portefeuille des investissements IT, maîtrise de la fiabilité et de la disponibilité des informations, etc.). L’audit interne s’appuiera sur des référentiels professionnels pour évaluer la gouvernance des systèmes d’information (voir Gouvernance du système d’information / IFACI, AFAI, CIGREF (2011)).
2120 – management des risques L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration.
MPA 2120-1 : Evaluer la pertinence des processus de management des risques
Interprétation : MPA 2120-2 : Afin de déterminer si les processus de management des risques sont effi- Gestion du risque lié à l’activité d’audit caces, les auditeurs internes doivent s’assurer que : interne les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; les risques significatifs sont identifiés et évalués ; les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ; les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités. Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des résultats de ces missions permet une compréhension du processus de management des risques de l’organisation et de son efficacité. Les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens. Commentaire IFACI Afin d’évaluer l’efficacité des processus de management des risques de son organisation, l’audit interne s’appuie utilement sur des référentiels reconnus comme le COSO 2 - Enterprise Risk Management Framework ou l’ISO 31000, et tient compte de la Recommandation de l'Autorité des Marchés Financiers (AMF) sur « Les dispositifs de gestion des risques et de contrôle interne : Cadre de Référence » (juillet 2010).
50
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de : l’atteinte des objectifs stratégiques de l’organisation ; la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats. 2120.A2 – L’audit interne doit évaluer la possibilité de fraude et la manière dont ce risque est géré par l’organisation. Commentaire IFACI L’évaluation de la possibilité d’occurrence de fraude nécessite la vérification de la qualité de l’environnement de contrôle, de la bonne gestion des aspects éthiques et de l’existence d’une culture d’exemplarité. Néanmoins, il ne faut pas oublier qu’une situation à faible probabilité d’occurrence peut avoir des conséquences dramatiques si elle ne se réalise pas. Même si cela n’est pas toujours évident, l’auditeur interne doit également essayer de répondre à la question du caractère significatif (cf. glossaire) du risque de fraude. Commentaire IFACI Sans forcément attendre la planification d’une mission spécifique sur le risque de fraude, les auditeurs internes doivent, lors de leurs missions habituelles, avoir une forte sensibilité sur les problèmes de fraude.
2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrir les risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de l’existence de tout autre risque susceptible d’être significatif. 2120.C2 – Les auditeurs internes doivent utiliser leurs connaissances des risques acquises lors de missions de conseil pour évaluer les processus de management des risques de l'organisation. 2120.C3 – Lorsque les auditeurs internes aident le management dans la conception et l’amélioration des processus de management des risques, ils doivent s’abstenir d’assumer une responsabilité opérationnelle en la matière.
© IFACI - décembre 2012
51
2130 – Contrôle L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.
MPA 2130-1 : Evaluer la pertinence des processus contrôle
Commentaire IFACI Le dispositif de contrôle s’entend au sens large de contrôle interne. Il ne se limite pas aux activités de contrôle (cf. commentaire de la Norme 2100). 2130.A1 – L'audit interne doit évaluer la pertinence et l'effi- MPA 2130.A1-1 : cacité du dispositif de contrôle choisi pour faire face aux Fiabilité et intégrité de risques relatifs au gouvernement d'entreprise, aux opérations l’information et systèmes d'information de l'organisation. Cette évaluation MPA 2130.A1-2 : doit porter sur les aspects suivants : L’évaluation du l’atteinte des objectifs stratégiques de l’organisa- dispositif mis en place par l’organisation pour tion ; protéger la vie privée la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats. 2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifs de contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus de contrôle de l’organisation.
2200 – Planification de la mission Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées.
MPA 2200-1 : Planification de la mission MPA 2200-2 : Utilisation d’une approche « TopDown », fondée sur les risques, pour identifier les contrôles à évaluer dans le cadre d’une mission d’audit interne
2201 – Considérations relatives à la planification Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et
52
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable ; la pertinence et l'efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle de l'activité, en référence à un cadre ou modèle de contrôle approprié ; les opportunités d'améliorer de manière significative les processus de gouvernement d’entreprise, de management des risques et de contrôle de l'activité. 2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation, les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la mission, les responsabilités et les attentes respectives, et préciser les restrictions à observer en matière de diffusion des résultats de la mission et d'accès aux dossiers. 2201.C1 – Les auditeurs internes doivent établir avec le client donneur d'ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet accord doit être formalisé.
2210 – objectifs de la mission
MPA 2210-1 : Objectifs de la mission
Les objectifs doivent être précisés pour chaque mission. 2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation.
MPA 2210.A1-1 : Evaluation des risques dans la planification de la mission
2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu'il existe des erreurs significatives, des cas de fraudes ou de non-conformité et d’autres risques importants. 2210.A3 – Des critères adéquats sont nécessaires pour évaluer le gouvernement d’entreprise, le management des risques et le dispositif de contrôle. Les auditeurs internes doivent déterminer dans quelle mesure le management et/ou le Conseil a défini des critères adéquats pour apprécier si les objectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler avec le management et/ou le Conseil pour élaborer des critères d'évaluation appropriés.
© IFACI - décembre 2012
53
Commentaire IFACI Dans la pratique, le Conseil délègue à la direction générale la responsabilité de définir les critères adéquats d’évaluation et d’en rendre compte. Dans l’esprit de la norme 2600, lorsque les critères d’évaluation sont inadéquats, il y a un risque de non maîtrise des processus qu’il convient de discuter avec les managers concernés puis avec la direction générale et enfin avec le Conseil, qui intervient en dernier ressort pour les écarts significatifs.
2210.C1 – Les objectifs d'une mission de conseil doivent porter sur les processus de gouvernement d'entreprise, de management des risques et de contrôle dans la limite convenue avec le client. 2210.C2 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs, la stratégie et les objectifs de l'organisation.
2220 – Champ de la mission Le champ doit être suffisant pour atteindre les objectifs de la mission. 2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers. 2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser les objectifs et le champ de la mission de conseil, les responsabilités et les attentes respectives. Les résultats de la mission de conseil sont communiqués conformément aux Normes applicables à ces missions. 2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ d'intervention permet de répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission. 2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examiner les dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'existence de tout problème de contrôle significatif.
54
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2230 – ressources affectées à la mission
MPA 2230-1 : Les auditeurs internes doivent déterminer les ressources appro- Ressources affectées à la mission priées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.
2240 – Programme de travail de la mission Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission.
MPA 2240-1 : Programme de travail de la mission
2240.A1 – Le programme de travail doit faire référence aux procédures à appliquer pour identifier, analyser, évaluer et documenter les informations lors de la mission. Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajustements éventuels doivent être approuvés rapidement. 2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de la mission.
2300 – Accomplissement de la mission Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission.
MPA 2300-1 : Utilisation d’informations à caractère personnel dans la conduite d’une mission
2310 – Identification des informations Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. Interprétation : Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudente et informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est une information concluante et facilement accessible par l’utilisation de techniques d’audit appropriées. Une information pertinente conforte les constatations et recommandations de l’audit, et répond aux objectifs de la mission. Une information utile aide l’organisation à atteindre ses objectifs.
© IFACI - décembre 2012
55
Commentaire IFACI Pour définir la fiabilité d’une information, l'interprétation met l’accent sur son accessibilité. En effet, une information difficilement accessible est une information qu'il va falloir reconstituer à partir de calculs, d'algorithmes ou d’autres raisonnements reposant souvent sur des hypothèses, d'où une grande difficulté à évaluer une information de ce type sur des critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches. Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilité en s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité de la source d’information. 2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.
2330 – Documentation des informations Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission. 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures.
2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre.
MPA 2320-1 : Procédures analytiques MPA 2320-2 : L’analyse causale MPA 2330-1 : Documentation des informations MPA 2330.A1-1 : Contrôle des dossiers d’audit MPA 2330.A1-2 : Autorisation d’accès aux dossiers de la mission MPA 2330.A2-1 : Conservation des dossiers
2330.C1 – Le responsable de l'audit interne doit définir des procédures concernant la protection et la conservation des dossiers de la mission de conseil ainsi que leur diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre appropriée.
56
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2340 – Supervision de la mission Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué.
MPA 2340-1 : Supervision de la mission
Interprétation : L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes, ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne, mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentée et conservée dans les papiers de travail.
2400 – Communication des résultats Les auditeurs internes doivent communiquer les résultats de la mission.
2410 – Contenu de la communication La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions.
MPA 2400-1 : Aspects légaux de la communication des résultats
MPA 2410-1 : Contenu de la communication
2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion des auditeurs internes et/ou leurs conclusions. Lorsqu’une opinion ou une conclusion sont émises, elles doivent prendre en compte les attentes de la direction générale, du Conseil et des autres parties prenantes. Elles doivent également s’appuyer sur une information suffisante, fiable, pertinente et utile. Interprétation : Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation, de conclusions ou de toute autre description des résultats. Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opérationnelle spécifique. La formulation de ces opinions exige de prendre en compte les résultats de la mission et leur caractère significatif.
© IFACI - décembre 2012
57
Commentaire IFACI L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ». Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la conception et le fonctionnement de ces activités de contrôle.
2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées, lors de la communication des résultats de la mission. 2410.A3 – Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant pas partie de l'organisation, les documents communiqués doivent préciser les restrictions à observer en matière de diffusion et d'exploitation des résultats. 2410.C1 – La communication sur l'avancement et les résultats d'une mission de conseil variera dans sa forme et son contenu en fonction de la nature de la mission et des besoins du client donneur d'ordre.
2420 – qualité de la communication La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile.
MPA 2420-1 : Qualité de la communication
Interprétation : Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sousjacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant d’étayer les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos, elle permet au management de prendre les actions correctives appropriées en fonction du caractère significatif de la problématique.
58
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2421 – Erreurs et omissions Si une communication finale contient une erreur ou une omission significative, le responsable de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la version initiale.
2430 – utilisation de la mention « conduit conformément aux Normes internationales pour la pratique professionnelle de l’audit interne » Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites conformément aux Normes internationales pour la pratique professionnelle de l’audit interne » seulement si les résultats du programme d’assurance et d’amélioration qualité le démontrent. Commentaire IFACI Même si la mention de la conformité concerne une mission, les auditeurs internes devront au préalable s’assurer de la conformité de l’ensemble de l’activité d’audit interne.
2431 – Indication de non-conformité Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie ou aux Normes, la communication des résultats doit indiquer : les principes ou les règles de conduite du Code de Déontologie, ou les Normes avec lesquelles la mission n’a pas été en conformité ; la ou les raisons de la non-conformité ; l'incidence de la non-conformité sur la mission et sur les résultats communiqués. Commentaire IFACI Cette Norme met l’accent sur le respect du Code de Déontologie. Le responsable d’audit interne doit encourager l’instauration d’échanges réguliers avec les auditeurs internes pour qu’ils puissent exprimer les risques de non-conformité pendant le déroulement de la mission.
© IFACI - décembre 2012
59
2440 – Diffusion des résultats Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
MPA 2440-1 : Diffusion des résultats de la mission
MPA 2440-2 : Communication Interprétation : d’informations Le responsable de l'audit interne a la responsabilité de la revue et de l’ap- sensibles dans ou en probation du rapport définitif avant qu’il ne soit émis, et décide à qui et de dehors de la ligne hiérarchique quelle manière il sera diffusé. Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière responsabilité. Commentaire IFACI Le responsable de l'audit interne doit définir, a priori, des règles homogènes de diffusion et les modalités d’accès aux rapports d’audit. Ces règles préétablies pourront tenir compte de la complexité et de la sensibilité de la mission. Pour chaque catégorie de mission des destinataires habituels pourront être identifiés de même que les modalités de gestion des diffusions ou des demandes d’accès exceptionnelles.
2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs aux destinataires à même de garantir que ces résultats recevront l'attention nécessaire. 2440-A2 – Sauf indication contraire de la loi, de la réglemen- MPA 2440.A2-1 : tation ou des statuts, le responsable de l'audit doit accomplir Diffusion des résultats d’audit en dehors de les tâches suivantes avant de diffuser les résultats à des desti- l’organisation nataires ne faisant pas partie de l'organisation : évaluer les risques potentiels pour l'organisation ; consulter la direction générale et/ou, selon les cas, un conseil juridique ; maîtriser la diffusion en imposant des restrictions quant à l'utilisation des résultats. 2440-C1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs des missions de conseil à son client donneur d'ordre. 2440-C2 – Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux processus de gouvernement d'entreprise, de management des risques et de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour l'organisation, ils doivent être communiqués à la direction générale et au Conseil. 60
© IFACI - décembre 2012
Dispositions obligatoires
Normes de fonctionnement
2450 – les opinions globales Lorsqu’une opinion globale est émise, elle doit prendre en compte les attentes de la direction générale, du Conseil et des autres parties prenantes. Elle doit également s’appuyer sur une information suffisante, fiable, pertinente et utile. Interprétation : La communication précisera : le périmètre, y compris la période concernée par l’opinion ; les limitations de périmètre ; le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services donnant une assurance sur la maîtrise des activités ; le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler l’opinion globale ; l’opinion globale, l’avis ou la conclusion donnée. Les causes de la formulation d’une opinion globale défavorable doivent être explicitées. Commentaire IFACI L’IIA a publié un guide pratique « Formuler et exprimer une opinion d’audit interne ». Le référentiel de contrôle interne constitue un élément essentiel à l’émission pertinente d’une opinion d’audit. L’organisation devrait s’appuyer sur des cadres de référence reconnus (COSO, AMF, etc.) pour établir son référentiel de contrôle interne. Il recense notamment les activités de contrôle prioritaires qui permettent de maîtriser les risques significatifs du domaine audité. L’opinion de l’audit interne portera notamment sur la conception et le fonctionnement de ces activités de contrôle.
2500 – Surveillance des actions de progrès Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.
MPA 2500-1 : Surveillance des actions de progrès
2500-A1 – Le responsable de l'audit interne doit mettre en MPA 2500.A1-1 : place un processus de suivi permettant de surveiller et de Processus de suivi de garantir que des mesures ont été effectivement mises en la mission œuvre par le management ou que la direction générale a accepté de prendre le risque de ne rien faire.
© IFACI - décembre 2012
61
2500-C1 – L'audit interne doit surveiller la suite donnée aux résultats des missions de conseil conformément à l'accord passé avec le client donneur d'ordre.
2600 – Communication relative à l’acceptation des risques Lorsque le responsable de l'audit interne conclut que le management a accepté un niveau de risque qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec la direction générale. Si le responsable de l’audit interne estime que le problème n’a pas été résolu, il doit soumettre la question au Conseil. Interprétation : L’identification du niveau de risque accepté par le management peut résulter d’une mission d’assurance, d’une mission de conseil, du suivi des plans d’actions du management à la suite de missions d’audit interne antérieures, ou d’autres moyens. La réponse au risque ne relève pas du responsable d’audit interne. Commentaire IFACI Cette Norme devra être appliquée avec sagesse et prudence. Sa mise en œuvre devrait être facilitée si le responsable de l’audit interne entretient une relation forte et suivie avec le comité d’audit interne et son Président. Mais les règles du jeu devront être très claires pour tous les acteurs et être explicitées tant dans la charte d’audit interne que dans celle du comité d’audit. Le responsable de l'audit interne doit notamment agir en fonction de l’appétence au risque et des seuils de tolérance définis par l’organisation ou de son opinion sur la qualité des dispositifs de traitement des risques en place.
62
© IFACI - décembre 2012
Dispositions obligatoires
glossaire
gloSSAIrE
© IFACI - décembre 2012
63
64
© IFACI - décembre 2012
Dispositions obligatoires
glossaire
glossaire Activités d'assurance II s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à l'organisation une évaluation indépendante des processus de gouvernement d'entreprise, de management des risques et de contrôle. Par exemple, des audits financiers, de performance, de conformité, de sécurité des systèmes et de due diligence.
Activité d'audit interne Assurée par un service, une division, une équipe de consultants ou tout autre praticien, c'est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. L'activité d'audit interne aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de gouvernement d'entreprise, de management des risques et de contrôle, en faisant des propositions pour renforcer leur efficacité.
Activités de conseil Conseils et services y afférents rendus au client donneur d'ordre, dont la nature et le champ sont convenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeur ajoutée et d'améliorer les processus de gouvernement d'entreprise, de management des risques et de contrôle d'une organisation sans que l'auditeur interne n'assume aucune responsabilité de management. Quelques exemples : avis, conseil, assistance et formation.
Appétence pour le risque Niveau de risque qu’une organisation est prête à accepter.
Atteinte Parmi les atteintes à l’indépendance du service d’audit interne et à l'objectivité individuelle peuvent figurer le conflit d'intérêts personnel, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limitations financières.
© IFACI - décembre 2012
65
Cadre de référence international des pratiques professionnelles (CrIPP) Cadre de référence qui structure les lignes directrices édictées par l’IIA. Ces lignes directrices sont soient (1) obligatoires soient (2) approuvées et fortement recommandées.
Caractère significatif Niveau d’importance relative d’un évènement, dans un contexte donné et selon des facteurs d’appréciation qualitatifs et quantitatifs tels que l’ampleur, la nature, l’effet, la pertinence et l’impact de cet évènement. Les auditeurs internes font preuve de jugement professionnel lorsqu’ils apprécient le caractère significatif des événements selon des objectifs pertinents.
Charte La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil.
Code de Déontologie Le Code de Déontologie de l'Institut comprend les principes applicables à la profession et à la pratique de l'audit interne, ainsi que les règles de conduite décrivant le comportement attendu des auditeurs internes. Le Code de Déontologie s'applique à la fois aux personnes et aux organismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture de l'éthique au sein de la profession d'audit interne.
Conflit d'intérêts Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'intérêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et responsabilités.
Conformité L'adhésion aux règles, plans, procédures, lois, règlements, contrats ou autres exigences.
66
© IFACI - décembre 2012
Dispositions obligatoires
glossaire
Conseil Le niveau le plus élevé des organes de gouvernance, responsable du pilotage, et/ou de la surveillance des activités et de la gestion de l'organisation. Habituellement, le Conseil (par exemple, un conseil d’administration, un conseil de surveillance ou un organe délibérant) comprend des administrateurs indépendants. Si une telle instance n’existe pas, le terme « Conseil », utilisé dans les Normes, peut désigner le dirigeant de l’organisation. Le terme « Conseil » peut renvoyer au comité d’audit auquel l’organe de gouvernance a délégué certaines fonctions.
Contrôle (dispositifs de contrôle) Toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints. Commentaire IFACI Cette définition montre que le terme « contrôle » ne doit pas être restreint à la notion d’activités de contrôle. Il concerne l’ensemble du dispositif de contrôle interne qui « comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui : • contribue à la maîtrise des activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et • doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité. ». Cette définition du cadre de référence de l’AMF précise également que le « contrôle interne ne se limite donc pas à l’ensemble des procédures ni aux seuls processus comptables et financiers ».
Contrôle des technologies de l’information Contrôles qui viennent en appui de la gestion et de la gouvernance de l’organisation et qui comportent des contrôles généraux et des contrôles techniques sur les infrastructures des technologies de l’information dans lesquelles on retrouve les applications, les informations, les installations et les personnes.
Contrôle satisfaisant C'est le cas lorsque le management s'est organisé de manière à apporter une assurance raisonnable que les risques que court l'organisation, ont été gérés efficacement et que les buts et objectifs de l'organisation seront atteints d'une manière efficace et économique.
© IFACI - décembre 2012
67
Devrait Traduction de “Should”, utilisée dans les normes lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances.
Doit Traduction de “must”, utilisée dans les Normes pour indiquer une exigence impérative.
Environnement de contrôle L'attitude et les actions du Conseil et du management au regard de l'importance du (dispositif de) contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et la structure nécessaires à la réalisation des objectifs primordiaux du système de contrôle interne. L'environnement de contrôle englobe les éléments suivants : intégrité et valeurs éthiques ; philosophie et style de direction ; structure organisationnelle ; attribution des pouvoirs et responsabilités ; politiques et pratiques relatives aux ressources humaines ; compétence du personnel.
Fraude Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sans qu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes et des organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantage personnel ou commercial.
gouvernance des technologies de l’information La gouvernance des technologies de l’information comprend la direction, les structures organisationnelles et les processus qui garantissent que les technologies de l’information soutiennent la stratégie et les objectifs de l’organisation.
68
© IFACI - décembre 2012
Dispositions obligatoires
glossaire
gouvernement d'entreprise Le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs. Commentaire IFACI Cette définition est différente d’autres approches communément admises. Par exemple, selon les principes de l’OCDE, le gouvernement d’entreprise : • concerne l’ensemble des relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et autres parties prenantes ; • fournit le cadre au sein duquel les objectifs de l’entreprise sont fixés ; • définit les moyens de les atteindre et de surveiller les performances. Ces principes proposent une vision plus large des différents acteurs et parties prenantes concernées (direction générale, conseil, actionnaires, régulateurs, associations…). Par ailleurs, le rôle conféré au Conseil n’est pas universel. Par exemple, en France, le Conseil n’a pas la responsabilité directe de mettre en place les processus et les structures ; il a un rôle de surveillance des dispositifs dont la mise en œuvre est du ressort de la direction générale.
Indépendance L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses responsabilités.
management des risques Processus visant à identifier, évaluer, gérer et piloter les événements éventuels et les situations pour fournir une assurance raisonnable quant à la réalisation des objectifs de l'organisation.
mission Une mission, tâche ou activité de révision particulières telles qu'un audit interne, une revue d’autoévaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober de multiples tâches ou activités menées pour atteindre un ensemble déterminé d'objectifs qui s'y rapportent.
© IFACI - décembre 2012
69
Norme Document d'ordre professionnel promulgué par « the International Internal Auditing Standards Board » (Comité interne à l'IIA chargé d'élaborer les Normes) afin de définir les règles applicables à un large éventail d'activités d'audit interne et utilisables pour l'évaluation de ses performances.
objectifs de la mission Enoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliser pendant la mission.
objectivité L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compromis. L’objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d’autres personnes.
Opinion au niveau d’une mission L’échelle de notation, la conclusion et/ou toute autre description des résultats d’une mission d’audit interne donnée, relative aux éléments rentrant dans le cadre des objectifs et du périmètre de la mission.
Opinion globale Les échelles de notation, les conclusions et/ou toute autre description des résultats délivrés par le responsable de l’audit interne, à un niveau global, et concernant les processus de gouvernement d’entreprise, de management des risques et/ou de contrôle de l’organisation. Une opinion globale est le jugement professionnel du responsable de l’audit interne, fondée sur les résultats d'un certain nombre de missions individuelles et sur d'autres activités dans un laps de temps précis.
Prestataire externe Une personne ou une entreprise, extérieure à l’organisation, qui possède des connaissances, un savoir-faire et une expérience spécifiques dans une discipline donnée.
70
© IFACI - décembre 2012
Dispositions obligatoires
glossaire
Processus de contrôle Les règles, procédures et activités (aussi bien manuelles qu’automatisées) faisant partie d'un cadre de contrôle interne, conçues et mises en œuvre pour s’assurer que les risques sont contenus dans les limites que l’organisation est disposée à accepter.
Programme de travail de la mission Un document énumérant les procédures à mettre en œuvre, conçu pour réaliser le plan de mission.
responsable de l'audit interne « Responsable de l’audit interne » désigne une personne, occupant un poste hiérarchique de haut niveau, qui a la responsabilité de diriger efficacement l’activité d’audit interne conformément à la charte d’audit interne, à la définition de l’audit interne, au Code de Déontologie et aux Normes. Le responsable de l’audit interne ou des membres de l’équipe d’encadrement de l’audit interne devront disposer des certifications et des qualifications professionnelles appropriées. L’intitulé exact du poste de responsable de l’audit interne varie selon les organisations. Commentaire IFACI Le responsable de l’audit interne est un salarié de l’organisation. Lorsque, des activités d'audit interne sont confiées à des prestataires externes, le responsable de l'audit interne est la personne, qui au sein de l’organisation, a comme mission principale la surveillance de l'exécution du contrat de services et de la qualité de ces activités. Il rend compte à la direction générale et au Conseil des activités d'audit interne.
risque Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.
techniques d’audit informatisées Tout outil d’audit automatisé tel que les logiciels d’audit généralisés, les générateurs de données de test, les programmes d’audit informatisés et les utilitaires d’audit spécialisés et les techniques d’audit assistées par ordinateur (CAATs).
© IFACI - décembre 2012
71
Valeur ajoutée Le service d’audit interne apporte de la valeur ajoutée à l’organisation (et à ses parties prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience et à l’efficacité des processus de gouvernement d’entreprise, de management des risques et de contrôle.
72
© IFACI - décembre 2012
modalités Pratiques d’Application
moDAlItÉS PrAtIquES D’APPlICAtIoN
© IFACI - décembre 2012
73
74
© IFACI - décembre 2012
MPA 1000
modalités Pratiques d’Application
mPA SÉrIE 1000 mISSIoN, PouVoIrS Et rESPoNSAbIlItÉS
© IFACI - décembre 2012
75
76
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1000
MPA 1000-1 Charte d’audit interne Principale Norme de référence
1000 – mission, pouvoirs et responsabilités La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d’audit interne, être cohérents avec la définition de l’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit interne doit revoir périodiquement la charte d’audit interne et la soumettre à l’approbation de la direction générale et du Conseil. Interprétation : La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l’audit interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions; définit le champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève de la responsabilité du Conseil.
1.
L’existence d’une charte d’audit interne formalisée est essentielle pour la gestion du service d’audit interne. La charte est un document officiel soumis pour avis et acceptation à la direction générale, et approuvée par le comité d’audit ou le Conseil. Il précise le rôle du responsable d’audit interne et facilite ainsi l’évaluation périodique de la pertinence de sa mission, de ses pouvoirs et de ses responsabilités. Son approbation est consignée dans les procèsverbaux du Conseil. Il facilite en outre l’évaluation périodique de la pertinence de la mission, des pouvoirs et des responsabilités de l’audit interne, précisant ainsi le rôle de l’audit interne. En cas d’interrogation, la charte est la référence écrite officielle de l'accord passé avec la direction générale et le Conseil sur le rôle et les responsabilités du service d’audit interne de l’organisation.
2.
Le responsable de l'audit interne évalue périodiquement si la mission, les pouvoirs, et les responsabilités définis dans la charte permettent toujours au service d’audit interne d’atteindre ses objectifs. Il est également chargé de communiquer le résultat de cette évaluation périodique à la direction générale et au Conseil.
© IFACI - décembre 2012
77
78
© IFACI - décembre 2012
MPA 1100
modalités Pratiques d’Application
mPA SÉrIE 1100 INDÉPENDANCE Et objECtIVItÉ
© IFACI - décembre 2012
79
80
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1110-1 Indépendance dans l’organisation
MPA 1100
Principale Norme de référence
1110 – Indépendance dans l'organisation Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour permettre au service d’audit interne d’exercer ses responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation. Interprétation : L’indépendance au sein de l’organisation est atteinte lorsque le responsable de l’audit interne rapporte fonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil : approuve la charte d’audit interne ; approuve le plan d’audit interne fondé sur l’approche par les risques ; approuve le budget et les ressources prévisionnels de l’audit interne ; soit destinataire des informations adressées par le responsable d’audit relatives à la réalisation du plan d’audit ou de tout autre sujet afférent à l’audit interne ; approuve les décisions liées à la nomination et à la révocation du responsable de l’audit interne ; approuve la rémunération du responsable de l’audit interne ; demande des informations pertinentes au management et au responsable de l’audit interne pour déterminer l’adéquation du périmètre et des ressources de l’audit interne.
1.
Le soutien de la direction générale et du Conseil aide l’audit interne à obtenir la coopération des audités et à exercer son activité sans entrave.
2.
Pour que le service d’audit interne puisse être indépendant, le responsable de l'audit interne est fonctionnellement rattaché au Conseil et dépend administrativement ou hiérarchiquement du Directeur Général. Il est nécessaire que le responsable de l’audit interne dépende au moins d’une personne de l’organisation ayant une autorité suffisante pour promouvoir son indépendance, et pour lui garantir un large champ d’intervention, une attention adéquate aux communications faites dans le cadre des missions, ainsi que des actions appropriées par rapport aux recommandations émises.
© IFACI - décembre 2012
81
3.
4.
Le rattachement fonctionnel au Conseil implique qu’il : approuve la charte de l’audit interne ; approuve l’évaluation des risques effectuée par l’audit interne et le plan d’audit correspondant ; reçoive des informations de la part du responsable de l’audit interne à propos des résultats des travaux d’audit interne ou de tout autre point qu’il estime nécessaire de communiquer, y compris lors de réunions privées sans la présence des dirigeants, y compris la confirmation annuelle de l’indépendance de l’audit interne ; approuve toutes les décisions relatives à l’évaluation de la performance, à la nomination ou au remplacement du responsable de l’audit interne ; approuve la rémunération annuelle et les augmentations de salaire du responsable de l’audit interne ; s’enquiert, auprès de la direction et du responsable de l’audit interne, d’éventuelles limitations du champ d’intervention ou du budget, susceptibles d’empêcher l’audit interne de mener à bien ses missions. Le rattachement hiérarchique permet de faciliter les activités courantes de l’audit interne. En règle générale, il porte sur : l’établissement des budgets et la comptabilité de gestion ; la gestion des ressources humaines, notamment l’évaluation des performances et les rémunérations du personnel ; les communications internes et les flux d’information ; la gestion des règles et procédures de l’audit interne.
Commentaire IFACI En ce qui concerne le rattachement du responsable de l’audit interne, l’IFACI et l’IFA recommande, dans leur prise de position : • que les relations étroites et régulière avec le comité d’audit soient définies et • que l’audit interne soit claiement rattaché hiérarchiquement à la direction générale. Dans le contexte français, ce lien hiérarchique est primordial. Le responsable de l’audit interne pourra notamment s’y référer pour la mise en œuvre du plan d’audit et le règlement de conflits avec les audités. Outre les activités cités au §4 de la MPA, la direction générale est directement concernée par les sujets abordés dans le cadre du rattachement fonctionnel, mentionnés au §3. De plus, l’IFA préconise que « le comité d’audit soit impliqué en amont dans l’examen du plan d’audit interne afin d’apprécier le niveau de couverture des risques majeurs par les activités d’audit et de prendre connaissance des domaines pas ou insuffisamment couverts, en vue de recommander d’éventuels compléments de travaux ou de ressources de l’audit interne. Il est également essentiel que le comité d’audit prenne connaissance de l’évaluation des processus de gouvernement d’entreprise, de management des risques et de contrôle interne fondée sur la synthèse des rapports de l’audit interne et s’assure du suivi adéquat par la direction générale des recommandations formulées par l’audit interne. Enfin, le comité d’audit prend part à la désignation et à l’évaluation du directeur de l’audit interne » (cf. « Comités d’audit : 100 Bonnes pratiques »).
82
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1111-1 Relation avec le Conseil
MPA 1100
Principale Norme de référence
1111 – relation directe avec le Conseil Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil.
1.
Il y a communication directe lorsque le responsable de l’audit interne assiste et participe régulièrement aux réunions du Conseil portant sur les responsabilités de supervision du Conseil en matière d'audit, de communication financière, de gouvernance et de contrôle. La présence et la participation du responsable de l’audit interne à ces réunions lui permettent de se tenir informé de la stratégie et projets opérationnels, et de relever, en amont, les problématiques liées aux risques majeurs, aux systèmes, aux procédures, ou au contrôle. La présence à ces réunions constitue également une opportunité pour échanger des informations relatives aux activités et aux plans d’audit et pour aborder tout autre sujet d’intérêt commun.
Commentaire IFACI Les recommandations du groupe de travail IFACI/IFA constituent de bonnes pratiques pour l’application de cette Modalité Pratique d’Application.
2.
Il y a également communication et relation directe lorsque le responsable de l’audit interne rencontre, au moins une fois par an, le Conseil en tête à tête.
© IFACI - décembre 2012
83
MPA 1120-1 Objectivité individuelle Principale Norme de référence
1120 – objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt. Interprétation : Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouit d’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique ou malhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer la confiance en l’auditeur interne, vis-à-vis du service d’audit interne et en la profession. Un conflit d’intérêt peut compromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités de manière objective.
1.
L’objectivité individuelle nécessite que les auditeurs internes réalisent leurs missions de telle manière qu’ils aient sincèrement confiance dans le résultat de leur travail et dans le fait qu’aucune concession significative n’ait été faite en matière de qualité. Les auditeurs internes ne doivent pas se trouver placés dans des situations qui porteraient atteinte à leur capacité à porter des jugements professionnels objectifs.
2.
L’objectivité individuelle nécessite que le responsable de l'audit interne organise une affectation des auditeurs de manière à prévenir les conflits d’intérêt potentiels ou réels ainsi que les partis pris. Il s’informe périodiquement auprès des auditeurs à propos des conflits d’intérêt ou des partis pris et le cas échéant, instaure une rotation régulière des auditeurs internes au sein de l’équipe.
3.
La revue des résultats de l’audit avant leur diffusion permet de fournir une assurance raisonnable que le travail a été réalisé avec objectivité.
4.
L’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommander la mise en place de normes de contrôle pour les systèmes d’information ou à examiner des procédures avant leur mise en application. Par contre, son objectivité est présumée altérée s’il conçoit, met en place, rédige les procédures y relatives ou exploite de tels systèmes.
84
© IFACI - décembre 2012
modalités Pratiques d’Application
5.
L’exécution ponctuelle par les auditeurs internes de travaux qui ne sont pas des travaux d’audit, ne compromet pas nécessairement leur indépendance dans la mesure où ils sont clairement mentionnés dans le rapport d’audit. Toutefois, le management et les auditeurs internes doivent veiller attentivement à ce que ces travaux n’altèrent pas leur objectivité.
Dans le cadre de l’exécution ponctuelle de travaux qui ne sont pas des travaux d’audit, les auditeurs internes doivent veiller à: • délimiter formellement leur responsabilité ; • mentionner dans le rapport d’audit en quoi cette exécution n’affecte pas leur indépendance et leur objectivité ; • prendre en compte les travaux d’audit futur sur ces thèmes, processus ou fonctions.
© IFACI - décembre 2012
85
MPA 1100
Commentaire IFACI
MPA 1130-1 Atteintes à l’indépendance ou à l’objectivité Principale Norme de référence
1130 – Atteinte à l’indépendance ou à l’objectivité Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance. Interprétation : Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations financières. L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépendance dépend d’une part des attentes de la direction générale et du Conseil, telles que décrites dans la charte d'audit interne, en termes de responsabilités de l’audit interne et du responsable d’audit interne, et d’autre part de la nature de cette atteinte.
1.
Les auditeurs internes doivent signaler au responsable de l’audit interne toute situation réelle ou potentielle, susceptible d’altérer leur indépendance ou leur objectivité, ou le consulter s’ils ont des questions relatives à ce type de situation. Si le responsable de l’audit interne constate l’existence d’une atteinte réelle ou supposée, il réaffecte alors les auditeurs concernés.
2.
Une limitation du champ d’intervention est une restriction imposée à l’audit interne l’empêchant de réaliser ses objectifs et son planning. Des limitations de ce type peuvent, entre autres, restreindre : le domaine d’intervention défini dans la charte d’audit interne ; l’accès de l’audit interne aux dossiers, au personnel, et aux biens nécessaires à la réalisation des missions ; le plan d’audit lorsqu'il a été approuvé ; la mise en œuvre des procédures nécessaires à la mission ; les ressources humaines et le budget financier qui ont été approuvés.
86
© IFACI - décembre 2012
modalités Pratiques d’Application
La question de la limitation des ressources de l’audit interne est une véritable problématique surtout en période de crise économique. La référence explicite à la limitation du budget du service d’audit interne donne, au responsable de l’audit interne, la possibilité de mettre en évidence les enjeux d’une telle limitation même si elle est dictée par des facteurs économiques de court terme. La direction générale et le Conseil peuvent alors prendre leur décision en connaissance de cause (cf. Norme 2600 : Acceptation des risques par la direction générale).
3.
Il est nécessaire de communiquer au Conseil, de préférence par écrit, l’existence d’une limitation du champ d’intervention et ses répercussions possible. Le responsable de l'audit interne juge s’il faut informer le Conseil des restrictions qui ont déjà été communiquées à cette instance et qu’elle a acceptées. Cette information peut s’avérer nécessaire surtout lorsqu’il y a des changements, notamment au sein de l’organisation, du Conseil ou de la direction générale.
4.
Les auditeurs internes ne doivent pas accepter une rémunération, des cadeaux ou des invitations de la part d’un salarié, d’un client, d’un fournisseur ou d’un partenaire qui pourrait laisser supposer que l’objectivité de l’auditeur interne a été altérée. Cette supposition pourra concerner des missions en cours ou des missions futures de l’auditeur. Le statut des missions ne saurait en aucun cas justifier l’acceptation de rémunérations, de cadeaux ou d’invitations. L’acceptation d’articles publicitaires (tels que stylos, calendriers ou échantillons) mis à la disposition des salariés et du public et d’une valeur minime ne devrait pas fausser les jugements professionnels des auditeurs internes. Ces derniers doivent rendre compte sans délai à leur supérieur hiérarchique de toute offre de rémunérations ou de cadeaux importants.
Commentaire IFACI La liste limitative d’objets indiquée dans cette MPA ne doit pas laisser penser que des objets qui ne sont pas cités peuvent être acceptés sans affecter l’objectivité individuelle. Il convient d’étendre le risque d’atteinte à l’objectivité à tous les cas de conflit d’intérêt direct et indirect. Ci-après, un extrait d’un Code de Déontologie qui précise que l’auditeur interne « … ne sollicitera ni n’acceptera et ne fera ni accepter ni solliciter par un membre de sa famille ou de son entourage, aucun cadeau d’une valeur excédant les usages courants dans le Groupe, aucune somme d’argent, […]. En cas de doute sur les usages courants dans le Groupe, il consultera sa hiérarchie. Dans tous les cas, il informera sa hiérarchie de toutes sollicitations ou offres d’avantages particuliers dont il a fait l’objet, directement ou indirectement. »
© IFACI - décembre 2012
87
MPA 1100
Commentaire IFACI
MPA 1130.A1-1 Audit des opérations dont les auditeurs internes ont été auparavant responsables Principale Norme de référence 1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente.
1.
88
Les membres du personnel mutés ou temporairement affectés au service d’audit interne ne devraient pas participer, avant un délai d’au moins un an à l’audit des activités précédemment exercées ou pour lesquelles ils ont eu des responsabilités. De telles participations sont, en effet, susceptibles d’altérer leur objectivité et, le cas échéant, il faut en tenir compte lors de la supervision des travaux d’audit et dans la diffusion de leurs résultats.
© IFACI - décembre 2012
modalités Pratiques d’Application
Principale Norme de référence 1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne.
1.
Les auditeurs internes se doivent de ne pas accepter des fonctions ou des activités qui font l’objet d’évaluations périodiques de la part de l’audit interne. S’ils ont de telles responsabilités, ils ne peuvent pas être considérés comme des auditeurs internes.
2.
L’indépendance et l’objectivité de l’auditeur interne risquent d’être altérées lorsque l’audit interne, son responsable ou un auditeur interne assume une fonction susceptible d’être audité, ou que la direction envisage de leur attribuer. A minima, il faut que le responsable de l’audit interne prenne en considération les éléments suivants dans l'évaluation de l'impact sur l'indépendance et l'objectivité : les principes énoncés par le Code de Déontologie et les Normes internationales pour la pratique professionnelle de l’audit interne (Normes) ; les attentes des parties prenantes de l’organisation, notamment les actionnaires, le Conseil, le comité d’audit, la direction, le législateur, les instances publiques, les régulateurs et les groupes d’influence ; les obligations ou les restrictions prévues dans la charte d’audit interne ; les informations dont la communication est obligatoire en vertu des Normes ; le niveau de couverture de l’audit, des fonctions ou responsabilités occupées par l’auditeur interne ; l’importance de la fonction opérationnelle pour l'organisation (en termes de chiffre d’affaires, de dépenses, de réputation, et d’influence) ; la longueur ou la durée de la mission et l’étendue des responsabilités ; l’adéquation de la séparation des tâches ; l’existence d’antécédents ou de signes montrant que l'objectivité de l'auditeur interne peut être atteinte.
3.
Si la charte de l’audit interne contient des restrictions ou des clauses limitatives concernant l’attribution aux auditeurs internes de fonctions autres que l’audit, il convient de mentionner ces restrictions et d’en discuter avec la direction. Si cette dernière insiste pour confier ces fonctions à un auditeur, une information et une discussion seront nécessaire avec le Conseil.
© IFACI - décembre 2012
89
MPA 1100
MPA 1130.A2-1 Responsabilités exercées par l’audit interne au titre d’autres fonctions
A défaut de disposition expresse de la charte, il convient de se référer aux lignes directrices figurant ci-dessous, qui sont subordonnées aux clauses de la charte. 4.
Dès lors que l'audit interne accepte des responsabilités opérationnelles et que ces domaines sont intégrés dans le plan d’audit, le responsable de l’audit interne devra : minimiser les risques liés au manque d’objectivité en ayant recours à un prestataire extérieur ou à des auditeurs externes pour réaliser les audits de ces secteurs ; confirmer que les individus ayant des responsabilités opérationnelles dans des secteurs dépendant du responsable de l’audit interne, ne participent pas aux audits de ces domaines ; s’assurer que les auditeurs, qui conduisent une mission d’assurance dans des secteurs rattachés au responsable de l’audit interne, sont supervisés par la direction générale et le Conseil, à qui ils communiquent les résultats de leur évaluation ; indiquer les responsabilités opérationnelles exercées par l’auditeur dans le cadre de la fonction en cause, l’importance de ces opérations pour l’organisation (en termes de chiffre d’affaires, de dépenses ou en fonction de tout autre critère pertinent), ainsi que le lien existant entre les personnes qui ont procédé à l’audit de la fonction et l’auditeur concerné.
5.
Il convient de préciser les responsabilités opérationnelles de l'auditeur interne dans le rapport d'audit des secteurs rattachés au responsable de l’audit interne, et dans la communication transmise au Conseil. Les résultats de l'audit peuvent aussi être discutés avec la direction générale et/ou d'autres parties prenantes appropriées. L’indication d’une atteinte à l’objectivité exige néanmoins d’avoir recours à la supervision d’un tiers pour les missions d'assurance relatives à des fonctions qui dépendent du responsable de l’audit interne.
90
© IFACI - décembre 2012
MPA 1200
modalités Pratiques d’Application
mPA SÉrIE 1200 ComPÉtENCE Et CoNSCIENCE ProFESSIoNNEllE
© IFACI - décembre 2012
91
92
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1200-1 Compétence et conscience professionnelle Principale Norme de référence
1200 – Compétence et conscience professionnelle
1.
La compétence et la conscience professionnelle sont de la responsabilité du responsable de l'audit interne et de chaque auditeur interne. Ainsi, le responsable de l'audit interne s'assure que, pour chaque mission, l’équipe d’auditeurs désignés possède collectivement les connaissances, le savoir-faire et les compétences nécessaires pour mener la mission de façon appropriée.
2.
La conscience professionnelle inclut le respect du Code de Déontologie de l’IIA et, le cas échéant, le respect du code de conduite de l’organisation ainsi que des codes de conduite d’autres professions auxquelles les auditeurs internes peuvent appartenir. Le Code de Déontologie dépasse la définition de l’audit interne en incluant deux composantes essentielles : des principes applicables à la pratique de l’audit interne et à l’exercice de la profession – en particulier les principes d’intégrité, d’objectivité, de confidentialité et de compétence ; des règles de conduite décrivant le type de comportement attendu des auditeurs internes. Ces règles, qui facilitent l’interprétation des principes et leur application pratique, sont destinées à guider les auditeurs internes sur le plan de l’éthique.
© IFACI - décembre 2012
93
MPA 1200
Les missions doivent être conduites avec compétence et conscience professionnelle.
MPA 1210-1 Compétence Principale Norme de référence
1210 – Compétence Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. Interprétation : Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou par d’autres organisations professionnelles appropriées. 1.
94
Les connaissances, savoir-faire et les autres compétences mentionnées dans la norme comportent : la compétence en matière d’application des Normes, procédures et techniques d’audit nécessaire à la réalisation des missions. La compétence est la capacité à utiliser ses connaissances judicieusement, dans les diverses situations susceptibles de se présenter, et d’y faire face sans recourir de façon excessive à des recherches techniques ou à une assistance ; la compétence en matière de principes et de techniques comptables indispensable aux auditeurs internes qui travaillent fréquemment sur des documents et rapports financiers ; la connaissance permettant d’identifier les risques de fraude ; la connaissance des principaux risques et contrôles afférents aux technologies de l’information, et des techniques d’audit informatisées existantes ; la compréhension des principes de management pour reconnaître et évaluer la matérialité et le caractère significatif des écarts par rapport aux bonnes pratiques des affaires. Cette compréhension implique une capacité à appliquer des connaissances générales aux situations susceptibles d’être rencontrées au cours des audits, de détecter les écarts significatifs et d’être capable de procéder aux recherches nécessaires pour aboutir à des solutions raisonnables ;
© IFACI - décembre 2012
modalités Pratiques d’Application
2.
Le responsable de l'audit interne définit des critères appropriés de formation générale et d’expérience pour pourvoir les postes d’auditeurs internes, en considérant la nature des travaux et le niveau de responsabilité. Il obtient une assurance raisonnable sur les qualifications et la compétence des candidats.
Commentaire IFACI Les responsables de l'audit interne doivent disposer à la fois d'une bonne connaissance de l'organisation à tous les niveaux et/ou d'une solide expérience en audit interne.
3.
Il faut que l'audit interne possède collectivement les connaissances, le savoir-faire et les autres compétences indispensables à la pratique de la profession dans l'organisation. Une analyse annuelle des connaissances, savoir-faire et autres compétences de l’audit interne permet d’identifier plus facilement les points à améliorer grâce à des programmes de formation continue, à des recrutements ou par la mise en œuvre de ressources externes partagées.
Commentaire IFACI Les compétences et le savoir-faire du management opérationnel (chef de mission et/ou superviseur) conditionnent dans les faits en grande partie à la fois la qualité, la pertinence des missions et l'apprentissage des auditeurs internes. L’évaluation du personnel d’encadrement vise notamment à s’assurer qu’il est en mesure d’apporter un support adéquat aux auditeurs internes, d’effectuer les arbitrages nécessaires au bon moment et de communiquer de manière appropriée avec les audités.
4.
La formation continue est essentielle pour s’assurer que le personnel du service d’audit interne demeure compétent.
5.
Le responsable de l’audit interne peut faire appel à des experts extérieurs à son service afin de soutenir ou de compléter les domaines dans lesquels l’audit interne ne dispose pas de compétences suffisantes.
© IFACI - décembre 2012
95
MPA 1200
la compréhension des notions fondamentales de la conduite des affaires telles que la comptabilité, l’économie, le droit commercial, la fiscalité, la finance, les méthodes quantitatives, les technologies de l’information, le management des risques et la fraude. Cette compréhension permet de reconnaître l’existence ou l’éventualité de problèmes et d’identifier les recherches supplémentaires à entreprendre ou l’assistance à obtenir. les bonnes qualités relationnelles, de compréhension, de communication, le sens des relations humaines et le maintien de bonnes relations avec les clients de la mission. la capacité de communiquer oralement et par écrit, de manière à pouvoir exposer clairement et efficacement les objectifs, les appréciations, les conclusions et les recommandations de la mission.
MPA 1210.A1-1 Recours à des prestataires externes Principale Norme de référence 1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission.
1.
Chaque auditeur interne n’est pas nécessairement qualifié dans toutes les disciplines. L’audit interne peut recourir à des prestataires externes ou à des ressources internes qualifiées dans des disciplines telles que la comptabilité, l’audit, l’économie, la finance, les statistiques, les technologies de l’information, l’ingénierie, la fiscalité, le droit, l’environnement et tout autre domaine nécessaire pour pouvoir exercer ses responsabilités d’audit interne.
Commentaire IFACI L’évaluation des compétences individuelles des auditeurs internes permet d’identifier les éventuelles insuffisances au niveau de l’équipe d’audit interne. Ces lacunes collectives peuvent être comblées par des formations, des recrutements ou le recours à des prestataires externes.
2.
Un prestataire externe est une personne ou une entité indépendante de l’organisation qui possède des connaissances, un savoir-faire et une expérience particuliers dans une discipline donnée. Les prestataires externes incluent notamment les actuaires, les experts-comptables, les conseils en évaluation, les personnes qui ont une expertise à propos de certaines cultures ou langues, les spécialistes de l’environnement, les experts en enquêtes sur la fraude, les avocats, les ingénieurs, les géologues, les experts en sécurité, les statisticiens, les spécialistes des technologies de l’information, les auditeurs externes de l’organisation et les autres cabinets d’audit. Ils peuvent être mandatés par le Conseil, la direction générale ou le responsable de l'audit interne.
3.
L’audit interne peut faire appel à des prestataires externes notamment dans les cas suivants : réalisation des objectifs de la mission selon les échéances prévues ; missions d’audit nécessitant un savoir-faire et des connaissances particuliers dans des domaines tels que les technologies de l’information, les statistiques, la fiscalité ou les langues étrangères ; évaluation d’actifs tels que terrains et immeubles, œuvres d’art, pierres précieuses, investissements et instruments financiers complexes ;
96
© IFACI - décembre 2012
détermination des quantités ou caractéristiques physiques de certains biens tels que minerais et réserves de pétrole ; évaluation des travaux achevés et restant à achever dans le cadre de contrats en cours ; enquêtes sur la fraude et la sécurité ; évaluations réalisées selon des méthodes particulières telles que les calculs actuariels concernant les engagements liés aux avantages sociaux ; interprétation de la législation, de la réglementation et des normes techniques ; évaluation du programme d’assurance et d’amélioration qualité de l’activité d'audit interne conformément aux Normes Internationales pour la Pratique Professionnelle de l’audit (Normes) ; fusions et acquisitions ; conseil en matière de management des risques ou d’autres sujets. 4.
Lorsqu’il prévoit de recourir à un prestataire externe et de s’appuyer sur ses travaux, le responsable de l'audit interne devra évaluer sa compétence, son indépendance et son objectivité au vu des particularités de la mission à accomplir. Il convient de procéder également à cette évaluation si le prestataire externe est choisi par la direction générale ou par le Conseil, et si le responsable de l'audit interne prévoit de s’appuyer sur ses travaux. Lorsque le responsable de l'audit interne ne choisit pas lui-même le prestataire externe et si son évaluation montre qu’il ne devrait pas s’appuyer sur les travaux de ce dernier, les résultats de cette évaluation devront être communiqués à la direction générale ou au Conseil, selon le cas.
5.
Le responsable de l'audit interne doit s’assurer que le prestataire externe possède les connaissances, le savoir-faire et les compétences nécessaires pour accomplir sa mission. Pour évaluer ces compétences, le responsable de l'audit interne tiendra compte des éléments suivants : diplôme, agrément ou autre titre attestant de la compétence du prestataire externe dans la discipline en question ; adhésion du prestataire externe à un organisme professionnel compétent et adhésion au Code de Déontologie de cet organisme ; réputation du prestataire externe. La prise en compte de cet élément peut impliquer la consultation de tiers faisant habituellement appel aux travaux du prestataire ; expérience du prestataire externe dans le type de travaux qu’on envisage de lui confier ; niveau d’études et formation du prestataire externe dans les disciplines liées à la mission en question ; connaissances et expérience du prestataire externe dans le secteur d’activité de l’organisation.
Commentaire IFACI Le responsable de l’audit interne s’assure que les compétences requises existent au sein de l’équipe de prestations externes. Cette évaluation ne se limite pas à l’analyse des qualifications du signataire du contrat de prestation, mais concerne aussi les membres de l’équipe qui réalisent ou qui supervisent la prestation concernée. © IFACI - décembre 2012
97
MPA 1200
modalités Pratiques d’Application
6.
Le responsable de l'audit interne devrait examiner les liens existant entre le prestataire externe, l’organisation et son service d’audit interne, et s’assurer que l’indépendance et l’objectivité du prestataire externe seront garanties tout au long de la mission. Pour procéder à cet examen, le responsable de l'audit interne s’assure qu’aucun lien financier, professionnel ou personnel n’empêchera le prestataire externe de formuler un jugement et une opinion objectifs et impartiaux lors de la réalisation de sa mission et de l’émission de ses rapports.
7.
Pour apprécier l’indépendance et l’objectivité du prestataire externe, le responsable de l'audit interne tient compte des éléments suivants : intérêt financier éventuel détenu par le prestataire externe dans l’organisation ; lien personnel ou professionnel entre le prestataire externe et le Conseil, la direction générale ou les autres membres de l’organisation ; liens établis par le passé entre le prestataire externe et l’organisation ou les activités examinées ; étendue des autres services récurrents exécutés par le prestataire externe pour l’organisation ; rémunération ou autres avantages perçus, le cas échéant, par le prestataire externe.
8.
Si le prestataire externe est également auditeur externe de l’organisation et si sa mission consiste en des travaux d’audit approfondis, le responsable de l'audit interne devrait s’assurer que les travaux ainsi réalisés ne remettent pas en cause l’indépendance de l’auditeur externe. L’expression « travaux d’audit approfondis » vise les services qui dépassent le cadre des normes d’audit gén éralement admises par la profession d’auditeur externe. Si la mission qui leur est confiée les amenait à agir ou à donner l’apparence d’agir comme des membres de la direction générale, du management ou des employés de l’organisation, alors leur indépendance serait compromise. En outre, il peut arriver que les auditeurs externes fournissent à l’organisation d’autres services, en matière de fiscalité ou de conseil notamment. L’indépendance devrait être appréciée eu égard à la gamme complète des services rendus à l’organisation.
9.
Le responsable de l'audit interne obtient suffisamment d’informations quant à l’étendue de la mission du prestataire externe, de façon à pouvoir vérifier que ses travaux répondent aux objectifs de l’audit interne. Il peut s’avérer prudent de préciser l’étendue de la mission et divers autres points dans une lettre de mission ou dans un contrat. Pour ce faire, le responsable de l'audit interne examine les points suivants avec le prestataire externe : objectifs et étendue de la mission, y compris les livrables et les échéances ; points particuliers sensés être couverts dans les rapports remis au titre de la mission ; accès aux documents, aux personnes et aux biens corporels concernés ; informations concernant les hypothèses et les procédures à utiliser ; propriété et conservation des documents de travail établis dans le cadre de la mission, le cas échéant ;
98
© IFACI - décembre 2012
modalités Pratiques d’Application confidentialité des informations obtenues au cours de la mission et restrictions les concernant ; le cas échéant, le respect des Normes et des règles de travail du service d’audit interne.
11. En cas de recours à un prestataire externe, le responsable de l'audit interne peut, si nécessaire, mentionner les services ainsi fournis dans les documents ou rapports émis au titre de la mission. Le prestataire externe est informé et, le cas échéant, son accord devrait être obtenu avant toute mention de ses services dans ces documents.
© IFACI - décembre 2012
99
MPA 1200
10. Lorsqu’il évalue la revue des travaux d’un prestataire externe, le responsable de l'audit interne veille à ce que ceux-ci soient réalisés conformément aux Normes internationales pour la pratique professionnelle de l’audit interne (Normes). Cette évaluation consiste notamment à s’assurer que les informations obtenues sont suffisantes pour justifier les conclusions formulées et les solutions proposées et statuer sur les exceptions significatives ou les autres points inhabituels.
MPA 1220-1 Conscience professionnelle Principale Norme de référence
1220 – Conscience professionnelle Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité.
1.
La conscience professionnelle porte sur la diligence et le savoir-faire que l’on peut attendre d’un auditeur interne raisonnablement prudent et compétent. La conscience professionnelle tient compte de la complexité de la mission réalisée. En agissant avec la conscience professionnelle qui se doit, les auditeurs internes seront attentifs aux risques de fraude, de fautes intentionnelles, d’erreurs ou d’omissions, de manque d’efficacité, de gaspillage et de conflits d’intérêts ainsi qu’aux situations et activités où des irrégularités ont le plus de chance de se produire. Les auditeurs internes sont également concernés par la détection de contrôles inefficaces et font des recommandations visant à promouvoir le respect des procédures et pratiques acceptables.
2.
La conscience professionnelle implique la diligence et le savoir-faire raisonnables que l’on apporte à l’exécution de ses missions et non l’infaillibilité ou des performances exceptionnelles. Cela signifie que l’auditeur interne procède à des vérifications et des contrôles raisonnablement approfondis. En conséquence, l’auditeur interne ne peut donner une assurance absolue qu’il n’existe aucune anomalie ou irrégularité. Néanmoins, la possibilité d’irrégularités ou de non conformités importantes devra toujours être envisagée lorsque l’auditeur interne entreprend une mission.
100
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1230-1 Formation Professionnelle Continue Principale Norme de référence
1230 – Formation professionnelle continue
MPA 1200
Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue.
1.
Les auditeurs internes ont la responsabilité de se former de manière continue, afin de renforcer et de maintenir leurs compétences. Ils devront se tenir informés des progrès accomplis et des développements en cours dans le domaine des normes, procédures et techniques d’audit, telles qu’elles sont explicitées dans le CRIPP (Cadre de référence international pour la pratique professionnelle de l’audit interne). La formation continue peut s’acquérir par l’adhésion, la participation et le volontariat à des associations professionnelles telles que l’IFACI ; en assistant à des conférences, à des séminaires ; en participant aux actions internes de formation ; par l’achèvement de cycle d’études supérieures et d’auto-formation ainsi que par la participation à des programmes de recherche.
2.
Il est conseillé aux auditeurs internes d’obtenir une certification attestant de leur compétence, telle que le titre d’auditeur interne Certifié (CIA, Certified Internal Auditor), d’autres titres délivrés par l'IIA ou liés à l’audit interne.
Commentaire IFACI L’IFACI recommande aux auditeurs internes d’obtenir le Diplôme Professionnel d’Audit Interne (DPAI) qui s’appuie sur les compétences fondamentales (les bases de l’audit interne, la méthodologie de conduite d’une mission d’audit, les outils et techniques d’audit, la communication orale, communication écrite, système d’information, finance et comptabilité,…) de l’auditeur interne et atteste de la capacité de ses titulaires à conduire une mission d’audit de manière autonome et professionnelle, en s’appuyant sur la démarche préconisée par les Normes.
3.
Il est conseillé aux auditeurs internes de suivre une formation professionnelle continue (liée aux activités de leur organisation et au secteur) pour entretenir leurs compétences sur les processus de gouvernement d’entreprise, de risque et de contrôle existant dans leur organisation.
© IFACI - décembre 2012
101
4.
Les auditeurs internes qui réalisent des travaux spécialisés d’audit et de conseil sur des sujets tels que la technologie de l'information, l'impôt, l’actuariat, ou la conception de systèmes, peuvent suivre une formation professionnelle continue spécialisée qui leur permettra de réaliser leurs missions d’audit interne avec les compétences nécessaires.
5.
Les auditeurs internes certifiés ont la responsabilité de suivre une formation professionnelle continue appropriée de façon à remplir les conditions requises par la certification qui leur a été délivrée.
6.
Les auditeurs internes qui ne sont pas encore certifiés sont invités à suivre un programme de formation et/ou à étudier individuellement en vue d’obtenir la certification professionnelle.
102
© IFACI - décembre 2012
MPA 1300
modalités Pratiques d’Application
mPA SÉrIE 1300 ProgrAmmE D’ASSurANCE Et D’AmÉlIorAtIoN quAlItÉ
© IFACI - décembre 2012
103
104
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1300-1 Programme d'assurance et d'amélioration qualité Principale Norme de référence
1300 – Programme d'assurance et d'amélioration qualité
Interprétation : Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer : la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes. Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit interne et d’identifier toutes opportunités d’amélioration.
1.
Il appartient au responsable de l'audit interne de mettre en place un service d’audit interne dont le champ d’action couvre l’ensemble des activités mentionnées dans les Normes et dans la définition de l’audit interne. À cette fin, la norme 1300 prévoit que le responsable de l’audit interne élabore et tient à jour un programme d'assurance et d'amélioration qualité.
2.
Le responsable de l'audit interne s’assure de la mise en œuvre de processus permettant de donner aux diverses parties prenantes de l’audit interne l’assurance raisonnable que ce service : respecte la charte d’audit interne et, en conformité avec la définition de l’audit interne, le Code de Déontologie et les Normes ; fonctionne d’une façon efficace et efficiente ; contribue, aux yeux des parties prenantes, à créer de la valeur ajoutée et à améliorer le fonctionnement de l’organisation. Ces processus comportent une supervision appropriée, des évaluations internes périodiques et une surveillance permanente de l’assurance qualité, ainsi que des évaluations externes périodiques.
3.
Le programme d’assurance et d’amélioration qualité se doit d’être suffisamment détaillé pour couvrir tous les aspects du fonctionnement et de la gestion d’un service d’audit interne, tels qu’ils ressortent de la définition de l’audit interne, du Code de Déontologie, des Normes et des meilleures pratiques de la profession. Le processus d’assurance et d’amélioration qualité est mis en œuvre ou supervisé par le responsable de l’audit interne. Exception faite des
© IFACI - décembre 2012
105
MPA 1300
Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne.
services d’audit interne de dimension modeste, le responsable de l’audit interne délègue généralement à ses collaborateurs la plupart des tâches afférentes au programme d’assurance et d’amélioration qualité. Dans le cadre de structures importantes ou complexes (grand nombre d’unités et/ou de sites, par exemple), le responsable de l’audit interne met en place une fonction « Assurance et amélioration qualité » formelle, dirigée par un manager du service d’audit interne. Ce manager, assisté d’un certain nombre de collaborateurs, assure la gestion et le suivi des activités nécessaires au succès du programme d’assurance et d’amélioration qualité. Commentaire IFACI La qualité des activités de l’audit interne est une responsabilité collective. Cependant, le pilotage direct du programme d’assurance et d’amélioration qualité requiert dans certains cas une structure transversale permettant un déploiement et un suivi centralisé. Cette structure peut être nécessaire en raison de la taille ou de la complexité des activités du département d’audit interne. Le manager en charge du programme d’assurance et d’amélioration qualité peut, selon notre point de vue, continuer à exercer des responsabilités de conduite de missions.
106
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1310-1 Exigences du programme d'assurance et d'amélioration qualité Principale Norme de référence
1310 – Exigences du programme d'assurance et d'amélioration qualité
Commentaire IFACI La Certification IFACI est fondée sur les exigences suivantes : • un référentiel de certification, formellement validé par un comité indépendant ; • un comité de certification composé de directeurs opérationnels, de cadres de départements d’audit interne et d’experts en audit interne, assurant l’équité et l’homogénéité des décisions ; • un processus de certification normé et décliné en procédures ; • des auditeurs certificateurs expérimentés et formés ; • une appréciation de la qualité de l’organisation et du fonctionnement de l’audit interne fondée sur chaque exigence générale, et non sur une appréciation d’ensemble du respect des Normes ; • un label reconnu, pouvant faire l’objet d’une communication vers les parties prenantes de l’audit interne.
1.
Un programme d’assurance et d’amélioration qualité consiste en des évaluations permanentes ou périodiques de l’ensemble des prestations d’audit et de conseil effectuées par l’audit interne. Ces évaluations permanentes ou périodiques reposent sur des processus rigoureux et détaillés, une supervision continue et la vérification des prestations d’audit et de conseil, ainsi que des validations périodiques du respect de la définition de l’audit interne, du Code de déontologie et des Normes. Ce suivi comporte une évaluation et une analyse continues d’indicateurs de performances (réalisation du plan d’audit interne, durée des missions, recommandations acceptées et satisfaction des clients, par exemple). Si suite à ces évaluations, il apparaît que des améliorations sont à apporter par l’audit interne le responsable de l’audit interne les mettra en œuvre dans le cadre du programme d’assurance et d’amélioration qualité.
© IFACI - décembre 2012
107
MPA 1300
Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu’externes.
2.
Les évaluations donnent une opinion sur la qualité des travaux d’audit interne et aboutissent à des recommandations en vue de leur amélioration. Les programmes qualité comportent notamment une évaluation des points suivants : respect de la définition de l’audit interne, du Code de Déontologie et des Normes, et notamment mise en œuvre, dans des délais appropriés, d’actions correctrices visant à remédier à toute non-conformité significative ; caractère adéquat de la charte d’audit interne, des objectifs, des règles et des procédures de l’audit interne ; contribution aux processus de gouvernement d’entreprise, de management des risques et de contrôle de l’organisation ; respect des lois, réglementations, normes administratives ou sectorielles en vigueur ; efficacité des processus d’amélioration continue et adoption des meilleures pratiques ; contribution de l’audit interne à la création de valeur et à l’amélioration du fonctionnement de l’organisation.
3.
Le programme d’assurance et d’amélioration qualité inclut également le suivi des recommandations relatives à la modification appropriée et opportune des ressources, des technologies, des processus et des procédures.
4.
Par souci de transparence, le responsable de l'audit interne communique les résultats des évaluations externes et, si nécessaire, des évaluations internes du programme qualité, aux diverses parties prenantes de l’audit interne, telles que la direction générale, le Conseil et les auditeurs externes. Au moins une fois par an, le responsable de l’audit interne rend compte à la direction générale et au Conseil de l’état d’avancement et des résultats du programme qualité.
108
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1311-1 Évaluations internes Principale Norme de référence
1311 – Évaluations internes
Interprétation : La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivi de l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiques courantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les informations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définition de l’audit interne, au Code de Déontologie et aux Normes. Les évaluations périodiques sont conduites pour apprécier également la conformité du service d’audit interne à la définition de l’audit interne, au Code de Déontologie et aux Normes. Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension de l’ensemble des éléments du cadre de référence international des pratiques professionnelles.
1.
Les processus et outils utilisés dans les évaluations internes permanentes sont notamment les suivants : supervision des missions; utilisation de listes de contrôle et de procédures (par exemple dans un manuel d’audit et de procédures); informations fournies, en retour, par les clients et les parties prenantes de l’audit interne ; revues de dossiers de mission effectuées par des auditeurs qui n’ont pas participé aux missions concernées ; budgets par projet, systèmes de suivi des temps passés, réalisation du plan d’audit, recouvrement des coûts ; analyse d’autres indicateurs de performance (par ex. durée des missions et taux de recommandations acceptées).
© IFACI - décembre 2012
109
MPA 1300
Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des évaluations périodiques, effectuées par auto-évaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne.
2.
Il convient de conclure sur la qualité des prestations et d’en effectuer un suivi afin de s’assurer que les améliorations appropriées sont mises en œuvre.
3.
Le manuel de l’IIA relatif à l’évaluation de la qualité (Quality Assessment Manual), ou un ensemble comparable de lignes directrices et d’outils, pourront servir de base aux évaluations internes périodiques.
Commentaire IFACI IFACI Certification a élaboré un Référentiel Professionnel de l’Audit Interne s’appuyant sur les Normes qu’il répartit en : • exigences de prestations ; • exigences de moyens ; • exigences de pilotage et de contrôle. Ce Référentiel, conçu aux fins de certification d’une direction d’audit interne peut aussi être utilisé pour les évaluations internes. Il est disponible auprès de l’IFACI.
4.
Les évaluations internes périodiques peuvent : comporter des enquêtes et des entretiens plus approfondis avec les parties prenantes de l’audit interne ; être réalisées par les membres de l’audit interne (auto-évaluation) ; être réalisées par des auditeurs internes certifiés CIA ou par d’autres professionnels de l’audit, intervenant dans d’autres départements de l’organisation ; combiner auto-évaluation et préparation de documents revues ultérieurement par des auditeurs internes certifiés CIA ou par d’autres professionnels de l’audit ; inclure une étude comparative des pratiques et des indicateurs de performance de l’audit interne et des meilleures pratiques de la profession.
5.
Une évaluation interne périodique, réalisée peu de temps avant une évaluation externe, peut faciliter cette dernière et en réduire le coût. Même si l’évaluation périodique interne est effectuée par des évaluateurs externes qualifiés et indépendants, les résultats de l’évaluation ne devraient pas présumer les résultats de la revue qualité externe à venir. Le rapport peut contenir des suggestions et des recommandations d’amélioration des pratiques d’audit. Si l’évaluation externe prend la forme d’une auto-évaluation suivie d’une validation indépendante, l’évaluation interne périodique peut tenir lieu d’auto-évaluation dans le cadre de ce processus.
6.
Il convient de conclure sur la qualité des prestations et prendre toute mesure appropriée pour, en tant que de besoin, mettre en œuvre les améliorations et assurer la conformité aux Normes.
110
© IFACI - décembre 2012
modalités Pratiques d’Application
7.
Le responsable de l'audit interne met en place un système de diffusion des résultats des évaluations internes permettant de préserver la crédibilité du service et de garantir son objectivité. En règle générale, les personnes chargées des évaluations continues et périodiques rendent compte au responsable de l'audit interne au cours de leurs revues et lui adressent directement leurs résultats.
8.
Le responsable de l'audit interne rend compte, au moins annuellement, à la direction générale et au Conseil des résultats des évaluations internes, des plans d’action à mettre en œuvre et de leur mise en œuvre effective.
Commentaire IFACI
MPA 1300
Le responsable de l’audit interne appréciera l’opportunité et adaptera la nature de la communication des résultats pour chaque partie prenante. La communication des résultats des revues internes aux auditeurs externes peut permettre de favoriser un climat de confiance propice à la coopération entre audit interne et audit externe.
© IFACI - décembre 2012
111
MPA 1312-1 Évaluations externes Principale Norme de référence
1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. Interprétation : Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.
1.
Les évaluations externes couvrent l’ensemble des prestations d’assurance et de conseil fournies par l’audit interne et ne sont pas limitées à l’évaluation de son programme d’assurance et d’amélioration qualité. Pour obtenir tout le bénéfice d’une revue externe, l’étendue des travaux inclut le benchmarking, l’identification et le compte-rendu des meilleures pratiques qui pourrait rendre l’audit interne plus efficient. Cela peut être obtenu soit par une revue entièrement externalisée, soit par une autoévaluation détaillée suivie d’une validation indépendante. Ces deux approches sont réalisées par un évaluateur ou une équipe d’évaluateur
112
© IFACI - décembre 2012
modalités Pratiques d’Application
2.
L’évaluation externe comprend une opinion sur l’ensemble des prestations d’assurance et de conseil délivrées par l’audit interne (ou qui aurait pu être fournies sur la base de la charte d’audit interne), notamment sur le respect de la définition de l’audit interne, du Code de Déontologie et des Normes et, si nécessaire, des recommandations en vue d’une amélioration. Hormis le respect de la définition de l’audit interne, du Code de Déontologie et des Normes, le périmètre de l’évaluation est ajusté à la demande du responsable de l’audit interne, de la direction générale ou du Conseil. Ces évaluations peuvent présenter un grand intérêt pour le responsable de l'audit interne et les autres membres de l’équipe, plus particulièrement lorsqu’il y a échange sur le benchmark et les meilleures pratiques.
3.
Dès l’achèvement de la revue, un compte-rendu formel doit être adressé à la direction générale et au Conseil.
4.
Il existe deux démarches d’évaluations externes. La première est une évaluation entièrement externalisée, conduite par un évaluateur ou une équipe qualifiés, indépendants, extérieurs à l’organisation. Cette approche implique une équipe extérieure de professionnels compétents sous la direction d'un chef de projet expérimenté et professionnel. La seconde approche implique le recours à un évaluateur ou à une équipe externe qualifiés et indépendants pour conduire une validation indépendante de l'auto-évaluation interne et du rapport établi par le service d’audit interne. Les évaluateurs externes indépendants maîtrisent les meilleures pratiques de l’audit interne.
5.
Les personnes qui entreprennent l’évaluation externe, ne doivent avoir aucun intérêt dans l’organisation dont le service d’audit interne fait l’objet de l’évaluation externe, ni aucune obligation envers cette dernière ou son personnel. Lors de la sélection de l’évaluateur ou de l’équipe d’évaluateurs externe(s) qualifié(s) et lorsqu’il consulte le Conseil à ce propos, le responsable de l’audit interne examine des points particuliers concernant leur indépendance. Notamment : Aucun cas de conflit d’intérêt réel ou supposé avec des cabinets réalisant : - l’audit externe des états financiers ; - des activités de conseil significatives dans les domaines du gouvernement d’entreprise, du management des risques, du reporting financier, du contrôle interne et dans des domaines connexes ; - une assistance au service d’audit interne. L’importance et le volume de travail effectué devront être considérés lors de la sélection. Aucun cas de conflit d’intérêt réel ou supposé avec d’anciens employés de l’organisation qui feraient l’évaluation. La durée pendant laquelle les personnes ont été indépendantes de l’organisation devra être prise en considération.
© IFACI - décembre 2012
113
MPA 1300
qualifiés et indépendants. Néanmoins, dans les deux cas, le responsable de l’audit interne s’assure que le plan d’intervention spécifie clairement les livrables de la revue externe.
Les personnes qui procèdent à l’évaluation sont indépendantes de l’organisation dont le service d’audit interne fait l’objet de l’évaluation et ne se trouvent pas dans un cas de conflit d’intérêt réel ou apparent. L’expression « indépendantes de l’organisation » signifie que ces personnes ne font pas partie de l’organisation à laquelle est rattaché le service d’audit interne et ne sont pas placées sous son contrôle. Le choix d’un évaluateur externe est effectué en tenant compte de tout éventuel conflit d’intérêt, réel ou apparent, résultant de ses relations présentes ou passées avec l’organisation ou son service d’audit interne. Le personnel des autres départements de l’organisation concernée ou d’une organisation liée, bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme étant indépendant pour la réalisation d’une évaluation externe. L’expression « organisation liée » désigne les organisations mères, les sociétés apparentées d’un même groupe, ou les entités exerçant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualité dans l’organisation dont le service d’audit interne fait l’objet de l’évaluation externe. Un conflit d’intérêt réel ou supposé au cours de revues réciproques. Des revues réciproques peuvent être effectuées par des pairs provenant d’au moins trois organisations différentes (au sein d’un secteur ou d’un autre groupe similaire, d’une association régionale ou d’un autre groupe d’organisations, excepté les « organisations liées » telles que définies ci-dessus) de façon à atténuer les problèmes d’indépendance, mais il faut alors veiller à ce que la question de l’indépendance ne se pose pas. Les revues réciproques de pairs organisées entre deux organisations ne répondent pas au critère d’indépendance. Pour surmonter les craintes liées à l’altération apparente ou réelle de l’indépendance dans les cas examinés au présent paragraphe, une ou plusieurs personnes indépendantes peuvent faire partie de l’équipe d’évaluateurs externes, afin de valider en toute indépendance les travaux de cette équipe. 6.
L’intégrité implique que les personnes chargées de l’évaluation soient honnêtes et sincères, dans les limites imposées par l’obligation de confidentialité. Les prestations et la confiance ne doivent pas être subordonnées à des intérêts et gains personnels. L’objectivité est un état d’esprit et une qualité qui renforcent la valeur d’une évaluation. Le concept d’objectivité implique l’impartialité, l’honnêteté intellectuelle et l’absence de conflit d’intérêt.
7.
La réalisation d’une évaluation externe et la communication de ses résultats nécessitent la formulation d’un jugement professionnel. La personne chargée de l’évaluation externe possède, par conséquent, les qualités suivantes : être un professionnel de l’audit interne compétent et agréé et posséder une connaissance approfondie des Normes ; avoir une bonne appréhension des meilleures pratiques de la profession ;
114
© IFACI - décembre 2012
modalités Pratiques d’Application
8.
Le ou les évaluateurs ont l’expertise technique requise et une expérience du secteur d’activité concerné. Des personnes compétentes dans d’autres disciplines peuvent les assister. C'est ainsi que des experts en matière de management des risques d’entreprise, d’audit des systèmes d’information, d’échantillonnages statistiques, de systèmes de suivi des opérations ou d’auto-évaluation du contrôle interne peuvent participer à certains aspects de l’évaluation.
9.
Le responsable de l’audit interne implique la direction générale et le Conseil dans le choix de la démarche et dans la sélection du prestataire d’une revue qualité externe.
10. L’évaluation externe consiste en un examen étendu portant notamment sur les paramètres suivants : respect de la définition de l’audit interne, du Code de Déontologie, des Normes, de la charte d’audit interne, des plans, des règles, des procédures et des pratiques de l’audit interne, ainsi que de la législation et réglementation en vigueur ; attentes du Conseil, de la direction générale et des directeurs opérationnels vis-à-vis des prestations de l’audit interne ; intégration de l’audit interne dans le dispositif de gouvernement d’entreprise, y compris au niveau des relations entre les principaux groupes impliqués dans ce dispositif ; outils et techniques utilisés par l’audit interne ; éventail des connaissances, de l’expérience et des compétences de l'équipe de l’audit interne, y compris en ce qui concerne l’amélioration des processus ; valeur ajoutée apportée par l’audit interne et contribution à l’amélioration des opérations de l’organisation. 11. Les résultats préliminaires de l’évaluation sont examinés avec le responsable de l'audit interne au cours du processus d’évaluation et à l’issue de ce dernier. Les résultats définitifs sont communiqués au responsable d’audit interne ou au responsable qui a autorisé l’évaluation, de préférence en adressant directement un exemplaire aux membres de la direction générale concernés et aux membres du Conseil.
© IFACI - décembre 2012
115
MPA 1300
avoir une expérience récente de trois ans au minimum de la pratique de l’audit interne à un poste d’encadrement. Les responsables de l’équipe d’évaluateurs externes et les personnes chargées de la validation indépendante de l’auto-évaluation doivent posséder des compétences et une expérience plus poussées : par exemple, avoir été membre d’une équipe d’évaluateurs externes de la qualité, avoir suivi avec succès la formation de l’IIA sur l’évaluation de la qualité ou une formation similaire, et avoir acquis une expérience en tant que responsable d’un service d’audit interne ou une expérience comparable à un poste d’encadrement dans l’audit interne.
12. Les informations communiquées comportent : une opinion sur le respect de la définition de l’audit interne, du Code de Déontologie et des Normes par le service d’audit interne, fondée sur un système de notation structuré. Le terme « respect » signifie que les pratiques de l’audit interne, prises globalement, satisfont aux conditions posées par la définition de l’audit interne, le Code de Déontologie et les Normes. Parallèlement, le terme « non-respect » signifie que l’impact et la gravité des anomalies constatées dans les pratiques de l’audit interne sont suffisamment importants pour altérer la capacité de ce service à remplir ses responsabilités. Le degré de respect partiel de la définition de l’audit interne, du Code de Déontologie ou de chaque norme devrait également être mentionné, s’il influe sur l’opinion d’ensemble, dans le rapport de l’évaluation indépendante. La formulation d’une opinion sur les résultats de l’évaluation externe requiert un jugement sûr ainsi que des qualités d’intégrité et de conscience professionnelle ; une évaluation de la mise en œuvre des meilleures pratiques telles qu'elles sont apparues au cours de la revue ou qui pourraient s'appliquer dans l'environnement considéré ; les recommandations, le cas échéant ; les réponses du responsable de l’audit interne comprenant un plan d’action et les dates de mise en œuvre. 13. Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne communique aux différentes parties prenantes de l’audit interne, telles que la direction générale, le Conseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctrices prévues sur les points significatifs, puis des informations concernant leur mise en œuvre.
116
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1312-2 Évaluations externes : auto-évaluation avec validation indépendante Principale Norme de référence
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. Interprétation : Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.
1.
Une évaluation externe périodique, réalisée par un évaluateur ou une équipe d’évaluateurs compétents et indépendants peut être problématique pour les services d’audit interne de taille modeste ou considérée comme n’étant pas vraiment appropriée ou nécessaire dans d’autres organisations. Par exemple, le service d’audit interne peut (a) appartenir à un secteur extrêmement régulé, (b) faire par ailleurs l’objet d’une supervision externe importante en matière de gouvernance et de contrôle interne, (c) avoir récemment fait l’objet d’évaluations
© IFACI - décembre 2012
117
MPA 1300
1312 – Évaluations externes
externes et/ou de services de conseil aux cours desquels il y a eu un benchmark approfondi avec les meilleures pratiques, ou (d) du point de vue du responsable d’audit interne, l’intérêt pour le développement des auditeurs et le renforcement du programme d’assurance et d’amélioration qualité surpasse actuellement l’intérêt d’une revue qualité par une équipe externe. 2.
Une auto-évaluation avec validation (externe) indépendante comporte les éléments suivants : un processus détaillé et parfaitement documenté d’auto-évaluation, comparable au processus d’évaluation externe, du moins en ce qui concerne l’évaluation du respect de la définition de l’audit interne, du Code de Déontologie et des Normes ; une validation sur site indépendante réalisée par un évaluateur qualifié ; des modalités économiques en termes de temps et de ressources, l’accent étant mis, par exemple, sur le respect des Normes. les autres points, tels que l’analyse comparative, l’examen et les consultations relatifs à l’emploi des meilleures pratiques, les entretiens avec la direction générale et les cadres opérationnels peuvent faire l’objet d’une attention réduite. Cependant, les informations obtenues par ces points sont parmi les plus bénéfiques lors d’une évaluation externe.
3.
Les conditions et critères décrits dans la MPA 1312-1 s’appliquent en ce qui concerne : les considérations d’ordre général ; les qualifications de l’évaluateur ou de l’équipe d’évaluateurs externes ; l’indépendance, l’intégrité et l’objectivité, la compétence, l’approbation du choix de l’intervenant par la direction générale et le Conseil, l’étendue de la mission (sauf pour des domaines comme les outils et techniques utilisés, les autres meilleures pratiques, l’évolution de carrière et les activités à valeur ajoutée) ; la communication des résultats (y compris des actions correctrices et de leur mise en œuvre).
4.
Le processus d’auto-évaluation est mis en œuvre et parfaitement documenté par une équipe dirigée par le responsable de l’audit interne. Un projet de rapport similaire à celui concernant l’évaluation externe est établi avec l’opinion du responsable du service d’audit concernant le respect des Normes.
5.
L’évaluateur ou l’équipe d’évaluateurs compétent(s) et indépendant(s) chargé(s) de la validation procèdent à des tests sur l’auto-évaluation, de façon à en valider les résultats et à formuler une opinion sur le respect de la définition de l’audit interne, du Code de Déontologie et des Normes. La validation indépendante suit le processus décrit dans le Manuel d’évaluation qualité (Quality Assesment Manual) de l’IIA ou un processus comparable détaillé.
118
© IFACI - décembre 2012
6.
Au cours de la validation indépendante, qui inclut un examen rigoureux de l’évaluation du respect de la définition de l’audit interne, du Code de Déontologie et des Normes, l’évaluateur externe indépendant : examine le projet de rapport et s’efforce, le cas échéant, de résoudre les points en suspens ; en cas d’accord avec l’opinion concernant le respect de la définition de l’audit interne, du Code de Déontologie et des Normes, il complète le rapport (s’il y a lieu), afin d’approuver le processus d’auto-évaluation et l’opinion exprimée par le responsable de l’audit, ainsi que les constatations, conclusions et recommandations (s’il le juge opportun) ; en cas de désaccord avec cette évaluation, il fait part de son désaccord dans le rapport en précisant les points de divergence avec ce dernier et, s’il le juge opportun, avec les constatations, conclusions et recommandations significatives qu’il contient ; peut également établir un rapport de validation indépendante séparé, mentionnant son accord ou son désaccord comme indiqué ci-dessus, à joindre au rapport d’autoévaluation.
7.
Le (s) rapport(s) final(s) de l’auto-évaluation avec validation indépendante sont ensuite signé(s) par l’équipe chargée de l’auto-évaluation et la personne compétente responsable de la validation indépendante, puis diffusé(s) à la direction générale et au Conseil par le responsable de l’audit interne.
8.
Dans le but d’assurer la crédibilité et la transparence, le responsable de l'audit interne communique aux différentes parties prenantes de l’audit interne, telles que la direction générale, le Conseil et les auditeurs externes, les résultats de l’évaluation, y compris les actions correctrices prévues sur les points significatifs, puis des informations concernant leur mise en œuvre.
© IFACI - décembre 2012
119
MPA 1300
modalités Pratiques d’Application
MPA 1312-3 Indépendance de l’équipe d’évaluation externe dans le secteur privé Principale Norme de référence
1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. Interprétation : Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.
1.
Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’organisation évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit d’intérêt réel ou supposé entre les membres de l’équipe d’évaluation et l’organisation et/ou son personnel. Les éléments devant être pris en compte pour évaluer l’indépendance de l’équipe d’évaluation comprennent ce qui suit :
120
© IFACI - décembre 2012
Indépendant de l’organisation signifie ne pas être sous l’influence de l’organisation dont le service d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés doivent être pris en compte dans le cadre du processus de sélection d’un évaluateur externe. Un conflit d’intérêts peut découler de relations passées, présentes ou potentielles avec l’organisation ou son service d’audit interne. Les relations personnelles et/ou d’ordre commercial doivent être prises en compte. Dans le secteur privé (c’est-à-dire indépendant de l’État), le personnel d’une même organisation mais rattaché à des départements différents, ou à une organisation liée, bien qu’il ne fasse pas partie de l’audit interne, n’est pas considéré comme indépendant pour la réalisation d’une évaluation externe. L’expression « organisation liée » désigne l’entité ou la société mère, les sociétés affiliées d’un même groupe ou une entité exerçant régulièrement des fonctions de contrôle, de supervision ou d’assurance qualité vis-à-vis de l’organisation dont le service d’audit interne fait l’objet d’une évaluation externe. Des évaluations externes réciproques peuvent être effectuées par des équipes provenant d’au moins trois organisations différentes de façon à satisfaire l’objectif d’indépendance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sans contrainte de confidentialité, etc. La réalisation d’évaluations externes réciproques entre deux organisations ne peut pas être prise en considération en tant qu’évaluation externe indépendante.
2.
L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doit être discutée avec le Conseil.
© IFACI - décembre 2012
121
MPA 1300
modalités Pratiques d’Application
MPA 1312-4 Indépendance de l’équipe d’évaluation externe dans le secteur public Principale Norme de référence
1312 – Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe d’évaluateurs qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet : des modalités et de la fréquence de l’évaluation externe ; et des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur indépendance y compris au regard de tout conflit d'intérêt potentiel. Interprétation : Les évaluations externes peuvent prendre la forme d’une évaluation entièrement externalisée ou d’une auto-évaluation avec validation indépendante externe. Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deux domaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Ces compétences peuvent être démontrées à travers une combinaison d’expériences professionnelles et de connaissances théoriques. L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’industrie, et de problématiques techniques similaires est à privilégier. Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si un évaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener à bien la mission d’évaluation. La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de l’organisation dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réel ou apparent.
1.
Le terme « secteur public », qui englobe tous les niveaux d’intervention de l’État, comprend les établissements ou les entreprises (« l’entité ») détenus ou contrôlés par l’État. Dans le secteur public, les services d’audit interne des différents niveaux d’intervention de l’État peuvent être considérés comme indépendants pour la réalisation d’une évaluation externe.
122
© IFACI - décembre 2012
modalités Pratiques d’Application
2.
Les entités parapubliques englobent des entreprises qui sont détenues ou contrôlées par plusieurs États, des institutions ou des organisations, telles que les Nations Unies ou la Commission européenne. En raison de leur caractère multilatéral, les organisations internationales devraient appliquer les lignes directrices destinées au secteur privé.
Commentaire IFACI
3.
Tous les membres de l’équipe d’évaluation externe doivent être indépendants de l’entité évaluée et de son personnel d’audit interne. En particulier, il ne doit pas exister de conflit d’intérêt réel ou supposé entre les membres de l’équipe d’évaluation et l’entité et/ou son personnel. Les éléments devant être pris en compte pour évaluer l’indépendance de l’équipe d’évaluation comprennent ce qui suit : Indépendant de l’entité signifie ne pas être sous l’influence de l’entité dont le service d’audit interne est évalué. Les conflits d’intérêts réels, potentiels ou supposés doivent être pris en compte dans le cadre du processus de sélection d’un évaluateur externe. Un conflit d’intérêts peut découler de relations passées, présentes ou potentielles avec l’entité ou son service d’audit interne. Les relations personnelles et/ou d’ordre commercial doivent être prises en compte. Dans le secteur public, le personnel rattaché à des services d’audit interne distincts dans des entités différentes mais correspondant à un niveau d’intervention donné de l’État (administration nationale, régionale, départementale, ou locale) peut être considéré comme indépendant pour la réalisation d’une évaluation externe. Lorsqu’une ou plusieurs activités d’audit interne sont réalisées au même niveau d’intervention de l’État et sous l’autorité du même responsable de l’audit interne, le personnel concerné par ces activités n’est pas considéré comme indépendant pour la réalisation d’une évaluation externe, même s’il est rattaché à des entités différentes. Seuls des évaluateurs indépendants de chacune de ces entités peuvent réaliser une évaluation externe. Des évaluations externes réciproques peuvent être effectuées par des équipes provenant d’au moins trois entités différentes de façon à satisfaire l’objectif d’indépendance. Il convient de veiller à ce que la question de l’indépendance ne se pose pas et à ce que tous les membres de l’équipe soient à même d’exercer pleinement leurs fonctions sans contrainte de confidentialité, etc. La réalisation d’évaluations externes réciproques entre deux entités ne peut pas être prise en considération en tant qu’évaluation externe indépendante.
© IFACI - décembre 2012
123
MPA 1300
Les lignes directrices du secteur public sont généralement plus appropriées pour les organisations intergouvernementales qui prolongent et se substituent à l’action publique étatique. Néanmoins, la notion d’organisation liée, développée dans le §1 de la MPA 1312-3 relative au secteur privé, devra être prise en considération pour apprécier l’indépendance du personnel d’une institution donnée en fonction du niveau de contrôle/supervision de l’organisation dont le service d’audit interne fait l’objet d’une évaluation externe.
4.
L’indépendance de l’équipe d’évaluation, notamment les conflits d’intérêts potentiels, doit être discutée avec le Conseil.
5.
Lorsqu’il sélectionne l’équipe en vue de réaliser une évaluation, le responsable de l’audit interne doit prendre en compte le niveau d’expérience de ses membres dans le secteur public.
124
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 1321-1 Utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » Principale Norme de référence
1321 – utilisation de la mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne »
Interprétation : Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de la Définition de l’audit interne, du Code de déontologie et des Normes. Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des évaluations internes et des évaluations externes. Tout service d’audit interne disposera de résultats d’évaluations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté disposeront également des résultats de leurs évaluations externes.
1.
La surveillance permanente ainsi que les évaluations externe et interne de l’audit interne ont pour objet d’évaluer et formuler une opinion sur la conformité de cette activité par rapport à la définition de l’audit interne, au Code de Déontologie et aux Normes. Ils incluent si nécessaire des recommandations en vue d’une amélioration.
2.
Des évaluations externes doivent être réalisées tous les cinq ans.
Commentaire IFACI L’IFACI considère qu’une période de cinq ans est inadaptée dans la plupart des cas pour la réalisation d’évaluations externes. En effet, l’audit interne est une fonction clé du dispositif de contrôle interne qui fait l’objet tous les ans d’un rapport approuvé par le conseil d’administration. Dans ce rapport, rendu public, le Président du Conseil rend notamment compte des procédures de contrôle interne et de gestion des risques. En tant que partie prenante directement concernée par ces processus, l’audit interne se doit de justifier d’un professionnalisme. Par ailleurs, l’audit interne est généralement une fonction à rotation de personnel élevée. Pour ces raisons, la Certification IFACI prend la forme d’un audit de certification et d’audits de suivi annuel, afin de répondre
© IFACI - décembre 2012
125
MPA 1300
Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si les résultats du programme d'assurance et d'amélioration qualité l’ont démontré.
à l’engagement de progrès continu des départements d’audit interne. Ce modèle encourage ainsi la mise en œuvre rapide et optimale des plans d’action de l’audit interne et permet d’acter les améliorations qui y sont déployées. Il assure également le maintien de la vigilance des auditeurs et prévient toute dérive éventuelle. Il permet d’intégrer pro activement les évolutions des meilleures pratiques d’audit. Il oblige à rester en alerte sur les changements de l’environnement interne et externe de l’organisation. Il conduit à tenir compte de la vision et des besoins évolutifs des parties prenantes.
3.
On peut utiliser la formule « Conforme avec les Normes » ou « En conformité avec les Normes ». L’emploi d’une de ces expressions exige qu’une évaluation externe soit réalisée au moins une fois tous les cinq ans, et qu’elle soit accompagnée d’une surveillance permanente et d’évaluations internes périodiques. Il faut également que ces activités débouchent sur la conclusion que l’audit interne respecte la définition de l’audit interne, le Code de Déontologie et les Normes. L'emploi de ces formules n’est pas approprié tant qu’une évaluation externe n’a pas démontré que l’audit interne fonctionne en conformité avec la définition de l’audit interne, le Code de Déontologie et les Normes.
4.
Le responsable de l’audit interne indique à la direction générale et au Conseil, les cas de nonconformité qui ont une incidence sur le champ d’intervention ou le fonctionnement de l’audit interne, y compris l’incapacité à obtenir une évaluation externe dans le délai de cinq ans.
5.
Avant toute utilisation des formules ci-dessus par l’audit interne, tout cas de non-conformité mis en évidence par une évaluation (interne ou externe) de la qualité, et de nature à altérer la capacité de ce service à s’acquitter de ses responsabilités : doit être résolu de façon adéquate ; les actions correctrices sont documentées et notifiées à l’évaluateur (aux évaluateurs) concerné(s), de façon à obtenir son approbation quant au caractère adéquat de la solution apportée à la non-conformité ; les actions correctrices ainsi que l’approbation du (des) évaluateur(s) concerné(s) sont portées à la connaissance de la direction générale et du Conseil.
126
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2000
mPA SÉrIE 2000 gEStIoN DE l’AuDIt INtErNE
© IFACI - décembre 2012
127
128
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2010-1 La prise en compte des risques et des menaces pour l’élaboration du plan d’audit Principale Norme de référence
2010 – Planification
Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques. Pour se faire, le responsable de l’audit interne prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation.
1.
En élaborant le plan d'audit, la plupart des responsables de l’audit interne choisissent d'abord de développer ou d’actualiser l’univers d'audit. L’univers d’audit recense tous les audits pouvant être réalisés. Le responsable de l’audit interne peut recueillir la contribution de la direction générale et du Conseil pour constituer l’univers d’audit.
Commentaire IFACI Pour mener à bien cette mission, il est important que l’audit interne ait une bonne compréhension du processus de management des risques. Pour cela, il doit bien appréhender les rôles respectifs de l’audit interne, des risk managers, du comité d’audit et du comité des risques s’ils existent. S’il apparaît que ceux-ci sont insuffisamment précis ou non coordonnés, l’audit interne doit en informer la direction générale et lui faire part de ses recommandations en vue d’améliorer la gestion des risques de l’organisation. Nous renvoyons à la MPA 2120-1 qui traite précisément du rôle de l’auditeur interne dans le processus de management de risque et en l’absence d’un tel processus.
2.
L’univers d’audit peut intégrer certaines composantes du plan stratégique de l’organisation, de façon à tenir compte de ses objectifs globaux. Par ailleurs, selon toute vraisemblance, les plans stratégiques reflètent l’attitude de l’organisation face aux risques et le degré de difficulté
© IFACI - décembre 2012
129
MPA 2000
Le responsable de l'audit interne doit établir un plan d’audit fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.
que comporte la réalisation des objectifs fixés. L’univers d’audit prend généralement en compte les résultats du processus de management des risques. En principe, le plan stratégique de l’organisation tient compte de l’environnement dans lequel elle opère. Les facteurs liés à cet environnement influeront vraisemblablement l’univers d’audit et l’évaluation des risques. 3.
Le responsable de l’audit interne prépare le plan d'audit à partir de l’univers d'audit, des contributions de la direction générale et du Conseil, d’une évaluation des risques et des menaces pouvant affecter l'organisation. Les principaux objectifs d’audit visent à fournir une assurance et des informations, notamment en ce qui concerne l’évaluation de l’efficacité de la gestion des risques par le management, à la direction générale et au Conseil afin de les aider à atteindre les objectifs de l'organisation.
4.
L’univers et la planification d’audit sont actualisés afin d’intégrer les changements d’orientation, d’objectifs et de priorité décidés par la direction générale. Il est conseillé d’examiner l’approche d’audit, au minimum une fois par an, afin de l’adapter aux stratégies et aux orientations les plus récentes de l’organisation. Il peut s’avérer nécessaire, dans certains cas, de procéder à une mise à jour plus régulière (trimestrielle, par exemple) des plans d’audit en fonction des évolutions intervenues dans les activités commerciales, le fonctionnement, les programmes, les systèmes et les contrôles de l’organisation.
5.
Le plan des missions d’audit est établi, entre autres, sur la base d’une évaluation des principaux risques et menaces. Il convient de définir des priorités de façon à affecter les ressources en fonction du caractère significatif des risques. Le responsable de l'audit interne a, à sa disposition, divers modèles de risques pour l’aider à définir les zones d’audit prioritaires. La plupart de ces modèles utilisent des facteurs de risque tels que l’impact, la probabilité d’occurrence, la matérialité, la liquidité des actifs, la compétence du management, la qualité et le respect des contrôles internes, le niveau de changement ou de stabilité, la date et les résultats de la dernière mission d’audit, la complexité, les relations avec le personnel et l’administration, etc. Les méthodes et les techniques utilisées dans le cadre des missions d’audit, pour effectuer des tests et valider l’exposition aux risques, doivent tenir compte de la matérialité des risques et de leur probabilité d’occurrence.
Commentaire IFACI Parmi les divers modèles de risques existants, citons par exemple : • le management des risques de l’entreprise – COSO Report II, dont la traduction a été publiée par l’IFACI ; • les modèles présentés dans les cahiers de la recherche « Management des risques », publiés par l’IFACI ; • le cadre de référence de la gestion des risques du Ferma (Federation of European Risk Management Association) ; • les modèles proposés dans les séminaires de l’IFACI sur l’évaluation et la maîtrise des risques et sur la cartographie des risques. Bien entendu, il appartient à chaque service d’audit interne de les analyser et de se les approprier. 130
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2010-2 Prise en compte du management des risques dans la planification de l’audit interne Principale Norme de référence
2010 – Planification
Interprétation : Il incombe au responsable de l’audit interne de développer un plan d’audit fondé sur les risques. Pour se faire, le responsable de l’audit interne prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque définie par le management pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et du Conseil. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de l’organisation.
1.
Le management des risques est une composante primordiale de la bonne gouvernance. Il concerne toutes les activités d’une organisation. Nombre d’organisations sont en train d’adopter une approche de management des risques homogène et holistique, qui, dans l’idéal, doit être pleinement intégrée à leur management global. Le management des risques s’applique à tous les niveaux : entreprise, fonctions et unités opérationnelles. Les managers recourent généralement à un cadre de référence du management des risques pour réaliser l’évaluation nécessaire et en documenter les résultats.
2.
S’il est efficace, le processus de management des risques peut faciliter l’identification des contrôles clés liés aux risques inhérents les plus importants. Le management des risques de l’entreprise (Enterprise Risk Management, ERM) est un concept courant. Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) le définit comme « un processus mis en œuvre par le Conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de la tolérance au risque. Il vise à fournir une assurance raisonnable quant à l’at-
© IFACI - décembre 2012
131
MPA 2000
Le responsable de l'audit interne doit établir un plan d’audit fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.
teinte des objectifs de l’organisation ». L’exécution des contrôles est l’une des méthodes utilisée par le management pour gérer les risques dans les limites de son appétence pour le risque. Les auditeurs internes vérifient les contrôles clés et donnent une assurance sur le management des risques significatifs. 3.
Les Normes pour la pratique professionnelle de l’audit interne (les Normes) élaborées par l’IIA définissent le contrôle comme « toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints ».
4.
Il convient de distinguer deux concepts fondamentaux : le risque inhérent et le risque résiduel (ou risque actuel). Les auditeurs financiers/externes utilisent depuis longtemps le concept de risque inhérent, que l’on peut considérer comme étant le fait que des informations ou des données puissent être significativement erronées en l’absence de contrôles d’atténuation correspondants. D’après les Normes, les risques résiduels sont « les risques qui subsistent après les mesures prises par le management pour réduire l'impact et la probabilité d'occurrence d'un événement défavorable et, notamment, après les dispositifs de contrôle mis en place en réponse à un risque ». Le risque actuel est souvent défini comme le risque géré dans le cadre des activités de contrôles ou du dispositif de contrôle en place.
5.
Les contrôles clés sont les contrôles ou les ensembles de contrôles qui aident à réduire le risque à un niveau acceptable. On peut les considérer comme des processus organisationnels visant à traiter les risques. Si le management des risques est efficace (et accompagné d’une documentation adéquate), il est facile d’identifier les contrôles clés en examinant l’écart entre risque inhérent et risque résiduel dans tous les dispositifs sur lesquels l’organisation s’appuie pour réduire le niveau des risques importants. Si le risque inhérent n’a pas été identifié, l’auditeur interne l’estime. Lorsqu’il identifie les contrôles clés (et dans l’hypothèse où il a conclu à la maturité et à la fiabilité du management des risques), l’auditeur interne examine : chaque facteur de risque correspondant à un écart significatif entre le risque inhérent et le risque résiduel (surtout si le risque inhérent était particulièrement élevé). Cette analyse met en lumière les contrôles importants pour l’organisation ; les contrôles qui servent à réduire un grand nombre de risques.
6.
La planification de l’audit interne doit s’appuyer sur le processus de management des risques de l’organisation, lorsque celui-ci a été déployé. Quand il planifie une mission, l’auditeur interne prend en compte les risques importants liés à l’activité et les moyens par lesquels le management ramène le risque à un niveau acceptable. Il recourt à des techniques d’évaluation des risques pour établir le plan de la mission et pour définir les priorités afin d’allouer en conséquence les ressources dédiées à la mission. L’évaluation des risques sert à fixer les prio-
132
© IFACI - décembre 2012
modalités Pratiques d’Application
7.
Les auditeurs internes ne sont pas toujours qualifiés pour examiner toutes les catégories de risques et le processus de management des risques au sein de l’organisation (audits internes portant sur l’hygiène et la sécurité au travail, audits environnementaux ou instruments financiers complexes, par exemple). Le responsable de l’audit interne veille, par conséquent, à faire appel aux auditeurs internes qui disposent de compétences spécialisées, ou à des prestataires extérieurs.
8.
La configuration des processus et des systèmes de management des risques varie d’un pays à l’autre et leur maturité d’une organisation à l’autre. Dans les organisations où le service de management des risques est centralisé, celui-ci coordonne ses activités avec celles des managers, de façon à surveiller en permanence le dispositif de contrôle interne et à l’adapter en fonction de l’évolution de l’appétence pour le risque. Les processus de management des risques qui sont mis en œuvre dans différentes parties du monde peuvent différer par leur philosophie, leurs structures et leur terminologie. C’est pourquoi les auditeurs internes évaluent le processus propre à l’organisation considérée et déterminent quels éléments peuvent servir à élaborer le plan d’audit interne ou le plan d’une mission donnée.
9.
Lorsque l’auditeur interne établit son plan, il doit prendre en compte un certain nombre d’éléments : les risques inhérents – Sont-ils identifiés et évalués ? les risques résiduels – Sont-ils identifiés et évalués ? les contrôles d’atténuation, les plans de secours et le pilotage des activités– Sont-ils associés à des événements et/ou à des risques spécifiques ? l’inventaire ou le registre des risques – Est-il systématique, alimenté et précis ? la documentation – Les risques et activités sont-ils documentés ? De plus, l’auditeur interne coordonne ses activités avec celles des autres prestataires de services d’assurance et planifie l’utilisation éventuelle de leurs travaux. [Voir la Modalité pratique d’application 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques.]
10. La charte d’audit interne requiert que le service d’audit interne se concentre sur les domaines à haut risque, qu’il s’agisse des risques inhérents ou des risques résiduels. L’audit interne doit identifier les domaines dans lesquels il existe un risque inhérent élevé, des risques résiduels élevés et les contrôles clés pour lesquels l’organisation a le plus d’assurance. Si l’audit interne repère des domaines présentant un risque résiduel inacceptable, il doit en aviser le manage© IFACI - décembre 2012
133
MPA 2000
rités parmi les entités pouvant être auditées et à sélectionner les domaines devant faire l’objet d’une revue. Les entités et les domaines qui présentent la plus forte exposition aux risques devront être intégrés dans les plans de la mission.
ment, afin que ce risque puisse être géré. En appliquant un processus de planification stratégique, l’auditeur interne sera à même d’identifier différents types d’activités à inclure dans le plan d’audit, tels que : les activités de contrôle/revues d’assurance – L’auditeur interne examine l’adéquation et l’efficience des dispositifs de contrôle et apporte l’assurance que les contrôles fonctionnent et que les risques sont gérés efficacement ; les demandes d’information – Le management de l’organisation estime le degré d’incertitude inacceptable en ce qui concerne les contrôles portant sur une activité ou un domaine de risque identifié, et l’auditeur interne met en œuvre des procédures destinées à mieux appréhender le risque résiduel ; les activités de conseil – L’auditeur interne conseille le management de l’organisation sur la conception des dispositifs de contrôle destinés à ramener les risques existants à un niveau acceptable. Les auditeurs internes cherchent également à identifier les contrôles superflus, redondants, excessifs ou complexes qui ne contribuent pas à la réduction efficiente du risque. Il arrive que le contrôle ait un coût supérieur à ses bénéfices. Ce contrôle pourra être redéfini avec davantage d’efficience. 11. L’identification des risques pertinents doit être systématique et bien documentée. Il existe différentes formes de documentation, qui vont d’un tableur, dans les petites organisations, au logiciel acheté à l’extérieur, dans les organisations plus sophistiquées. L’essentiel, c’est que le processus de management des risques soit intégralement documenté. 12. La documentation du management des risques, dans une organisation, peut être effectuée à différents niveaux inférieurs et en deça du niveau stratégique. Pour les risques non stratégiques, nombre d’organisations ont constitué un inventaire des risques qui informe sur les risques importants dans un domaine, ainsi que le niveau des risques inhérents et résiduels correspondants, sur les contrôles clés et sur les mesures d’atténuation. Il est ensuite possible de recourir à un rapprochement permettant d’établir des liens plus directs entre les « catégories » de risques et les « niveaux d’exposition » décrits dans les registres des risques et, le cas échéant, les éléments déjà inclus dans l’univers d’audit. 13. Il arrive que certaines organisations identifient plusieurs domaines dans lesquels le risque inhérent est élevé (ou plus élevé). Bien que ces risques puissent justifier l’attention de l’audit interne, il n’est pas toujours possible de tous les examiner. Si, d’après le registre des risques, le risque inhérent est jugé élevé ou en augmentation dans un domaine particulier et si le risque résiduel reste, pour une large part, inchangé et qu’aucune action n’est prévue par le management ou par l’audit interne, le responsable de l’audit interne en rend compte au Conseil, en détaillant l’analyse des risques et les raisons pour lesquelles certains contrôles n’ont pas été mis en place ou sont inefficaces. 134
© IFACI - décembre 2012
modalités Pratiques d’Application
14. Une sélection d’audits types pour les unités opérationnelles ou les branches dans lesquels le niveau de risque est faible doit être périodiquement incluse dans le plan d’audit interne afin de viser la couverture exhaustive du périmètre d’audit et de confirmer que les risques n’ont pas évolué. L’audit interne définit également une méthode de hiérarchisation des risques qui n’ont pas encore fait l’objet d’un audit interne. 15. Un plan d’audit interne est habituellement axé sur : les risques actuels inacceptables, qui nécessitent une action du management. Ils concernent des domaines dans lesquels les contrôles clés ou les mesures d’atténuation sont limités au minimum, et que la direction générale souhaite faire auditer sans délai ; les dispositifs de contrôle sur lesquels l’organisation s’appuie le plus ; les domaines dans lesquels il existe un écart considérable entre risque inhérent et risque résiduel ; les domaines dans lesquels le risque inhérent est très élevé.
MPA 2000
16. Lorsque l’auditeur interne planifie une mission donnée, il identifie et évalue les risques liés au domaine examiné.
© IFACI - décembre 2012
135
MPA 2020-1 Communication et approbation Principale Norme de référence
2020 – Communication et approbation Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.
1.
Le responsable de l'audit interne soumet, annuellement, pour examen et approbation, à la direction générale et au Conseil, une synthèse du plan annuel d’audit interne, du planning des travaux, des prévisions d’effectifs et le budget financier. Cette synthèse signalera à la direction générale et au Conseil l’étendue des missions d’audit et, le cas échéant, les limitations qui y sont apportées. Le responsable de l'audit interne signalera également, pour information et approbation, tout changement ultérieur significatif.
2.
Le planning des travaux, les prévisions d’effectifs et le budget financier approuvés, ainsi que tous les changements importants survenus en cours d’exercice, doivent contenir suffisamment d’informations pour permettre à la direction générale et au Conseil de déterminer si les objectifs et les plans de l’audit interne correspondent à ceux de l’organisation et du Conseil et sont cohérents avec la charte d’audit interne.
136
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2030-1 Gestion des ressources Principale Norme de référence
2030 – gestion des ressources Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé.
1.
Le responsable de l’audit interne s’assure de l’adéquation et de la gestion des ressources nécessaires à l’exercice des responsabilités de l’audit interne, telles que définies dans la charte. Cela suppose l’existence d’une réelle communication avec la direction générale et le Conseil sur les besoins et le profil des ressources de l’audit interne. Les ressources de l’audit interne peuvent comprendre des salariés, des prestataires externes, des contributions financières et des techniques d’audit informatisées. Le responsable de l’audit interne devrait assister la direction générale et le Conseil qui ont la responsabilité ultime de garantir l’adéquation des ressources avec les besoins de l’audit interne.
2.
Les compétences, le potentiel, ainsi que les connaissances techniques de l’équipe d’audit interne doivent être appropriées par rapport aux activités programmées. Le responsable de l’audit interne réalisera une évaluation ou un recensement périodique des compétences spécifiques requises pour accomplir les activités de l’audit interne. L’évaluation des compétences est fondée sur les besoins identifiés lors de l’évaluation des risques et dans le plan d’audit. Cette évaluation porte sur les compétences techniques, linguistiques, de gestion, de prévention et de détection des fraudes, ainsi que les expertises en comptabilité et en audit.
3.
Il faut que les ressources de l’audit interne soient suffisantes pour permettre l’accomplissement de ses activités avec toute la justesse, la précision et la ponctualité attendues par la direction générale et le Conseil, comme prévu dans la charte d’audit interne. Les éléments à prendre en considération lors de la planification des ressources incluent l'univers d'audit, les niveaux de risques appropriés, le plan annuel d'audit, les attentes en matière de couverture, et une estimation des activités imprévues.
© IFACI - décembre 2012
137
MPA 2000
Interprétation : On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantité de ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre efficacement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.
Commentaire IFACI Il convient de rappeler que le budget d’un service d’audit interne, réalisé en collaboration avec la direction des ressources humaines et la direction du contrôle de gestion, se compose de trois éléments : • un budget d’effectifs, avec un plan de recrutement (pluriannuel) et une prévision de mobilités externes ; • un budget financier, avec des crédits de formation, d’études, d’honoraires, de sous-traitance, de moyens coordonnés avec les auditeurs externes, des frais de déplacement…; • un budget logistique (outils informatiques, locaux, véhicules…). Ce budget doit permettre d’optimiser la structure et l’organisation du service d’audit interne en fonction de la couverture d’audit et des contraintes financières. 4.
Le responsable de l’audit interne devra s’assurer que les ressources sont efficacement déployées. Les auditeurs compétents et qualifiés sont ainsi affectés à des missions spécifiques. Cela implique également le développement d’une démarche d’analyse des ressources, d’une structure adaptée aux activités, ainsi qu’au profil des risques et à la répartition géographique de l’organisation.
5.
Plus généralement, le responsable de l’audit interne prend aussi en considération le plan de succession, l’évaluation du personnel, les programmes de développement des compétences, ainsi que d’autres sujets de ressources humaines. Le responsable de l’audit interne s’assure que les besoins de ressources de l’audit interne sont correctement pris en compte, et ce, quelles que soient les compétences présentes ou non dans la fonction d’audit interne proprement dite. Le responsable de l’audit interne envisage d’autres approches pour combler les besoins de ressources, notamment le recours à des prestataires externes de service, à des employés d’autres départements de l’organisation ou à des consultants spécialisés.
Commentaire IFACI Le processus de recrutement des auditeurs internes est plus ou moins contraint par la politique des ressources humaines de l’organisation. Un bon degré de liberté du responsable de l’audit interne lui permet de sélectionner les collaborateurs les mieux adaptés tout en prenant en considération les exigences de l’organisation telles que les redéploiements de compétences, la grille de rémunérations…
6.
En raison du caractère critique des ressources, le responsable de l’audit interne communique régulièrement avec la direction générale et le Conseil, sur l’adéquation des ressources nécessaires au fonctionnement de l’audit interne. Le responsable de l’audit interne présente périodiquement à la direction générale et au Conseil une synthèse précisant le profil et l’adéquation des ressources. A cette fin, le responsable de l’audit interne développe des indicateurs appropriés, fixe des buts et objectifs pour contrôler l’adéquation générale des
138
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2000
ressources. Il peut s’agir de la comparaison des ressources avec le plan annuel d’audit, de l’impact d’une absence temporaire de ressources ou d’une vacance de poste, des formations et apprentissages, de nouveaux besoins ou exigences spécifiques résultant des changements intervenus dans les activités commerciales, le fonctionnement, les programmes, les systèmes et les contrôles de l’organisation.
© IFACI - décembre 2012
139
MPA 2040-1 Règles et procédures Principale Norme de référence
2040 – règles et procédures Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne. Interprétation : La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l’audit interne et de la complexité de ses travaux.
1.
Le responsable de l’audit interne établit des règles et des procédures. Des manuels administratifs et techniques peuvent ne pas être nécessaires pour toutes les entités d’audit interne. Un petit service d’audit interne peut être dirigé d’une manière informelle. Son personnel peut être dirigé et contrôlé au jour le jour par une supervision étroite et des notes de service qui définissent les règles et les procédures à suivre. Par contre, dans un service d’audit interne important, il est essentiel de disposer de règles et procédures plus formalisées et complètes pour guider les auditeurs dans la réalisation du plan annuel d’audit.
Commentaire IFACI Il est important d’avoir des protocoles ou procédures propres à l’audit interne qui s’inscrivent dans le cadre de conventions régissant les rapports entre les sociétés d’un même groupe : par exemple, existence d’un audit groupe et de services d’audit décentralisés dans les filiales.
140
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2050-1 Coordination Principale Norme de référence
2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil.
1.
La surveillance des travaux de commissariat aux comptes, y compris la coordination avec l’audit interne, est du ressort du Conseil. La coordination des travaux d’audit interne et externe relève du responsable de l'audit interne. Celui-ci obtient l’appui du Conseil pour coordonner efficacement les travaux d’audit.
Sur le plan opérationnel, la coordination audit interne/audit externe dans un certain nombre de sociétés cotées reste encore du ressort du directeur financier. Il est souhaitable que le responsable de l’audit interne, dans le cadre de ses responsabilités et si son rattachement lui en donne la possibilité, prenne en charge ce processus.
Commentaire IFACI Voici les recommandations du Comité de Bâle dans son document publié en août 2001 sur « L’audit interne dans les banques et les relations des autorités de tutelle avec les auditeurs » : « Relations entre les auditeurs internes et les auditeurs externes Principe n° 16 Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de façon à rendre leur collaboration aussi réelle et efficace que possible. 64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison de leurs activités d'audit et notamment, de leurs entretiens avec la direction générale et le Conseil d'Administration ou le Comité d'Audit, s’il existe, ainsi que par leurs recommandations pour l'amélioration du contrôle interne. 65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et l'étendue des procédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes en France) est seul responsable de son opinion sur les états financiers. L’auditeur externe doit être avisé des travaux d’audit interne, avoir accès aux rapports pertinents et être tenu informé de tout problème significatif qui a retenu l'attention de l'auditeur interne et qui pourrait avoir une incidence sur son travail. De même, l’auditeur externe doit informer l'auditeur interne de tout problème important qui pourrait le concerner.
© IFACI - décembre 2012
141
MPA 2000
Commentaire IFACI
66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas double emploi avec celui des auditeurs externes. La coordination entre les services d'audit nécessite des rencontres périodiques pour s'entretenir de questions d'intérêt commun, procéder à l'échange des rapports d'audit et des notes de la direction et convenir de techniques, méthodes et terminologies communes. »
Commentaire IFACI En France, le comité d’audit peut assumer la surveillance de cette coordination, selon l’IFA « Les Comités d’Audit : 100 bonnes pratiques » : « il appartient également au comité d’audit de veiller à ce que l’audit interne et l’audit externe coordonnent leurs efforts et que leur communication soit efficace. ».
2.
Les organisations peuvent utiliser les travaux des auditeurs externes pour avoir une assurance sur des activités comprises dans le périmètre de l’audit interne. Dans ce cas, le responsable de l’audit interne prend les mesures nécessaires pour comprendre le travail réalisé par les auditeurs externes, notamment : l’étendue, la nature du travail et l’échéancier prévus par les auditeurs externes et s’assurer que le travail des auditeurs internes et externes répond aux exigences de la Norme 2100 ; l’évaluation des risques et le seuil de matérialité utilisés par les auditeurs externes ; les techniques, les méthodes et la terminologie employées par les auditeurs externes, afin de permettre au responsable de l’audit interne de (1) coordonner le travail des auditeurs internes et externes, (2) évaluer le travail des auditeurs externes pour s’y appuyer, (3) communiquer efficacement avec les auditeurs externes. l’accès aux programmes et aux documents de travail des auditeurs externes pour s’assurer que leur travail peut être utilisé pour atteindre les objectifs de l’audit interne. Les auditeurs internes respectent la confidentialité de ces programmes et documents de travail.
Commentaire IFACI Il est donc souhaitable que le responsable de l’audit interne assiste aux réunions d’arbitrage du planning des commissaires aux comptes et aux réunions de restitution des résultats.
142
© IFACI - décembre 2012
modalités Pratiques d’Application
3.
L’auditeur externe peut se référer aux travaux de l’audit interne. Dans ce cas, il convient que le responsable de l’audit interne fournisse suffisamment d’informations pour permettre à l’auditeur externe de comprendre les techniques, méthodes et terminologie employées par l’audit interne et faciliter la référence à ses travaux. Les auditeurs externes ont accès aux programmes et aux documents de travail des auditeurs internes pour s’assurer que leur travail peut être utilisé pour atteindre les objectifs de l’audit externe.
La Compagnie Nationale des Commissaires aux Comptes préconise également cette coordination avec l’audit interne. Selon la norme d’exercice professionnel 610 le commissaire peut utiliser des travaux réalisés par l’audit interne après avoir apprécié des éléments comme : • la place qu’occupe l’audit interne dans l’organisation de l’entité. Le commissaire aux comptes examine les règles et les procédures mises en place dans l’entité pour assurer l’objectivité des auditeurs internes dans la réalisation de leurs travaux et l’émission de leurs conclusions ; • la nature et l’étendue des travaux confiés à l’audit interne ; • les qualifications professionnelles des auditeurs internes et leur expérience acquise dans ces fonctions ; • l’organisation de l’audit interne en termes de planification, mise en œuvre et supervision des travaux ; • la documentation existante, y compris les programmes de travail et autres procédures écrites ; • la prise en compte par la direction des recommandations formulées par l’audit interne et si elle met en œuvre des actions pour répondre à ces recommandations. Commentaire IFACI Le fait qu’un service d’audit interne dispose d’auditeur interne CIA et/ou DPAI et soit certifié, est un commencement de preuve très fort de professionnalisme. Ce sont des préalables qui permettent ensuite aux commissaires aux comptes de se référer aux travaux réalisés par l’audit interne.
4.
L’utilisation de techniques, méthodes et terminologie similaires par les auditeurs internes et externes, la coordination effective de leurs travaux et la référence mutuelle aux travaux peuvent constituer une approche efficiente.
5.
Les missions planifiées des auditeurs internes et externes devront être examinées pour s’assurer que la couverture de l’audit est coordonnée et que la duplication des travaux est minimisée lorsque cela est possible. Un nombre suffisant de rencontres sont programmées pendant le processus d’audit pour assurer la coordination des travaux, l’efficacité et l'achèvement dans un délai raisonnable des missions, et déterminer si les observations et recommandations issues des travaux déjà réalisés nécessitent de modifier le programme d’intervention.
© IFACI - décembre 2012
143
MPA 2000
Commentaire IFACI
6.
Les rapports définitifs de l'audit interne, les commentaires du management à propos de ces rapports, et les analyses complémentaires qui en découlent sont mis à disposition des auditeurs externes. Ces rapports aident les auditeurs externes à déterminer et à ajuster l’étendue et la durée de leur travail. De plus, les auditeurs internes ont besoin d’accéder aux supports de présentation des auditeurs externes et aux documents adressés à la direction. Les points abordés dans ces documents sont pris en considération par le responsable de l’audit interne et utilisés comme une donnée permettant d’identifier des domaines sur lesquels il convient de mettre l’accent dans les travaux futurs de l’audit interne. Une fois la lettre de recommandation étudiée et la décision d’engager des mesures correctives prise par les personnes appropriées au niveau de la direction générale et du Conseil, le responsable de l’audit interne s’assure de l’existence d’un suivi approprié et de la mise en oeuvre des actions correctives.
7.
Le responsable de l’audit interne doit procéder à des évaluations régulières de la coordination entre les auditeurs internes et externes. De telles évaluations peuvent aussi inclure des appréciations sur l’efficacité et l’efficience globale des activités d’audit interne et externe y compris sur leur coût global. Le responsable de l’audit interne communique les résultats de ces évaluations, y compris les commentaires pertinents à propos de la performance des auditeurs externes, à la direction générale et au Conseil.
Commentaire IFACI Cependant, en France, les commissaires aux comptes sont soumis au secret professionnel en vertu : • de l’article 104 de la LSF qui institue un nouvel article du Code de Commerce (Art. L. 822-15) : « (…) les commissaires aux comptes, ainsi que leurs collaborateurs et experts, sont astreints au secret professionnel pour les faits, actes et renseignements dont ils ont pu avoir connaissance à raison de leurs fonctions » ; • des normes d’exercice professionnel ; • du Code de déontologie de la profession de commissaire aux comptes. Le secret professionnel auquel sont astreints les commissaires aux comptes, et la confidentialité de certaines informations auxquelles ont accès les auditeurs internes sont susceptibles de constituer des limites à cette coordination.
144
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2050-2 Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques Principale Norme de référence
2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil.
L’IFACI a publié en octobre 2008 une Prise de Position sur l’urbanisme du contrôle interne (www.ifaci.com). L’urbanisme du contrôle interne tel qu’il se pratique en France se caractérise notamment par : • des activités de contrôle clairement identifiées dans une charte de contrôle interne ; • un rôle de support au contrôle interne exercé de plus en plus par les services fonctionnels ; • le rôle accru des animateurs du contrôle interne des entités ; • une fonction d’audit interne chargée d’évaluer l’ensemble des systèmes de contrôle interne et qui sait se doter d’experts pour aborder les activités de contrôle les plus techniques. L’IFACI recommande, entre autres propositions : • « que les administrateurs membres du comité d’audit ou tout autre comité équivalent disposent du temps nécessaire pour se faire décrire en détail le dispositif de contrôle interne et de maîtrise des risques, faire les observations qui s’imposent et en effectuer une surveillance attentive et régulière ; […] • que la direction générale adopte un discours et une attitude dénués d’ambiguïté sur l’importance qu’elle accorde au dispositif du contrôle interne et sur sa volonté d’exiger une attitude semblable de la part de tout le personnel ; […] • que les rôles respectifs des différents acteurs soient clairement exposés et connus de tous ; […] • que les entités opérationnelles et fonctionnelles désignent un coordinateur ou animateur de contrôle interne, dédié ou non, assisté d’une équipe ou non en fonction de leur taille, et que cet agent adopte un mode de fonctionnement en réseau pour procéder à tous échanges d’information ou d’expériences utiles ; • que un ou plusieurs comités de coordination soient créés et animés aux niveaux pertinents à chaque organisation, incluant non seulement les responsables opérationnels et fonctionnels mais également les responsables des activités de contrôle permanent ou périodique ; • qu’autant que de besoin, et au moins une fois par an, le directeur de l’audit interne présente de manière formelle, au
© IFACI - décembre 2012
145
MPA 2000
Commentaire IFACI
comité exécutif, ses observations sur le fonctionnement du contrôle interne et fasse toute préconisation pour permettre à ce dernier de prendre les décisions aptes à optimiser son efficacité et à assurer ainsi une bonne maîtrise des opérations ; • qu’une présentation similaire soit faite au comité d’audit afin qu’il soit notamment tenu informé des principaux résultats des contrôles exercés et des décisions prises pour renforcer les sécurités ; • que l’audit interne conseille la direction générale sur l’urbanisation du contrôle interne, anime et coordonne son déploiement et son amélioration permanente ; qu’en revanche il ne soit pas partie prenante de la définition, de la mise en place et du fonctionnement des dispositifs opérationnels de contrôle qu’il sera appelé à auditer. » Pour le secteur bancaire, une prise de position en 7 points du Groupe professionnel Banque pour un urbanisme du contrôle interne efficient, est disponible sur le site internet de l’IFACI (www.ifaci.com).
1.
L’une des principales responsabilités du Conseil consiste à s’assurer que les processus fonctionnent dans le respect des instructions qu’il a émises pour la réalisation des objectifs préalablement définis. Il est nécessaire de déterminer si les processus de management des risques sont efficaces et si les principaux risques ou les risques critiques pour l’entreprise sont ramenés à un niveau acceptable.
2.
L’attention croissante portée sur les rôles et les responsabilités de la direction générale et du Conseil pousse de nombreuses organisations à mettre davantage l’accent sur les activités d’assurance. Le glossaire des Normes définit l’assurance comme un « examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle ». Le Conseil peut s’appuyer sur de multiples sources pour obtenir une assurance raisonnable. L’assurance donnée par le management est fondamentale et doit être complétée par une assurance objective provenant de l’audit interne et de tiers. Les risk managers, les auditeurs internes et le personnel chargé de la conformité se demandent : « qui fait quoi et pourquoi ? ». Le Conseil, en particulier, commence à se demander qui donne une assurance, quelle est la délimitation des fonctions et s’il y a des chevauchements.
3.
On distingue globalement trois types de prestataires de services d’assurance. Ils se différencient par les parties prenantes auxquelles ils s’adressent, par leur degré d’indépendance par rapport aux activités pour lesquelles ils apportent une assurance et par la solidité de cette assurance : prestataires rendant compte au management et/ou qui en font partie (assurance donnée par le management), notamment ceux qui effectuent les auto-évaluations des contrôles, les auditeurs qualité, les auditeurs environnementaux et les autres membres du personnel d’assurance désignés par le management ; prestataires rendant compte au Conseil, y compris l’audit interne ;
146
© IFACI - décembre 2012
modalités Pratiques d’Application prestataires rendant compte à des parties prenantes extérieures (assurance émanant de l’audit externe), rôle traditionnellement dévolu au commissaire aux comptes.
4.
Il existe plusieurs prestataires de services d’assurance : cadres opérationnels et employés (c’est la première ligne de défense vis-à-vis des risques et des contrôles dont ils sont chargés) ; direction générale ; auditeurs internes ; auditeurs externes ; responsable de la conformité ; responsable qualité ; risk managers ; auditeurs environnementaux ; auditeurs de l’hygiène et de la sécurité au travail ; auditeurs de la performance dans le secteur public ; équipes d’évaluateurs de la communication financière ; sous-comités du Conseil (audit, actuariat, crédit, gouvernance, etc.) ; prestataires externes de services d’assurance, qui effectuent notamment des enquêtes ou des analyses spécialisées (portant, par exemple, sur l’hygiène et la sécurité).
5.
L’audit interne donne habituellement une assurance à l’échelle de toute l’organisation, y compris sur les processus de management des risques (conception et efficacité opérationnelle), la gestion des risques « majeurs » (en particulier, l’efficacité des contrôles et des autres modes de gestion de ces risques), la vérification de la fiabilité et de l’adéquation de l’évaluation des risques, ainsi que sur le reporting de l’état des risques et des contrôles.
6.
La responsabilité des activités d’assurance étant traditionnellement répartie entre le management, l’audit interne, le risk management et les responsables de la conformité, une coordination est essentielle afin de maximiser l’efficience et l’efficacité de l’utilisation des ressources. De nombreuses organisations ont mis en place des fonctions classiques (et séparées) d’audit interne, de risk management et de conformité. On trouve souvent plusieurs entités distinctes qui réalisent des activités de management des risques, de conformité ou d’assurance et qui opèrent indépendamment les unes des autres. Si la coordination et la communication ne sont pas efficaces, des doubles emplois peuvent se produire ou les principaux risques sont susceptibles d’être négligés ou mal évalués.
7.
Si nombre d’organisations exercent un pilotage de l’audit interne, du risque et de la conformité, toutes n’ont pas une approche holistique de ces activités. La cartographie des prestataires de service d’assurance consiste à mettre l’étendue des travaux d’assurance en regard
© IFACI - décembre 2012
147
MPA 2000
Le niveau d’assurance souhaité et le type de prestataire dépendent du risque.
des principaux risques qui existent dans une organisation. Grâce à ce processus, une organisation peut identifier toute lacune dans le management des risques et y remédier, et les parties prenantes peuvent raisonnablement penser que les risques sont gérés et signalés, et que les obligations réglementaires et légales sont respectées. Les organisations tireront profit d’une approche rationnalisée, par laquelle le management dispose d’informations sur les risques auxquels il est confronté, et sur la façon dont ces risques sont traités. La cartographie des prestataires de service d’assurance est établie au niveau de toute l’organisation, ce qui permet de comprendre où se situent les fonctions et les responsabilités en termes de risque et d’assurance. Il s’agit de mettre en place un processus détaillé relatif au risque et à sa gestion, sans doubles emplois ni lacunes potentielles. 8.
Bien souvent, l’organisation a défini les catégories de risques majeurs qui constituent son cadre de référence de management des risques. Dans ce cas, la cartographie des prestataires de service d’assurance doit se fonder sur la structure de ce cadre. Elle peut, par exemple, comporter les informations suivantes : catégorie de risque majeur ; manager responsable de ce risque (propriétaire du risque) ; niveau du risque inhérent ; niveau du risque résiduel ; travaux d’audit externe ; travaux d’audit interne ; travaux des autres prestataires de services d’assurance. Par exemple, le responsable de l’audit interne pourra préciser l’étendue des travaux récents au niveau du volet « Travaux d’audit interne ». Il est fréquent que chaque risque majeur soit affecté à un « propriétaire » ou à une personne ayant pour tâche de coordonner les activités d’assurance pour ce risque. C’est cette personne qui fournira les éléments pour le volet « Travaux des autres prestataires de services d’assurance ». Dans d’autres cas, la coordination est effectuée par l’audit interne, qui conçoit et établit pour l’organisation la cartographie des services donnant une assurance. Chaque unité importante au sein d’une organisation peut disposer de sa propre cartographie des prestataires d’assurance.
9.
Dès lors que cette cartographie a été réalisée, il est possible d’identifier les risques majeurs qui ne sont pas correctement couverts par les services d’assurance ou les domaines dans lesquels ces services sont délivrés en double. La direction générale et le Conseil doivent alors réfléchir aux changements à apporter à l’étendue des travaux d’assurance relatifs à ces risques. De son côté, lors de l’élaboration de son plan, l’audit interne doit prendre en compte les domaines ayant une couverture inadéquate.
148
© IFACI - décembre 2012
modalités Pratiques d’Application
10. Il appartient au responsable de l’audit interne de comprendre les besoins du Conseil et de l’organisation en ce qui concerne une assurance indépendante, afin de définir clairement le rôle de l’audit interne et le degré d’assurance que ce dernier apporte. Le Conseil doit être certain que le processus d’assurance global est adéquat et suffisamment robuste pour confirmer que les risques de l’organisation sont bien gérés et signalés. 11. Pour chaque catégorie de risque, le Conseil doit recevoir des informations à la fois sur les activités d’assurance mises en œuvre et sur celles qui sont planifiées. L’audit interne et les autres prestataires de service d’assurance donnent au Conseil, pour chaque catégorie concernée, le degré d’assurance approprié à la nature et aux niveaux de risque présents dans l’organisation.
13. Dans les cas où l’organisation n’attend pas de lui une opinion globale, le responsable de l’audit interne peut coordonner les activités des prestataires de service d’assurance, afin qu’il n’y ait pas de lacunes dans ces activités ou que les éventuelles lacunes soient connues et acceptées. Le responsable de l’audit interne signale toute absence de contribution/participation/supervision/d’assurance à l’égard des travaux des autres prestataires de service d’assurance. S’il estime que l’étendue des activités d’assurance est inadéquate ou inefficace, il doit en aviser la direction générale et le Conseil. 14. Conformément à la Norme 2050, le responsable de l’audit interne doit coordonner les activités avec les autres prestataires d’assurance ; l’utilisation d’une cartographie des services d’assurance contribue à la réalisation de cet objectif. Ces cartographies se révèlent, de plus en plus, comme un moyen efficace de rendre compte de cette coordination.
© IFACI - décembre 2012
149
MPA 2000
12. Dans les organisations où le responsable de l’audit interne est tenu de formuler une opinion globale, il lui faut bien comprendre la nature, le périmètre et l’étendue de la cartographie intégrée des services d’assurance, afin de tenir compte des travaux des autres prestataires de service d’assurance (et de les utiliser, le cas échéant) avant de présenter un avis d’ensemble sur les processus de gouvernement d’entreprise, de management des risques et de contrôle de l’organisation. Le guide pratique de l’IIA intitulé « Formuler et exprimer une opinion d’audit interne » contient des recommandations supplémentaires à ce sujet.
MPA 2050-3 S’appuyer sur les travaux d’autres prestataires de services d’assurance Principale Norme de référence
2050 – Coordination Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil.
Commentaire IFACI Dans cette MPA, le rôle dévolu à « l’auditeur interne » relève du « responsable de l’audit interne ».
1.
Pour fournir au Conseil une assurance concernant la gouvernance, le management des risques et le contrôle interne, l’auditeur interne peut s’appuyer sur les travaux d’autres prestataires internes ou externes de services d’assurance ou utiliser leurs travaux. Les prestations internes d’assurance peuvent, par exemple, être réalisées par les services chargés de la conformité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou par la surveillance permanente des activités exercée par le management. Les prestataires externes d’assurance sont, par exemple, les auditeurs externes, les experts, les cabinets d’audit ou de conseil, notamment ceux qui établissent les rapports conformément à la norme Internationale ISAE 3402 (Assurance Reports on Controls at a Service Organization).
2.
Diverses raisons peuvent conduire à s’appuyer sur les travaux d’autres prestataires d’assurance. Il peut s’agir, notamment, de traiter les domaines qui sortent du champ de compétence du service d’audit interne, de bénéficier d’un transfert de connaissances ou d’étendre de façon efficiente la couverture des risques au-delà du plan d’audit interne.
3.
La charte d’audit interne et/ou la lettre de mission devraient préciser que l’audit interne a accès aux travaux des autres prestataires internes et externes d’assurance.
4.
Lorsque l’auditeur interne fait appel à des prestataires d’assurance, il devrait détailler dans un contrat ou un accord écrit ses attentes. Il convient au minimum de préciser : la nature et la propriété des livrables ; les méthodes et techniques ;
150
© IFACI - décembre 2012
modalités Pratiques d’Application
5.
Si le management conclut et pilote un contrat avec un prestataire d’assurance tiers, l’auditeur interne devra s’assurer que les éléments de cadrage de la mission sont appropriés, compris et appliqués.
6.
L’auditeur interne devra prendre en compte le degré d’indépendance et d’objectivité de tout autre prestataire d’assurance lorsqu’il envisage de s’appuyer sur ses travaux ou de les utiliser. Dans le cas où c’est le management, plutôt que le service d’audit interne, qui engage et/ou supervise directement un prestataire d’assurance, il convient d’évaluer l’impact de cette situation sur l’indépendance et l’objectivité dudit prestataire.
7.
L’auditeur interne évalue les compétences et les qualifications du prestataire d’assurance. Il pourra, par exemple, vérifier que ce dernier possède les qualifications et l’expérience professionnelle requises, qu’il est bien inscrit à des instituts ou à des organismes professionnels appropriés et qu’il est réputé pour sa compétence et son intégrité dans le secteur.
8.
L’auditeur interne examine les pratiques du prestataire d’assurance afin d’obtenir une assurance raisonnable que les constats de ce dernier reposent sur des informations suffisantes, fiables, pertinentes et utiles, comme l’exige la Norme 2310 : Identification des informations. Le responsable de l’audit interne doit respecter la Norme 2310, indépendamment du niveau d’utilisation des travaux d’autres prestataires d’assurance.
9.
L’auditeur interne s’assure que la planification, la supervision, la documentation et la révision des travaux de tout autre prestataire d’assurance sont correctement effectués. Il examine le caractère adéquat et suffisant des preuves d’audit pour déterminer s’il peut utiliser ces travaux et s’y fier. En fonction des résultats de cette évaluation, il se peut que des travaux supplémentaires ou des tests soient nécessaires pour obtenir des preuves d’audit adéquates et suffisantes. Sur la base de sa connaissance de l’organisation, de l’environnement, des techniques et des informations utilisées par le prestataire, l’auditeur interne jugera si, en définitive, les constats de ce dernier paraissent crédibles.
10. Le niveau de confiance accordé à un autre prestataire d’assurance dépendra des facteurs mentionnés ci-dessus : indépendance, objectivité, compétences, pratiques, pertinence des travaux d’audit et caractère suffisant des preuves d’audit à l’appui du niveau d’assurance apporté. Plus le risque ou l’importance de l’activité examinée par un autre prestataire d’assurance augmente, plus l’auditeur interne devrait rassembler des informations sur ces facteurs. Il peut alors avoir besoin de constituer des preuves d’audit supplémentaires pour compléter © IFACI - décembre 2012
151
MPA 2000
la nature des procédures et des données ou des informations à utiliser ; les rapports d’étape et les modalités de supervision qui permettent de s’assurer que les travaux sont adéquats ; les exigences de reporting.
les travaux effectués. L’audit interne peut tester les résultats des autres prestataires d’assurance afin de renforcer le niveau de confiance accordé à ces résultats. 11. L’auditeur interne devrait intégrer les résultats du prestataire de services d’assurance dans le rapport global d’audit que l’auditeur interne doit communiquer au Conseil et aux autres principales parties prenantes. Les problèmes significatifs soulevés par les autres prestataires d’assurance peuvent être intégrés in extenso ou de manière résumée dans les rapports d’audit interne. Lorsque ses rapports s’appuient sur les informations données par d’autres prestataires d’assurance, l’auditeur interne le précise. 12. Le suivi des actions de progrès est un processus par lequel les auditeurs internes évaluent l’adéquation, l’efficacité et la réalisation, en temps opportun, des mesures prises par le management pour faire suite aux observations et aux recommandations, y compris à celles formulées par les autres prestataires d’assurance. Lors de l’examen des mesures prises pour faire suite aux recommandations, l’auditeur interne devra déterminer si le management les a mis en œuvre ou s’il a accepté de prendre le risque de ne pas les suivre. 13. Les constats significatifs des autres prestataires d’assurance devront être pris en compte dans les missions et les communications de l’audit interne. En outre, les résultats des travaux des autres prestataires peuvent avoir une incidence sur l’évaluation des risques effectuée par l’audit interne et, le cas échéant, modifier l’appréciation du risque et la nature des travaux d’audit nécessaires en réponse à ce risque. 14. Pour évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration (Norme 2120 : Management des risques), l’audit interne peut examiner les processus des prestataires internes d’assurance, notamment au niveau de la conformité, de la sécurité de l’information, de la qualité, de l’hygiène et de la sécurité au travail, ou encore au niveau de la surveillance permanente des activités exercée par le management. Il convient que l’audit interne couvre les domaines à risque, mais lorsqu’une assurance est fournie par un autre service, l’audit interne peut se limiter à vérifier les résultats de ce processus au lieu de refaire le travail déjà effectué. 15. Concernant les risques significatifs, les évaluations des autres prestataires d’assurance doivent être communiquées aux services concernés, pour être prises en compte dans le management des risques de l’organisation et dans la cartographie des services donnant une assurance sur les dispositifs de contrôle interne et de management des risques (cf. MPA 2050-2 : Cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques).
152
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2060-1 Rapports à la direction générale et au Conseil Principale Norme de référence
2060 – rapports à la direction générale et au Conseil
Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec la direction générale et le Conseil et dépendent de l’importance des informations à communiquer et de l’urgence des actions correctives devant être entreprises par la direction générale et le Conseil. 1.
Les rapports ont pour finalité d’apporter une assurance à la direction générale et au Conseil en ce qui concerne les processus de gouvernement d’entreprise (Norme 2110), de management des risques (Norme 2120) et de contrôle (Norme 2130). La Norme 1111 indique : « Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil ».
2.
Le responsable de l’audit interne devra s’accorder avec le Conseil sur la fréquence et la nature des rapports concernant l’application de la charte d’audit interne (missions, pouvoirs et responsabilités, notamment) et le degré de réalisation du plan d’audit. Les rapports portant sur le degré de réalisation du plan d’audit devraient se référer à la dernière version du plan approuvé, afin d’informer la direction générale et le Conseil sur : les écarts significatifs par rapport au plan d’audit, aux prévisions de dotation en personnel et aux budgets financiers approuvés ; les raisons de ces écarts ; et les mesures prises ou à prendre. La Norme 1320 indique : « Le responsable de l’audit interne doit communiquer les résultats du programme d’assurance et d’amélioration qualité à la direction générale ainsi qu’au Conseil ».
© IFACI - décembre 2012
153
MPA 2000
Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte : de l’exposition aux risques significatifs (y compris des risques de fraude) et des contrôles correspondants ; des sujets relatifs au gouvernement d’entreprise et ; de tout autre problème répondant à un besoin ou à une demande de la direction générale ou du Conseil.
3.
L’exposition aux risques significatifs et les problématiques de contrôle interne sont les situations qui, selon le jugement du responsable de l’audit interne, pourraient affecter de façon défavorable l’organisation et sa capacité à atteindre ses objectifs (stratégiques, relatifs à l’information financière, opérationnels et de conformité). Des enjeux importants peuvent induire une exposition inacceptable à des risques internes et externes, notamment les situations liées à des faiblesses de contrôle, à une fraude, à des irrégularités, à des actes illégaux, à des erreurs, à l’inefficience, au gaspillage, à l’inefficacité, à des conflits d’intérêts ou à la viabilité financière.
4.
C’est à la direction générale et au Conseil qu’il revient de décider des mesures appropriées à prendre face à des problèmes importants. Ils peuvent décider, pour des raisons de coût ou pour d’autres raisons, de prendre le risque de ne pas remédier à la situation dont il leur a été rendu compte. La direction générale devrait informer le Conseil des décisions portant sur tous les enjeux importants soulevés par l’audit interne.
5.
Lorsque le responsable de l’audit interne estime que la direction générale a accepté un niveau de risque considéré inacceptable par l’organisation, il doit en discuter avec la direction générale, conformément à la Norme 2600. Le responsable de l’audit interne doit comprendre ce qui motive la décision de la direction générale, identifier la cause de tout désaccord et déterminer si la direction générale a été mandatée pour accepter ce risque. Les désaccords peuvent concerner la probabilité du risque et l’exposition potentielle, la compréhension de l’appétence pour le risque, le coût ou le niveau de contrôle. Le responsable de l’audit interne règlera de préférence le désaccord avec la direction générale.
6.
Si le responsable de l’audit interne et la direction générale ne parviennent pas à s’entendre, la Norme 2600 impose au responsable de l’audit interne d‘en informer le Conseil. Dans la mesure du possible, le responsable de l’audit interne et la direction générale présenteront conjointement leurs divergences. S’il s’agit de problèmes d’information financière, les responsables de l’audit interne envisageront d’en discuter en temps opportun avec les auditeurs externes.
154
© IFACI - décembre 2012
modalités Pratiques d’Application
mPA SÉrIE 2100 MPA 2100
NAturE Du trAVAIl
© IFACI - décembre 2012
155
156
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2110-1 Gouvernement d’entreprise : Définition Principale Norme de référence
2110 – gouvernement d’entreprise
1.
Le rôle de l’audit interne tel qu’énoncé dans la Définition de l’audit interne inclut, dans le cadre de sa fonction d’assurance, la responsabilité d'évaluer et d’améliorer les processus de gouvernement d’entreprise.
2.
Le terme gouvernement d’entreprise correspond à un large éventail de définitions selon les contextes structurels et culturels, ainsi que les cadres légaux. Les Normes internationales pour la pratique professionnelle de l’audit interne (Normes) définissent le gouvernement d’entreprise comme : « le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs. » Le responsable de l’audit interne peut utiliser une définition différente aux fins de l'audit lorsque l'organisation a adopté un référentiel ou un modèle de gouvernement d’entreprise différent.
3.
A travers le monde, divers modèles de gouvernement d'entreprise existent et ont été publiés par d'autres organisations, des législateurs et des régulateurs. Par exemple, l’Organisation de Coopération et de Développement Economiques (OCDE) définit le gouvernement d’entreprise comme « […] un ensemble de relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des résultats obtenus ». L’Australian Securities Exchange Corporate Governance
© IFACI - décembre 2012
157
MPA 2100
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités.
Council (le Conseil sur le gouvernement d’entreprise de la Bourse australienne) le définit comme « […] le système par lequel les entreprises sont dirigées et contrôlées. Il influence la manière dont les objectifs de l’entreprise sont déterminés et atteints, le risque est suivi et évalué et la performance est optimisée ». Dans la plupart des cas, le gouvernement d’entreprise est désigné comme un processus ou un système et non pas un concept statique. L'approche présentée dans les Normes se distingue par l'accent spécifique mis sur le conseil et ses activités de gouvernement d’entreprise. Commentaire IFACI Pour aller plus loin, l’IFACI et l’IFA ont pris une position1 commune sur le rôle de l’audit dans le gouvernement d’entreprise et ont relevé les points communs entre les différentes définitions du gouvernement d’entreprise : « Ces cadres conceptuels ont en commun : • de proposer une définition de la gouvernance qui s’applique tant à la relation entre actionnaires, conseil et direction générale qu’aux relations de l’entreprise avec d’autres « parties prenantes » ; • d’être d’application volontaire : ce sont des recommandations que l‘entreprise choisit d’appliquer volontairement ou, dans le cas des auditeurs externes, qui relèvent d’une adhésion volontaire à un code professionnel ; • d’être internationaux, sans référence précise à un cadre légal national ; ils sont donc très généraux dans la formulation de leurs recommandations ; • mais ils lient clairement les objectifs stratégiques de l’entreprise, la conduite des affaires au jour le jour, le contrôle interne, la gestion des risques et la conformité aux lois et règlements en vigueur. »
4.
Les référentiels et les exigences pour le gouvernement d’entreprise varient selon les juridictions réglementaires et le type d’organisation : entreprises cotées, organisations à but non lucratif, associations, entités publiques ou parapubliques, organismes d’enseignement, entreprises privées, sociétés de courtage et bourses.
5.
La manière, dont une organisation conçoit et met en pratique les principes d’un gouvernement d’entreprise efficace, varie également selon la taille, la complexité, la maturité de l’organisation, la structure de ses parties prenantes, les exigences légales et culturelles etc.
6.
Les différences de conception et de structure de gouvernement d’entreprise impliquent que le responsable de l’audit interne détermine avec le Conseil et la direction générale la définition du processus de gouvernement d’entreprise à retenir dans le cadre de l’audit interne.
Commentaire IFACI Le responsable de l’audit interne devra valider avec les organes de gouvernance le périmètre du gouvernement d’entreprise que l’audit interne devra couvrir et les responsabilités du service d’audit interne à cet égard.
1
Le rôle de l’audit interne dans le gouvernement d’entreprise, IFA/IFACI, mai 2009
158
© IFACI - décembre 2012
modalités Pratiques d’Application
L’audit interne fait partie intégrante du cadre de gouvernement d'entreprise de l'organisation. Leur position unique au sein de l'organisation permet aux auditeurs internes d'observer et d'évaluer de façon formelle la structure de gouvernement d'entreprise, sa conception et son efficacité opérationnelle tout en restant indépendants.
8.
La relation entre gouvernement d’entreprise, risques et contrôle interne est un sujet à prendre en compte et il est traité par la MPA 2110-2. La MPA 2110-3 aborde l’évaluation du processus de gouvernement d’entreprise.
MPA 2100
7.
© IFACI - décembre 2012
159
MPA 2110-2 Gouvernement d’entreprise : Relations avec les risques et le contrôle interne Principale Norme de référence
2110 – gouvernement d’entreprise L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités.
1.
Les Normes internationales pour la pratique professionnelle de l’audit interne définissent le gouvernement d’entreprise comme « le dispositif comprenant les processus et les structures mis en place par le Conseil afin d'informer, de diriger, de gérer et de piloter les activités de l'organisation en vue de réaliser ses objectifs ».
2.
Le processus de gouvernement d’entreprise n’existe pas comme un ensemble de processus et de structures distincts et séparés. Au contraire, il y a des relations entre gouvernement d’entreprise, risques et contrôle interne.
3.
Un gouvernement d’entreprise efficace tient compte du risque lors de la détermination de la stratégie. A l’inverse, le management des risques s’appuie sur un gouvernement d’entreprise efficace (comme le principe d’exemplarité de la direction « tone at the top », l'appétence pour le risque et la tolérance face au risque, la culture du risque et la surveillance de la gestion des risques).
4.
Un gouvernement d'entreprise efficace s’appuie sur le contrôle interne et sur la communication de l’efficacité des dispositifs de contrôle interne au Conseil.
160
© IFACI - décembre 2012
modalités Pratiques d’Application
5.
Contrôle et risque sont également reliés puisque le contrôle se définit comme « toute mesure prise par la direction générale, le conseil et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts fixés seront atteints ».
Commentaire IFACI
6.
Le responsable de l’audit interne tient compte de ces relations dans la planification des évaluations des processus de gouvernement d’entreprise : une mission d’audit portera sur les contrôles conçus dans les processus de gouvernement d’entreprise pour prévenir ou détecter les événements qui pourraient avoir un impact négatif sur la réalisation des stratégies, les buts et objectifs de l’organisation, l’efficacité et l’efficience opérationnelles, les informations financières ou la conformité avec les lois et réglementations en vigueur (cf. MPA 2110-3) ; les contrôles au sein des processus de gouvernement d’entreprise sont souvent importants pour le management de différents risques à travers l’organisation. Par exemple, on peut s’appuyer sur les contrôles concernant le code de conduite pour gérer les risques de conformité et de fraude etc. Cet effet cumulatif devrait être pris en considération lors de la définition du périmètre d'un audit des processus de gouvernement d'entreprise ; si d’autres missions d’audit évaluent les contrôles dans les processus de gouvernement d’entreprise (par exemple, les contrôles relatifs à l’information financière, les processus de management des risques ou la conformité), l’auditeur interne devrait s’appuyer sur les résultats de ces audits.
© IFACI - décembre 2012
161
MPA 2100
En France, l’AMF a publié un nouveau cadre de référence (juillet 2010) relatifs aux dispositifs de gestion des risques et de contrôle interne.
MPA 2110-3 Gouvernement d’entreprise : Evaluations Principale Norme de référence
2110 – gouvernement d’entreprise L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants : promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités.
1.
Les auditeurs internes peuvent agir à divers titres pour évaluer et contribuer à l’amélioration des pratiques de gouvernement d'entreprise. En règle générale, les auditeurs internes fournissent des évaluations indépendantes et objectives de la conception et de l’efficacité opérationnelle des processus de gouvernement d’entreprise de l’organisation. Ils peuvent également fournir des services de conseil et des avis sur les pistes d’amélioration de ces processus. Dans certains cas, les auditeurs internes peuvent être appelés pour aider le Conseil à auto-évaluer ses pratiques de gouvernement d'entreprise.
Commentaire IFACI Dans la prise de position IFA/IFACI (publiée en mai 2009), Le périmètre étendu du champ d’intervention de l’audit interne est abordé dans le paragraphe 5 et « L’IFA et l’IFACI recommandent : • que l’audit interne évalue l’ensemble des processus de l’entreprise, qu’ils soient opérationnels ou de gouvernance ; • que, dans ce cadre, il procède régulièrement à l’évaluation du fonctionnement et des compétences du conseil des filiales et de leurs différents comités ; • que l’audit interne s’abstienne – sauf demande expresse – d’évaluer le fonctionnement et la performance du conseil de la maison mère et de ses comités du fait de l’existence d’une situation de conflit d’intérêt. »
162
© IFACI - décembre 2012
1 2
2.
Comme indiqué dans la MPA 2110-1 « Gouvernement d’entreprise : Définition », la définition du processus de gouvernement d’entreprise dans le cadre de l'audit devrait faire l'objet d'un accord avec le Conseil et la direction générale. De plus, l’auditeur interne comprend les processus de gouvernement d’entreprise de l’organisation et les relations entre gouvernement d’entreprise, les risques et le contrôle interne1.
3.
Le plan d’audit est élaboré sur la base d’une évaluation des risques de l’organisation. Tous les processus de gouvernement d’entreprise sont à prendre en compte dans cette évaluation des risques. Le plan d’audit devrait comprendre les processus de gouvernement d’entreprise à risques majeurs ainsi que les processus ou domaines de risque pour lesquels le Conseil ou la direction générale a requis un travail. Le plan définit la nature du travail à réaliser, les processus de gouvernement d’entreprise à traiter et la nature des évaluations qui seront à mener. Les évaluations peuvent être menées au niveau : macro, en considérant l’ensemble du cadre de gouvernement d’entreprise de l’organisation, ou micro, en focalisant sur des risques, processus ou activités spécifiques, ou une combinaison des deux.
4.
Lorsqu’il existe des problèmes de contrôle connus ou lorsque le processus de gouvernement d’entreprise n’est pas mature, le responsable de l’audit interne peut améliorer les processus de gouvernement d’entreprise ou de contrôle interne en envisageant différentes méthodes. Il peut intervenir à travers des activités de conseil réalisées en lieu et place d’évaluations formelles ou en complément de celles-ci.
5.
Les évaluations d’audit interne concernant les processus de gouvernement d’entreprise se fondent sur des informations obtenues à partir des nombreuses missions d’audit réalisées au fil du temps. L’auditeur interne tient compte : des résultats des audits de processus de gouvernement d’entreprise spécifiques (par exemple, le dispositif d'alerte professionnelle ou « whistleblowing », le processus de gestion stratégique) ; des problèmes de gouvernement d’entreprise issus des audits qui ne sont pas spécifiquement centrés sur le gouvernement d’entreprise (par exemple, les audits du processus de gestion des risques, du contrôle interne sur les informations financières, des risques de fraude) ; des résultats des travaux d'autres prestataires internes et externes de services d'assurance (par exemple, un cabinet engagé par le directeur juridique pour examiner le processus d’investigation)2 ;
MPA 2110-2, Gouvernement d’entreprise : Relations avec les risques et le contrôle interne Se reporter aux MPA 2050-1 : coordination et 2050-2 : cartographie des services donnant une assurance sur les dispositifs de contrôle et de management des risques
© IFACI - décembre 2012
163
MPA 2100
modalités Pratiques d’Application
d’autres informations sur les questions de gouvernement d’entreprise comme les incidents indiquant une opportunité d’améliorer les processus de gouvernement d’entreprise. Commentaire IFACI En France, les auditeurs internes sont invités à consulter avec intérêt le site de la CNIL (www.cnil.fr) et notamment le document d’orientation adopté le 10 novembre 2005 pour la mise en œuvre de dispositifs d’alerte professionnelle conformes à la loi du 6 janvier 1978 modifié en août 2004, relative à l’informatique, aux fichiers et aux libertés.
6.
Pendant les phases de planification, d’évaluation et de rapport, l’auditeur interne devra être sensible à la nature et aux ramifications potentielles des résultats et s'assurer que les communications avec le Conseil et la direction générale sont appropriées. L’auditeur interne pourra envisager de consulter un conseil juridique avant le démarrage de l’audit et avant la finalisation du rapport.
7.
L’activité d’audit interne est une partie essentielle du processus de gouvernement d'entreprise. Pour s’assurer de son efficacité, le Conseil et la direction générale devront être en mesure de s’appuyer sur le programme d'assurance et d'amélioration qualité de l'activité d'audit interne y compris les évaluations externes réalisées conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.
164
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2120-1 Évaluer la pertinence des processus de management des risques Principale Norme de référence
2120 – management des risques
Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s’assurer que : • les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ; • les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ; • les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités. Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des résultats de ces missions permet une compréhension du processus de management des risques de l’organisation et de son efficacité. Les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens.
Commentaire IFACI La MPA souligne avec raison la nécessité impérieuse de tests d'audit pour apprécier l'efficacité du management des risques. Le Global Technology Audit Guide n°3 relatif à l'audit continu fournit des méthodes pour concevoir ces tests d'audit. Pour apprécier le management des risques, l'auditeur devra s'appuyer sur son esprit pratique et critique plutôt que de faire confiance à des théories, surtout si elles sont basées sur des hypothèses simplificatrices. De même, il faut bien envisager la maîtrise des risques au-delà de la simple conformité.
© IFACI - décembre 2012
165
MPA 2100
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration.
1.
La gestion des risques est une responsabilité majeure de la direction générale et du Conseil. Pour atteindre ses objectifs, le management s’assure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe aux Conseils de veiller à ce que des processus de management des risques appropriés, suffisants et efficaces soient en œuvre. A cet effet, ils peuvent demander à l’audit interne de les assister en examinant et évaluant les processus de management des risques mis en œuvre, en vérifiant qu’ils sont suffisants et efficaces, puis en émettant des rapports et des recommandations en vue de leur amélioration.
2.
Le management et le Conseil sont responsables des processus de management des risques et de contrôle de leur organisation. Toutefois, les auditeurs internes peuvent, dans le cadre d’une mission de conseil, aider l’organisation à identifier, à évaluer et à mettre en place des méthodes de management des risques et des contrôles permettant de maîtriser ces risques.
3.
Dans l’hypothèse où l’organisation n’a pas mis en place de processus de management des risques, le responsable de l’audit interne examine formellement avec la direction générale et le comité d’audit : leurs responsabilités en matière de compréhension, de gestion et de surveillance des risques dans l'organisation ; leur besoin d’informations sur le caractère opérationnel des processus (y compris les processus informels) qui donnent une visibilité appropriée des risques majeurs, de leur gestion et de leur surveillance.
4.
Le responsable de l'audit interne recueille les attentes de la direction générale et du Conseil en ce qui concerne le rôle de l’audit interne dans le processus de management des risques de l’organisation. Ce rôle est précisé dans la charte d’audit interne ainsi que dans la charte du Conseil. Les responsabilités de l’audit interne doivent être coordonnées avec tous les groupes ou les personnes qui interviennent dans le processus de management des risques de l’organisation. Le rôle de l’audit interne dans le processus de management des risques d’une organisation peut évoluer dans le temps et revêtir les formes suivantes : aucune intervention ; audit du processus de management des risques dans le cadre du programme d’audit interne ; soutien actif et continu, et participation au processus de management des risques, notamment dans le cadre de comités de surveillance, d’activités de suivi et de rapports officiels ; gestion et coordination du processus de management des risques.
5.
En définitive, il incombe à la direction générale et au Conseil de déterminer le rôle de l’audit interne dans le processus de management des risques. Leur vision dans ce domaine dépendra de facteurs tels que la culture de l’organisation, la compétence de l’équipe d’audit interne,
166
© IFACI - décembre 2012
modalités Pratiques d’Application
6.
Les techniques utilisées par les organisations en matière de management des risques peuvent être très différentes. Selon l’importance et la complexité des activités, les processus de management des risques peuvent être : formalisés ou informels ; fondés sur une approche quantitative ou subjective ; intégrés dans les différentes unités de l’organisation ou centralisés au niveau du siège.
7.
Chaque organisation conçoit des processus adaptés à sa culture, à son style de management et à ses objectifs. A titre d’exemple, le recours à des instruments dérivés ou à d’autres instruments financiers sophistiqués, pourra nécessiter la mise en œuvre d’outils quantitatifs de management des risques. Les organisations moins complexes et de taille plus modeste pourront, en revanche, analyser le profil de risque de l’organisation et prendre périodiquement des mesures dans le cadre d’un comité des risques informel. L’auditeur interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation.
8.
Afin de se forger une opinion sur l’adéquation des processus de management des risques, les auditeurs internes devront disposer d’éléments suffisamment probants et appropriés pour avoir l’assurance que les principaux objectifs de ces processus sont bien remplis. Pour recueillir ces éléments, l’auditeur interne peut recourir aux procédures d’audit décrites ci-après : rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évolution récente et les tendances, ainsi que toute autre source d’information appropriée, afin de déterminer les risques susceptibles d’affecter l’organisation et les procédures de contrôle utilisées pour gérer, suivre et réévaluer ces risques ; examiner les règles de l’entreprise ainsi que les procès-verbaux des délibérations du Conseil et du comité d’audit afin de déterminer les stratégies de l’organisation, son approche du management des risques, son appétence pour le risque et son acceptation des risques ; examiner les rapports d’évaluation des risques précédemment établis par le management, les auditeurs internes ou externes et par tout autre intervenant ; organiser des entretiens avec l’encadrement opérationnel et leur direction afin de déterminer les objectifs de chaque branche d’activité, les risques correspondants, et les mesures de suivi, de contrôle et d’atténuation des risques prises par le management ; recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du processus de suivi, de communication et d’atténuation des risques, et des activités de contrôle correspondantes ;
© IFACI - décembre 2012
167
MPA 2100
les us et coutumes du pays. Cependant, la responsabilité dans le processus de gestion des risques, son impact potentiel sur l'indépendance de l'audit interne nécessitent une discussion approfondie et une approbation de la part du Conseil.
déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au niveau hiérarchique approprié ; vérifier si les rapports concernant les résultats du management des risques sont diffusés selon des modalités et dans des délais appropriés ; s’assurer du caractère exhaustif de l’analyse des risques effectuée par le management et des mesures prises pour résoudre les points soulevés dans le cadre du processus de management des risques, et proposer des améliorations ; apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management, au moyen d’observations et de tests sur les procédures de suivi et de contrôle testant l’exactitude des informations utilisées dans le cadre des opérations de suivi, et par d’autres techniques appropriées ; examiner les signes de faiblesse éventuels du dispositif de management des risques et, le cas échéant, les analyser avec la direction générale et le Conseil. S’il estime que le management a accepté un niveau de risques non compatible avec la stratégie et les procédures de l’organisation en matière de management des risques, ou jugé inacceptable pour l’organisation, l’auditeur se réfèrera à la Norme 2600 relative à l’acceptation des risques par le management et aux lignes directives correspondantes pour des orientations complémentaires.
168
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2120-2 Gestion du risque lié à l’activité d’audit interne Principale Norme de référence
2120 – management des risques
Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s’assurer que : • les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; • les risques significatifs sont identifiés et évalués ; • les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ; • les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités. Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des résultats de ces missions permet une compréhension du processus de management des risques de l’organisation et de son efficacité. Les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens.
1.
Le rôle et l’importance de l’audit interne augmentent considérablement et les attentes des principales parties prenantes (Conseil et direction générale, notamment) ne cessent, elles aussi, de croître. L’audit interne dispose d’un large mandat qui couvre les aspects financiers et opérationnels, les technologies de l’information, la conformité/la réglementation ainsi que les risques stratégiques. Dans le même temps, nombre de services d’audit interne sont confrontés au manque de personnel qualifié sur le marché international du travail, à la hausse des rémunérations et à une forte demande de ressources spécialisées (dans les systèmes d’information, sur les problèmes de fraude, les instruments financiers dérivés ou la fiscalité, par exemple). La conjonction de ces facteurs engendre un niveau élevé de risque pour l’audit interne. C’est pourquoi les responsables de cette fonction doivent évaluer les risques liés à leurs activités et qui sont susceptibles de compromettre la réalisation de leurs objectifs.
© IFACI - décembre 2012
169
MPA 2100
L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration.
2.
L’audit interne lui-même n’est pas à l’abri ; il doit prendre les mesures nécessaires pour gérer ses propres risques.
3.
On peut classer ces risques dans trois grandes catégories : risque d’échec de l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation. L’analyse ci-après met en lumière leurs principales caractéristiques et présente quelques-unes des dispositions qu’un service d’audit interne peut envisager de mettre en œuvre pour mieux gérer ces risques.
4.
Toute organisation peut être victime de défaillances. Lorsque les contrôles sont déficients ou qu’une fraude est commise, la question : « Mais où étaient les auditeurs internes ? », est souvent posée. L’audit interne peut être impliqué dans ces défaillances pour les raisons suivantes : les Normes internationales pour la pratique professionnelle de l’audit interne ne sont pas respectées ; le programme d’assurance et d’amélioration qualité (Norme 1300) est inadéquat, en particulier les procédures de supervision de l’indépendance et de l’objectivité des auditeurs ; il n’y a pas de processus efficace pour la définition des domaines clés de l’audit lors de l’évaluation des risques stratégiques, ainsi que des domaines à haut risque lors de chaque mission, ce qui empêche les auditeurs internes de réaliser les audits nécessaires et/ou leur fait perdre du temps sur des audits inappropriés ; il n’y a pas de procédures d’audit interne efficaces pour l’évaluation des risques « réels » et des contrôles appropriés ; il n’y a pas d’évaluation de l’adéquation et de l’efficacité des contrôles dans le cadre des procédures d’audit interne ; l’équipe d’audit interne ne dispose pas des compétences appropriées, fondées sur l’expérience ou la connaissance des zones à haut risque ; l’exercice d’un scepticisme professionnel insuffisant et l’absence de renforcement des procédures d’audit interne à la suite de constats ou de déficiences de contrôles ; la supervision de l’audit interne n’est pas adéquate ; une mauvaise gestion des preuves de fraude : « Ce n’est probablement pas important » ou « Nous n’avons pas le temps ni les ressources nécessaires pour nous pencher sur ce point. » ; les auditeurs internes ne communiquent pas leurs soupçons aux personnes appropriées ; une communication défaillante.
5.
Les défaillances de l’audit interne peuvent non seulement être embarrassantes pour cette fonction, mais elles peuvent également exposer l’organisation à un risque significatif. Même s’il est impossible de garantir de manière absolue l’absence d’échec de l’audit, les mesures
170
© IFACI - décembre 2012
suivantes peuvent permettre de réduire ce risque : un programme d’assurance et d’amélioration qualité : toute activité d’audit interne doit impérativement appliquer un programme efficace d’assurance et d’amélioration qualité ; un examen périodique de l’univers d’audit : examiner périodiquement la méthodologie utilisée pour vérifier l’exhaustivité de l’univers d’audit. Cette analyse doit, notamment, s’appuyer sur une évaluation régulière du profil dynamique des risques de l’organisation ; un examen périodique du plan d’audit : il faut examiner le plan d’audit en cours afin d’identifier les missions qui peuvent être les plus risquées. La direction de l’audit interne dispose ainsi d’une meilleure visibilité sur ces missions et peut consacrer davantage de temps à comprendre la façon dont les missions critiques sont abordées ; une planification efficace de l’audit : rien ne remplace une planification efficace. Un processus de planification approfondi, qui inclut l’actualisation des informations pertinentes relatives au client, ainsi qu’une évaluation efficace des risques, permet de réduire significativement le risque d’échec de l’audit. De plus, bien cerner le périmètre de la mission et les procédures d’audit interne à mettre en œuvre constitue une étape essentielle de la planification, qui réduira les risques d’échec de l’audit. Il est également fondamental d’inclure dans ce processus les points de supervision qui relèvent du management de l’audit interne et d’obtenir l’autorisation de s’écarter éventuellement du plan convenu ; une conception efficace de l’audit : dans la plupart des cas, avant de commencer à vérifier l’efficacité d’un système de contrôle interne, l’auditeur interne consacre un certain temps à comprendre et à analyser la conception de ce système afin de déterminer s’il permet des contrôles adéquats. Il dispose ainsi d’informations solides pour commenter les causes des défaillances du système, lesquelles résultent parfois d’une mauvaise conception des contrôles. Il peut ainsi remédier à ces défaillances plutôt que d’en traiter seulement les symptômes. Ce type d’approche réduit le risque d’échec de l’audit parce qu’il permet une identification des contrôles manquants ; une revue/un suivi efficace par le management et des procédures d’escalade : la participation de l’équipe de management de l’audit interne au processus (c’est-à-dire avant la rédaction du projet de rapport) contribue largement à atténuer le risque d’échec de l’audit. La direction peut réviser les papiers de travail, participer à des discussions « en temps réel » sur les constats ou à une réunion de clôture. Cette implication peut permettre d’identifier et d’évaluer plus rapidement d’éventuels problèmes. De plus, le service d’audit interne peut avoir des procédures indicatives, qui spécifient à quel moment et quels types de problèmes faire remonter, et à quel niveau de la direction de l’audit interne ; une allocation appropriée des ressources : il est essentiel de bien choisir l’équipe pour chaque mission d’audit interne, et tout particulièrement lors de la planification d’une mission à haut risque ou très technique. En veillant à disposer des compétences appro© IFACI - décembre 2012
171
MPA 2100
modalités Pratiques d’Application
priées, on peut nettement réduire le risque d’échec d’une mission d’audit. En outre, les membres de l’équipe doivent disposer d’un niveau d’expérience adéquat : les personnes qui conduisent une mission d’audit interne doivent, notamment, posséder de solides compétences en gestion de projets. 6.
Une activité d’audit interne donne parfois, sans le savoir, une « fausse assurance », c’est-à-dire un niveau de confiance ou d’assurance qui se fonde sur des perceptions ou des hypothèses plutôt que sur des faits. Dans de nombreux cas, la simple implication de l’audit interne sur un domaine peut aboutir à donner une fausse assurance.
7.
Lorsque l’audit interne assiste l’organisation dans l’identification et l’évaluation de risques significatifs, il doit être clairement précisé qu’il ne s’agit pas d’audit interne. Par exemple, une unité opérationnelle demande à l’audit interne de fournir des « ressources » nécessaires à l’introduction d’un nouveau système informatique dans toute l’organisation. Ces ressources sont utilisées pour une partie des tests portant sur le nouveau système, mais, ultérieurement, une erreur de conception de ce système a nécessité le retraitement des états financiers. Interrogée sur ce qui s’était passé, cette unité opérationnelle affirme que l’audit interne avait participé au processus sans déceler le problème. La participation des auditeurs internes a donc donné ici une fausse assurance, qui n’a aucun rapport avec la nature de leur contribution réelle au projet.
8.
Même s’il n’existe aucun moyen d’atténuer l’ensemble des risques de fausse assurance, l’audit interne peut, néanmoins, prendre les devants pour gérer ce risque, notamment grâce à une communication claire et fréquente. C’est l’une des principales stratégies de gestion de ce risque. Il existe également d’autres bonnes pratiques de premier plan : communication proactive sur le rôle et le mandat de l’audit interne au comité d’audit, à la direction générale et aux autres parties prenantes ; présentation claire de ce qui est inclus dans l’évaluation des risques, le plan d’audit interne et la mission de l’audit interne. Il convient également de préciser, de façon explicite, ce qui ne fait pas partie de l’évaluation des risques et du plan d’audit interne ; mise en place d’un processus de « validation des projets » afin d’analyser, pour chaque projet, le niveau de risque et la contribution de l’audit interne. Cette analyse peut notamment porter sur le périmètre du projet, le rôle de l’audit interne, les attentes en termes de reporting, les compétences requises et l’indépendance des auditeurs internes ; si les auditeurs internes font partie d’une équipe projet, il faut définir par écrit leur rôle et le champ de leur intervention, ainsi que les aspects relatifs à leur objectivité et à leur indépendance, plutôt que de considérer ces auditeurs internes comme des ressources « prêtées », ce qui risque de donner une fausse assurance.
172
© IFACI - décembre 2012
modalités Pratiques d’Application
9.
L’efficacité de l’audit interne repose essentiellement sur sa crédibilité. Les services d’audit interne qui bénéficient d’une haute estime sont susceptibles d’attirer des professionnels talentueux et sont considérés comme créateur de valeur pour l’organisation. Leur capacité à préserver la solidité de leur image et à contribuer au bon fonctionnement de l’organisation est donc cruciale pour un véritable succès. Dans la plupart des cas, il faut plusieurs années pour construire cette « marque », par un travail constant et de très grande qualité. Malheureusement, un événement négatif majeur peut anéantir instantanément tous ces efforts.
10. Par exemple, un service d’audit interne peut être tenu en haute estime car plusieurs responsables financiers de l’organisation sont passés dans ce service, considéré comme une excellente formation pour de futurs cadres. Or, la réputation de ce service d’audit interne est entachée à la suite d’une succession de corrections de grande ampleur des états financiers et des enquêtes menées par les autorités de réglementation. Le comité d’audit et le Conseil peuvent alors se demander si ce service dispose des compétences ainsi que du programme d’assurance et d’amélioration qualité appropriés pour aider l’organisation.
12. De telles situations sont non seulement embarrassantes, mais elles portent également atteinte à l’efficacité de l’audit interne. Protéger la réputation et l’image de ce dernier est essentiel pour les activités d’audit interne et aussi pour l’ensemble de l’organisation. Il importe, par conséquent, que l’audit interne envisage les types de risques susceptibles d’entacher sa réputation, ceux auxquels il est confronté et qu’il élabore des stratégies permettant d’en atténuer l’impact. 13. Quelques exemples de mesures envisageables : mise en œuvre d’un solide programme d’assurance et d’amélioration qualité, pour tous les processus liés à l’audit interne, notamment ceux qui concernent les ressources humaines et l’embauche ; évaluation périodique des risques, afin que le service d’audit interne puisse identifier les risques qui sont susceptibles de porter atteinte à son image ; renforcement du code de conduite et des règles de déontologie, en se fondant, notamment, sur le Code de déontologie de l’IIA ; contrôle de la conformité de l’audit interne à toutes les politiques et pratiques de l’entreprise.
© IFACI - décembre 2012
173
MPA 2100
11. Un autre exemple : au cours d’un audit de la fonction ressources humaines, les auditeurs internes constatent que les vérifications des antécédents des salariés n’ont pas été correctement menées. La crédibilité du service d’audit interne peut être fortement entamée si l’on découvre que des auditeurs internes récemment embauchés n’ont pas suivi un cursus d’étude approprié ou que d’autres sont impliqués dans des opérations délictueuses.
Commentaire IFACI Un autre exemple de mesures envisageables : • faire certifier le service d’audit interne par un organisme qualifié.
14. Si l’un des événements décrits plus haut affecte l’activité d’audit interne, le responsable de l’audit interne doit examiner la nature de cet événement et en comprendre les causes. Cette analyse le renseigne sur les changements qu’il faut envisager au niveau du processus d’audit interne ou de l’environnement de contrôle, afin d’éviter qu’un tel événement ne se reproduise à l’avenir.
174
© IFACI - décembre 2012
Modalités Pratiques d’Application
MPA 2120-3 Prise en compte, par l’audit interne, des risques associés à l’atteinte des objectifs stratégiques Principale Norme de référence
1.
Il incombe à la direction générale d’identifier et de gérer les risques dans le cadre de l’atteinte des objectifs stratégiques de l’organisation. Il est de la responsabilité du Conseil de s’assurer que tous les risques stratégiques sont identifiés, compris, et gérés à un niveau acceptable dans les limites des seuils de tolérance. L’audit interne devrait avoir connaissance de la stratégie de l’organisation, de la manière dont elle est mise en œuvre, des risques qui lui sont associés et de la manière dont ils sont gérés.
2.
Pour que l’audit interne puisse mettre l’accent sur les risques majeurs, la stratégie de l’organisation devrait être un élément essentiel et déterminant du plan d’audit fondé sur l’approche par les risques. L’audit interne pourra alors être en adéquation avec les priorités stratégiques de l’organisation. De plus, cela permettra de s’assurer que les ressources de l’audit interne sont allouées aux domaines significatifs.
3.
Lors de l’élaboration du plan d’audit, l’audit interne devrait mettre à profit les travaux du management et des autres fonctions prestataires d’assurance afin d’identifier les risques qui représentent les principales menaces et les opportunités dans la réalisation des objectifs stratégiques de l'organisation.
Commentaire IFACI1 Les activités d’assurance (« assurance ») permettent d’attester que les opérations et les processus de l’organisation sont conçus, réalisés et maîtrisés conformément aux instructions de ses organes dirigeants et de ses parties prenantes.
1
Commentaire IFACI, Guide Pratique « Évaluer l’adéquation du management des risques en utilisant la norme ISO 31000 », IIA/IFACI, décembre 2010
© IFACI - septembre 2013
1
MPA 2100
2120.A1 – L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de : l’atteinte des objectifs stratégiques de l’organisation ; la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.
Comme indiqué dans la MPA 2050-2, différents prestataires internes ou externes (commissaires aux comptes, auditeurs qualité, auditeurs HSE, animateurs des auto-évaluations, services fonctionnels – DRH, DSI, directions juridiques, responsables de la conformité, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformité et l’efficacité des dispositifs d’une organisation. Ces prestataires se distinguent en fonction : • de leur positionnement et donc de leur degré d’indépendance ; • des destinataires de leurs opinions (management opérationnel, direction générale, Conseil, parties prenantes extérieures) ; • de la méthode utilisée pour garantir l’objectivité de leurs opinions ; • de leur périmètre d’intervention (métier, zone géographique, entité juridique, groupe, etc.). Parmi ces prestataires, l’audit interne se distingue par son indépendance par rapport aux activités contrôlées. En effet, le positionnement au plus haut niveau de l’organisation donne à l’audit interne une vue d’ensemble des processus et des risques tout en étant un interlocuteur privilégié des instances dirigeantes. Ainsi, selon le glossaire des Normes internationales, les activités d’assurance de l’audit interne se traduisent par un examen objectif d’éléments probants, effectué en vue de fournir une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle. La prise de position de l’IFACI sur l’urbanisme du contrôle interne illustre les différents niveaux de prestation d’assurance. Dans leurs préconisations pour l’application de l’article 41 de la 8ème directive européenne (Directive 2006/43/CE), l’ECIIA et le Ferma propose l’adoption d’un modèle comportant 3 lignes de défense : • En tant que première ligne de défense, le management est propriétaire des risques. Il a donc la responsabilité de les évaluer et de les gérer. Il doit rendre compte de ces activités à la direction générale. • En tant que seconde ligne de défense, le risk management (ainsi que les autres fonctions support telles que la conformité ou la qualité) facilite et surveille la mise en œuvre de la gestion des risques par le management. Il assiste ces propriétaires des risques dans la remontée d’informations adéquates sur les risques à tous les niveaux de l’organisation. • En tant que troisième ligne de défense, l’audit interne fournit, à partir d’une approche fondée sur les risques, une assurance au Conseil et à la direction générale sur l’efficacité de l’évaluation des risques et sur leur gestion, y compris le fonctionnement de la première et de la seconde ligne de défense. Cette activité d’assurance recouvre tous les éléments du cadre organisationnel de management des risques (identification des risques, évaluation des risques et suites données à ces informations).
2
4.
Les opportunités et les menaces stratégiques guideront la définition et la hiérarchisation des initiatives stratégiques à court et long terme par le management ou les investissements majeurs susceptibles de créer de la valeur pour les parties prenantes.
5.
Lors de l'élaboration du plan d’audit, l’audit interne devrait envisager des missions d'assurance concernant ces initiatives stratégiques. L’audit interne sera ainsi en mesure de s’assurer que les risques stratégiques sont gérés à un niveau acceptable en évaluant tout ou partie des dispositifs de maîtrise correspondants. L’audit interne pourra également envisager des missions de conseil qui auront un impact sur l’évolution de l’organisation. © IFACI - septembre 2013
Modalités Pratiques d’Application
Après avoir identifié les risques stratégiques à intégrer dans le plan d'audit, l’audit interne devrait s’assurer que les compétences et les connaissances requises pour réaliser les missions d’assurance et de conseil portant sur ces problématiques existent dans le service d'audit interne. Cette expertise pourra être recherchée en dehors du service d’audit interne (prestations internes ou externalisées).
MPA 2100
6.
© IFACI - septembre 2013
3
modalités Pratiques d’Application
MPA 2130-1 Évaluer la pertinence des processus de contrôle Principale Norme de référence
2130 – Contrôle
1.
L’organisation met en place et maintient des processus de management des risques et de contrôle efficaces. Les processus de contrôle ont pour but d’aider l’organisation à gérer les risques et à atteindre les objectifs fixés et diffusés. Les processus de contrôle devraient notamment permettre de s’assurer que les conditions suivantes sont remplies : les informations financières et opérationnelles sont fiables et intègres ; les opérations sont réalisées de manière efficiente et permettent d’atteindre les objectifs fixés ; les actifs sont sauvegardés ; les actes et les décisions prises par l’organisation sont conformes aux lois, aux règlements et aux contrats.
2.
Il incombe à la direction générale de superviser la mise en place, l’administration et l’évaluation des processus de management des risques et de contrôle. Les managers ont entre autres responsabilités celle d’évaluer les processus de contrôle dans leurs domaines respectifs. Les auditeurs internes fournissent des niveaux divers d’assurance quant au degré d’efficacité des processus de management des risques et de contrôle dans des activités et fonctions choisies de l’organisation.
3.
Le responsable de l’audit interne émet une opinion globale sur l'adéquation et l'efficacité des processus de contrôle. Pour ce faire, il se fondera sur des constats avérés lors de la réalisation d’audits, et quand cela est approprié, sur des travaux d’autres prestataires d’audit d'assurance. Le responsable de l’audit interne communique son opinion à la direction générale et au Conseil.
4.
Le responsable de l'audit interne élabore un projet de plan d’audit pour recueillir des éléments probants et suffisants qui permettront d’apprécier l’efficacité des processus de contrôle. Ce plan comporte des missions d’audit et/ou d’autres procédures nécessaires pour obtenir des preuves suffisantes et pertinentes à propos des unités opérationnelles et fonctions impor-
© IFACI - décembre 2012
175
MPA 2100
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.
tantes à évaluer. De même, il comporte une revue des principaux processus de contrôle en place dans l’organisation. Le plan proposé devrait être suffisamment souple pour permettre une actualisation en cours d’année, en cas d’évolution des stratégies du management, de l’environnement extérieur, des principaux risques, ou en cas de réajustement des prévisions relatives à la réalisation des objectifs de l’organisation. 5.
Le plan d'audit met un accent particulier sur les opérations les plus affectées par les changements récents ou inattendus. Ces changements peuvent résulter, par exemple, des conditions du marché ou d’investissements, d’acquisitions et de cessions, de restructurations, et de nouveaux systèmes ou enjeux.
6.
Afin de déterminer le périmètre d’audit par rapport au projet de plan d’audit, le responsable de l’audit interne tient compte des travaux qui seront effectués par des tiers pour donner une assurance à la direction générale (par exemple, le responsable de l’audit interne peut se référer au travail des responsables de la conformité). Le plan d'audit du responsable de l’audit interne tient compte également du travail réalisé par l'auditeur externe et des propres évaluations du management concernant les processus de management des risques, les dispositifs de contrôle et les processus d’amélioration qualité.
7.
Le responsable de l'audit interne devrait évaluer l’envergure du périmètre du plan proposé pour vérifier que le champ d’intervention est suffisant pour permettre de formuler une assurance sur les processus de management des risques et de contrôle de l’organisation. Le responsable de l'audit interne devrait informer la direction générale et le Conseil de toute lacune du périmètre d’audit qui l’empêcherait de formuler une opinion sur les différents aspects de ces processus.
8.
L’un des défis de l’audit interne consiste à évaluer l’efficacité des processus de contrôle de l’organisation sur la base de nombreuses évaluations individuelles. Ces évaluations proviennent, pour une large part, de missions d’audit interne, de revues d’auto-évaluations effectuées par le management et de travaux d’autres prestataires d’audit d’assurance. Au fur et à mesure de l’avancement des missions, les auditeurs internes communiquent leurs observations aux responsables appropriés, de telle sorte que des mesures puissent être prises rapidement afin de remédier aux faiblesses ou anomalies constatées ou d’en atténuer les conséquences.
9.
Lors de l’évaluation de l’efficacité des processus de contrôle d’une organisation, le responsable de l’audit interne tient compte : du caractère significatif des anomalies ou des faiblesses mises en évidence ; des corrections ou améliorations apportées après les constatations ; du fait que les constatations et leurs conséquences potentielles induisent à conclure à un état entraînant un niveau de risques inacceptable.
176
© IFACI - décembre 2012
modalités Pratiques d’Application
10. L’existence d’une anomalie ou d’une faiblesse significative ne signifie pas nécessairement que cette anomalie ou faiblesse est généralisée et qu’elle entraîne un risque inacceptable. L‘auditeur interne devra prendre en compte la nature et la portée de l’exposition aux risques ainsi que le niveau des conséquences potentielles pour déterminer si l’efficacité des processus de contrôle est remise en cause et s’il existe des risques inacceptables.
MPA 2100
11. Le rapport du responsable de l’audit interne sur les processus de contrôle de l'organisation est normalement présenté une fois par an à la direction générale et au Conseil. Ce rapport souligne l’importance du rôle joué par les processus de contrôle dans la réalisation des objectifs de l'organisation. Il décrit aussi la nature et l’étendue du travail réalisé par l’audit interne ainsi que la nature et la confiance accordée à d’autres prestataires d’audit d’assurance pour formuler cette opinion.
© IFACI - décembre 2012
177
MPA 2130.A1-1 Fiabilité et intégrité de l’information Principale Norme de référence 2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants : l’atteinte des objectifs stratégiques de l’organisation ; la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.
1.
Les auditeurs internes s’assurent que la direction générale et le Conseil sont conscients de la responsabilité du management en matière de fiabilité et d’intégrité de l’information. Cette responsabilité porte sur toutes les informations essentielles pour l’organisation, quel que soit leur mode de conservation. La fiabilité et l’intégrité de l’information incluent l’exactitude, l’exhaustivité et la sécurité.
Commentaire IFACI L’accessibilité est une condition nécessaire mais non suffisante pour qu’une information soit fiable. La cour des comptes américaine (US Governement Accountability Office) fournit à ce sujet une démarche intéressante (cf. « assessing the reliability of computer-processed data » GAO-03-273G October 1, 2002).
2.
Le responsable de l'audit interne s’assure que l’audit interne dispose ou a accès à des ressources appropriées pour évaluer la fiabilité et l’intégrité de l’information et les risques correspondants. Ces derniers incluent tant les risques internes que les risques externes et, ceux afférents aux relations établies par l’organisation avec d’autres entités externes.
3.
Le responsable d’audit interne s’assure que la direction générale, le Conseil et l’audit interne seront rapidement informés de toute atteinte à la fiabilité et à l’intégrité de l’information et de toute situation susceptible de constituer une menace pour l’organisation.
4.
Les auditeurs internes évaluent, le cas échéant, l’efficacité des mesures prises, en vue de prévenir, détecter et atténuer les attaques survenues par le passé, ainsi que tout incident ou tentative d'attaque susceptible de se produire à l'avenir. Les auditeurs internes s’assurent que
178
© IFACI - décembre 2012
modalités Pratiques d’Application
le Conseil a bien été informé des menaces ou incidents survenus, des faiblesses exploitées et des mesures correctives. Les auditeurs internes évaluent périodiquement le dispositif de fiabilité et d’intégrité de l’information de l’organisation et recommandent, le cas échéant, des améliorations ou la mise en place de nouveaux contrôles et de nouvelles mesures de protection. Ces évaluations peuvent faire l’objet de missions distinctes et isolées ou être intégrées dans d’autres missions réalisées dans le cadre du plan d’audit annuel. Le processus de communication approprié à la direction générale et au Conseil dépendra de la nature de la mission.
MPA 2100
5.
© IFACI - décembre 2012
179
MPA 2130.A1-2 L’évaluation du dispositif mis en place par l’organisation pour protéger la vie privée Principale Norme de référence 2130.A1 – L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants : l’atteinte des objectifs stratégiques de l’organisation ; la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.
1.
L’incapacité à protéger des informations à caractère personnel par des contrôles appropriés, peut avoir d’importantes conséquences pour une organisation. Une telle lacune peut nuire à la réputation de certaines personnes et/ou de l’organisation, et exposer l’organisation à des risques tels que la mise en jeu de sa responsabilité légale et la baisse de confiance des consommateurs et/ou des salariés.
2.
Les définitions de la vie privée varient amplement selon la culture, l’environnement politique et le cadre juridique des pays où est implantée l’organisation. Les risques liés au caractère personnel des informations comprennent l’intimité des personnes (sur le plan physique et psychologique), le respect de l’espace privé (absence de surveillance), ainsi que le caractère confidentiel de la communication (absence de contrôle) et des informations (collecte, exploitation et diffusion par autrui d’informations à caractère personnel). Les informations à caractère personnel correspondent généralement à des informations que l’on peut associer à un individu donné, soit en tant que telles soit en les regroupant avec d’autres informations. Il peut s’agir d’informations de nature objective ou subjective, enregistrées ou non, et ce quels qu’en soient la forme ou le support. À titre d’exemple, les informations à caractère personnel incluent notamment : le nom, l’adresse, les numéros d’identification, les relations familiales ; les dossiers des salariés, les évaluations, les commentaires, le statut social ou les mesures disciplinaires ; les informations relatives aux crédits, au revenu et à la situation financière ; la situation médicale.
180
© IFACI - décembre 2012
modalités Pratiques d’Application
Commentaire IFACI
3.
Les bonnes pratiques en matière de protection de la vie privée constituent un élément essentiel des processus de gouvernement d’entreprise, de management des risques et de contrôle. Il incombe, en dernier ressort, au Conseil d’assurer l’identification des principaux risques encourus par l’organisation et la mise en œuvre des processus appropriés destinés à les atténuer. À ce titre, il lui appartient de doter l’organisation d’un dispositif garantissant le respect de la vie privée et d’en piloter la mise en place.
4.
L’audit interne peut contribuer à un bon gouvernement d’entreprise et au management des risques en évaluant l’adéquation de l’identification des risques réalisée par le management en ce qui concerne la protection de la vie privée et des contrôles mis en place pour atténuer ces risques à un niveau acceptable. L’auditeur interne est bien placé pour évaluer le dispositif en place dans l’organisation, identifier les risques significatifs et formuler les recommandations appropriées en vue de leur atténuation.
5.
L’audit interne examine la nature et le bien-fondé des informations à caractère personnel ou privé recueillies par l’organisation et la méthode utilisée pour les collecter. Il vérifie également que l’organisation utilise ces informations conformément à l’usage qui en est attendu et à la législation applicable.
6.
Étant donné la nature juridique et technique très marquée que revêt cette question, l’audit interne devra disposer des connaissances et des compétences pour procéder à l’évaluation des risques et des contrôles du dispositif mis en place par l’organisation en matière de protection de la vie privée.
7.
Pour procéder à l’évaluation du dispositif mis en place par l’organisation pour protéger la vie privée, l’auditeur interne : prend en considération les lois, réglementations et règles relatives au respect de la vie privée en vigueur dans tous les pays dans lesquels l’organisation exerce une activité ; se rapproche du juriste de l’organisation afin de déterminer le contenu exact des lois, réglementations, normes ou pratiques applicables à l’organisation et au(x) pays dans le(s)quel(s) elle exerce une activité ; se rapproche des spécialistes des technologies de l’information afin de s’assurer que des contrôles concernant la sécurité des informations et la protection des données sont en place, et que leur efficacité est régulièrement examinée et évaluée ;
© IFACI - décembre 2012
181
MPA 2100
En France, selon l’article 8 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés « il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »
prend en considération le niveau de maturité des pratiques de l’organisation en matière de protection de la vie privée. Le rôle de l’auditeur interne peut varier en fonction de cette maturité. L’auditeur peut faciliter l’élaboration et la mise en œuvre d’un programme spécifique, réaliser une évaluation des risques afin de déterminer les besoins et l’exposition aux risques de l’organisation, ou bien il peut donner une assurance sur l’efficacité des règles, des pratiques et des contrôles en place dans l’organisation. L’indépendance de l’auditeur interne peut être altérée s’il assume une responsabilité dans le développement et la mise en place d’un programme de protection de la vie privée. Commentaire IFACI La protection de la vie privée et des données à caractère personnel est devenue une problématique incontournable, du fait de la collecte incessante d'informations électroniques de ce type et de la capacité sans limite de relier ces informations entre elles. On consultera avec intérêt le site de la CNIL (www.cnil.fr) qui, outre des informations précises et utiles sur la conformité à la loi, offre un espace de réflexions sur ce thème. Par ailleurs, le GTAG n°5 « Auditer et gérer les risques relatifs à la protection de la vie privée » y est entièrement consacré.
182
© IFACI - décembre 2012
modalités Pratiques d’Application
mPA SÉrIE 2200
MPA 2200
PlANIFICAtIoN DE lA mISSIoN
© IFACI - décembre 2012
183
184
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2200-1 Planification de la mission Principale Norme de référence
2200 – Planification de la mission
1.
L’auditeur interne planifie et conduit la mission qui est supervisée et approuvée. Avant le début de la mission, l’auditeur interne prépare un programme qui : définit les objectifs de la mission ; identifie les exigences techniques, les objectifs, les risques, les processus et les transactions qui doivent être examinés ; établit la nature et l'étendue nécessaire des tests ; documente les procédures utilisées par l'auditeur interne pour collecter, analyser, interpréter et documenter les informations pendant la mission ; est modifié, le cas échéant, au cours de la mission avec l’approbation du responsable de l’audit interne ou de son représentant.
2.
Le responsable de l’audit interne devrait exiger un niveau de formalisme et de documentation adapté à l'organisation (par exemple concernant les résultats des réunions de planification, les procédures d'évaluation des risques, le niveau de détail du programme de travail, etc.). Cette exigence devrait s’appliquer : lorsque le travail réalisé ou les résultats de la mission reposent sur des travaux de tiers (par exemple, des auditeurs externes, des régulateurs, ou le management) ; lorsque le travail vise des aspects pouvant être associés à un litige existant ou potentiel ; en fonction de l'expérience de l’équipe d’audit interne et du niveau de supervision directe exigée ; lorsque la mission fait recours à des auditeurs associés, sélectionnés en interne ou à des prestataires externes de services ; en fonction de la complexité et l’étendue de la mission ; en fonction de la taille du service d’audit interne ; en fonction de la valeur des documents (par exemple, s'ils sont susceptibles d’être utilisés dans les années suivantes).
© IFACI - décembre 2012
185
MPA 2200
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées.
3.
L’auditeur interne détermine les autres exigences de la mission telles que la durée et les dates estimées d’achèvement. L’auditeur interne considère aussi le format de la communication finale de la mission. Une planification correcte à ce stade facilite le processus de communication à l’issue de la mission.
Commentaire IFACI Rapport d’audit final : le terme anglais est plus général “final engagement communication“, ceci indique que le produit fini d’une mission ne se matérialise pas nécessairement sous forme de rapport au sens traditionnel du terme. La présentation des résultats d’une mission peut se faire sur différents supports et suivant différents formats (présentation de type power point, rapport “classique“ …). Par contre, si le format a été défini au moment de la lettre de mission, il est impératif de s’y conformer. La forme et le média sont laissés à l’appréciation du département d’audit interne.
4.
L’auditeur interne informe le management concerné. Il tient des réunions avec le management responsable de l'activité auditée. Il résume les discussions et diffusent les comptes rendus et toutes les conclusions qui en résultent. Ces documents sont conservés dans les papiers de travail de la mission.
Commentaire IFACI Dans certaines circonstances (par exemple, suspicion de fraudes), pour assurer le succès de la mission et la fiabilité des résultats attendus, la communication préalable à la mission peut être restreinte ou soumise à un niveau de confidentialité plus important. Dans certains cas même, le responsable de l’entité auditée peut ne pas être averti de la mission, avec l’accord de la direction générale.
Les sujets de discussion peuvent être les suivants : les objectifs et le champ d'intervention de la mission d'audit planifiée ; les ressources et le calendrier de la mission ; les facteurs clés affectant les conditions de gestion et les opérations des zones auditées, y compris les changements récents au niveau de l’environnement interne et externe ; les préoccupations et les demandes du management ; les sujets particuliers ou les préoccupations de l'auditeur interne ; la description des procédures de l'audit interne pour rendre compte et assurer le suivi de la mission. 5.
Le responsable de l'audit interne détermine comment, quand et à qui les résultats de l'audit seront communiqués. L’auditeur interne documente ces éléments et les communique au management autant que possible, pendant la phase de planification de la mission. L‘auditeur interne communique au management les changements ultérieurs qui affectent les délais ou la diffusion des résultats de la mission.
186
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2200-2 Utilisation d’une approche « Top-Down », fondée sur les risques, pour identifier les contrôles à évaluer dans le cadre d’une mission d’audit interne Principale Norme de référence
2200 – Planification de la mission
1
2
1.
La présente modalité est complémentaire des Modalités Pratiques d’Application (MPA) 20102 : Prise en compte du management des risques dans la planification de l’audit interne, 22101 : Objectifs de la mission et MPA 2210.A1-1 : Evaluation des risques dans la planification de la mission ainsi que du « Guide to the Assessment of IT Risk (GAIT) – for business and IT risk (GAIT-R)1 ».
2.
Cette MPA suppose que les objectifs de la mission d’audit interne aient été déterminés et les risques identifiés dans le cadre du processus de planification. Elle fournit une ligne directrice quant à l'utilisation d'une approche « Top-down », fondée sur les risques, qui identifie et inclut dans le périmètre de l’audit interne (selon la Norme 2220) les contrôles clés sur lesquels la gestion des risques s’appuie.
3.
L’approche « Top-down » implique de définir le périmètre d'audit sur les risques les plus significatifs de l'organisation et non sur des risques spécifiques qui ne seraient pas significatifs à l’échelle de l'organisation. Une approche « Top-down » garantit que l'audit interne est orienté vers la « prise en compte du management des risques dans la planification de l’audit interne », conformément à la MPA 2010-2.
4.
En général, un système de contrôle interne comprend à la fois des contrôles manuels et des contrôles automatisés2. Ces deux types de contrôles doivent être évalués afin de déterminer si les risques sont efficacement gérés. L’auditeur interne doit en particulier évaluer s'il existe
Ce document (guide d’évaluation relatif aux risques métiers et aux risques des systèmes d’information) n’est pas traduit en français. Il a été conçu pour répondre aux obligations des entreprises vis-à-vis de la section 404 du Sarbanes-Oxley Act. Il est à noter que ceci s’applique aux contrôles à tous les niveaux – entité, processus métier et contrôles généraux informatiques – et à tous les échelons du cadre de contrôle ; à titre d’exemple les activités relevant de l’environnement de contrôle, du suivi ou de l’évaluation des risques peuvent être également automatisés.
© IFACI - décembre 2012
187
MPA 2200
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées.
une combinaison appropriée de contrôles, y compris ceux relatifs aux technologies de l'information, afin de réduire les risques dans les limites acceptées par l'organisation. L’auditeur interne doit envisager d'inclure ou non des procédures visant à évaluer et confirmer que les niveaux d’acceptation des risques sont à jour et adéquats. 5.
Le périmètre d’audit interne doit comprendre tous les contrôles requis pour donner l’assurance raisonnable que les risques sont efficacement gérés1. Ces contrôles sont dits contrôles clés au sens où ils sont nécessaires à la gestion des risques associés à un objectif particulièrement critique pour l’organisation. Seuls les contrôles clés doivent être évalués. Toutefois, l’auditeur interne peut choisir d’inclure une évaluation d'autres contrôles (contrôles redondants ou dupliqués par exemple) s'il l’estime utile pour l'activité. Il peut également discuter avec le management de la nécessité de ces contrôles secondaires.
6.
Lorsqu’une organisation dispose d’un programme de gestion des risques efficace et mature, les contrôles clés sur lesquels elle s’appuie pour gérer chaque risque devront être identifiés. Dans de tels cas, l’auditeur interne doit examiner si l'identification et l'évaluation des contrôles clés par le management sont adéquates.
7.
Les contrôles clés peuvent prendre les formes suivantes : Les contrôles transversaux à l’entité2 peuvent être manuels, entièrement ou partiellement automatisés. Les contrôles manuels d’un processus métier3. Les contrôles entièrement automatisés d’un processus métier4. Les contrôles partiellement automatisés d’un processus métier5, lorsqu’un contrôle manuel s’appuie sur une fonctionnalité informatique telle qu’un état d’anomalies. Si cette fonctionnalité est erronée, l’ensemble du contrôle peut être inefficace. Par exemple, un contrôle clé visant à détecter les règlements dupliqués peut inclure l’examen d'un état informatique. La partie manuelle du contrôle ne peut assurer que l’état est complet. De ce fait, le périmètre d’audit doit inclure la fonctionnalité informatique qui génère l’état. L’auditeur interne peut utiliser d’autres méthodes ou référentiels dès lors que tous les contrôles clés mis en place pour gérer les risques sont identifiés et évalués, y compris les contrôles manuels, automatisés et les contrôles généraux informatiques.
8.
1 2 3 4 5
Les contrôles entièrement ou partiellement automatisés – qu’ils soient au niveau de l'entité ou d'un processus métier – s’appuient généralement sur la conception adéquate et l’efficacité
Voir les commentaires figurant ci-après au paragraphe 9. Par exemple, concernant le code de conduite, les salariés sont formés puis leur bonne compréhension est vérifiée. Par exemple, la réalisation d’un inventaire physique. Par exemple, le rapprochement et la mise à jour des comptes dans la balance générale. Egalement désignés comme des contrôles « hybrides » ou contrôles dépendants des technologies de l’information.
188
© IFACI - décembre 2012
modalités Pratiques d’Application
des contrôles généraux informatiques. Le GAIT-R explicite le processus d’identification des contrôles généraux informatiques clés. 9.
L’évaluation des contrôles clés peut être réalisée soit lors d'une seule mission d'audit interne selon une approche intégrée, soit au cours d'une série de missions. Par exemple, une première mission d'audit interne peut traiter des contrôles clés réalisés par les opérationnels tandis qu'une deuxième abordera les contrôles généraux informatiques et qu’une troisième évaluera les contrôles associés mis en place au niveau de l’entité. Cette pratique est courante lorsque les mêmes contrôles1 sont mis en place pour plus d’un domaine de risque.
10. Comme énoncé au paragraphe 5, avant d’émettre une opinion sur la gestion efficace des risques couverts par le périmètre d’audit interne, il est nécessaire d’évaluer la combinaison des différents contrôles clés. Même lorsqu’une série de missions d’audit interne est réalisée, chacune traitant de certains contrôles clés, l'auditeur interne doit inclure dans le périmètre d'au moins une des missions d'audit interne une évaluation de la conception des contrôles clés dans son ensemble2 et déterminer si cela est suffisant pour gérer les risques dans les limites acceptées par l'organisation.
MPA 2200
11. Si le périmètre d'audit interne3 n’inclut que certains contrôles clés requis pour gérer les risques cibles, il faudra le considérer comme une limitation du périmètre et le préciser clairement dans le rapport.
1 2 3
En particulier ceux transversaux à l'entité ou encore les contrôles généraux informatiques. C'est-à-dire pour toute la série de missions d'audit interne. Compte tenu des autres missions d'audit interne comme mentionné au paragraphe 9.
© IFACI - décembre 2012
189
MPA 2210-1 Objectifs de la mission Principale Norme de référence
2210 – objectifs de la mission Les objectifs doivent être précisés pour chaque mission.
1.
Les auditeurs internes établissent les objectifs de la mission en fonction des risques liés à l'activité à auditer. Concernant les missions planifiées, les objectifs découlent et sont conformes à ceux qui ont été initialement identifiés lors du processus d’évaluation des risques qui a permis d’établir le plan annuel d'audit. Pour les missions non planifiées, les objectifs sont établis avant le début de la mission en fonction de la problématique spécifique qui a motivé la mission.
2.
L’évaluation des risques réalisée pendant la planification de la mission est utilisée pour mieux préciser les objectifs initiaux et identifier d’autres zones d’intérêt significatives.
3.
Après avoir identifié les risques, l'auditeur interne détermine les procédures à mettre en œuvre et leur périmètre (nature, durée, et étendue). Les procédures mises en œuvre sur le périmètre approprié constituent les moyens de tirer des conclusions liées aux objectifs de la mission.
190
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2210.A1-1 Évaluation des risques dans la planification de la mission Principale Norme de référence
1.
Les auditeurs internes tiennent compte de l’évaluation des risques effectuée par le management pour l’activité examinée. L’auditeur interne prend aussi en compte les éléments suivants : la fiabilité de cette évaluation des risques ; le processus établi par le management pour la surveillance, la diffusion d’informations et la résolution des risques et des contrôles ; les comptes-rendus du management sur les événements qui ont dépassé les limites de l’appétence pour le risque de l’organisation ainsi que les réponses du management à ces rapports ; les risques des activités connexes et pertinentes par rapport à l’activité examinée.
2.
Les auditeurs internes obtiennent et mettent à jour des informations de base sur l’activité à auditer. Ces informations sont révisées pour déterminer leur impact sur les objectifs et le périmètre de la mission.
3.
Si nécessaire, les auditeurs internes réalisent un examen préliminaire pour se familiariser avec les activités, les risques et les contrôles, pour identifier les domaines où la mission sera approfondie et pour inviter les clients de la mission à fournir leurs commentaires et suggestions.
4.
Les auditeurs internes font la synthèse de l’examen de l’évaluation des risques effectuée par le management, des éléments de contexte et de toute revue préliminaire. Ce résumé comprend : les problèmes importants et les raisons pour poursuivre une étude plus approfondie ; les objectifs et les procédures de la mission; les méthodes à utiliser telles que les audits informatisés ou les techniques d’échantillonnage ; les points de contrôles potentiellement délicats, les manques et/ou les excès de contrôle apparents ; si nécessaire, les raisons pour ne pas continuer la mission ou pour modifier significativement les objectifs de la mission.
© IFACI - décembre 2012
191
MPA 2200
2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation.
MPA 2230-1 Ressources affectées à la mission Principale Norme de référence
2230 – ressources affectées à la mission Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.
1.
Pour déterminer le caractère approprié et suffisant des ressources, les auditeurs internes considèrent les éléments suivants : le nombre d'auditeurs internes et le niveau d'expérience de l'équipe d'audit ; les connaissances, le savoir-faire et autres compétences des auditeurs internes pour leur affectation à chaque mission d'audit ; la disponibilité de ressources externes dans les cas où des connaissances ou des compétences supplémentaires sont requises ; les besoins de formation des auditeurs internes pour chaque mission constituent un point de départ pour satisfaire le développement des connaissances nécessaires au niveau de l’audit interne.
192
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2240-1 Programme de travail de la mission Principale Norme de référence
2240 – Programme de travail de la mission Les auditeurs internes doivent élaborer et documenter un programme de travail permettant d'atteindre les objectifs de la mission.
1.
Les auditeurs internes élaborent les programmes de travail et en obtiennent la validation formelle avant de commencer la mission. Le programme de travail comprend les méthodes utilisées telles que les audits informatisés et les techniques d’échantillonnage.
Commentaire IFACI Le programme de travail peut éventuellement être revu au cours de la phase de réalisation. En cas de modification importante, il doit de nouveau être validé.
Le processus de collecte, d’analyse, d’interprétation et de documentation de l’information est supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteints et que l’objectivité de l’auditeur est maintenue.
MPA 2200
2.
© IFACI - décembre 2012
193
194
© IFACI - décembre 2012
modalités Pratiques d’Application
mPA SÉrIE 2300
MPA 2300
ACComPlISSEmENt DE lA mISSIoN
© IFACI - décembre 2012
195
196
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2300-1 Utilisation d’informations à caractère personnel dans la conduite d’une mission Principale Norme de référence
2300 – Accomplissement de la mission
1.
Les auditeurs internes doivent se préoccuper de la protection des informations à caractère personnel qui sont recueillies au cours des missions d’audit, car les progrès des technologies de l’information et des communications continuent d’induire des risques et des menaces pour la vie privée. De nombreux pays imposent aux organisations de se doter d’un dispositif de contrôle visant à protéger la vie privée.
2.
Les informations à caractère personnel sont généralement des données associées à un individu en particulier ou des données d’identification qui peuvent être associées à d’autres informations. Il peut s’agir d’informations factuelles ou subjectives, enregistrées ou non, sous toute forme ou tout type de support. Les informations à caractère personnel sont notamment : le nom, l’adresse, les numéros d’identification, le revenu, le groupe sanguin ; les évaluations, le statut social, les mesures disciplinaires ; les fichiers du personnel et les dossiers de crédit et de prêt ; les données relatives à la santé et les données médicales du personnel.
3.
Dans de nombreux pays, la législation impose aux organisations d’identifier, lors de la collecte des données ou avant cette collecte, la finalité pour laquelle des informations à caractère personnel sont recueillies. Elle interdit l’utilisation et la divulgation d’informations à caractère personnel pour une finalité autre que celle pour laquelle ces données ont été recueillies, sauf si l’individu concerné a donné son accord ou si la législation l’impose.
4.
Il importe que les auditeurs internes comprennent et respectent toutes les lois relatives à l’utilisation d’informations à caractère personnel dans leur pays et dans les pays où leur organisation opère.
5.
Il peut être inopportun, voire illégal, d’accéder à, de rechercher, de passer en revue, de manipuler ou d’utiliser des informations à caractère personnel dans le cadre de certaines missions
© IFACI - décembre 2012
197
MPA 2300
Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission.
d’audit interne. Si l’audit interne accède à de telles informations, il peut être nécessaire d’élaborer des procédures pour les protéger. Ainsi, dans certaines situations, l’auditeur interne peut décider de ne pas faire figurer d’informations à caractère personnel dans les dossiers de la mission. 6.
En cas d’interrogations ou de doutes concernant l’accès à des informations à caractère personnel, l’auditeur interne peut demander l’avis d’un juriste avant le lancement de l’audit.
198
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2320-1 Procédures analytiques Principale Norme de référence
2320 – Analyse et évaluation
1.
Les auditeurs internes peuvent recourir à des procédures analytiques pour obtenir des preuves d’audit. Les procédures analytiques consistent à étudier et comparer les relations entre des informations financières et des informations non financières. Leur mise en œuvre se base sur l’hypothèse qu’en conditions normales, on peut raisonnablement s’attendre à l’existence et à la persistance de relations entre certaines informations. Parmi les exemples de conditions hors normes, on peut citer : les transactions ou événements inhabituels ou non récurrents, les modifications des principes comptables, organisationnels, opérationnels, environnementaux ou technologiques, les inefficiences, les inefficacités, les erreurs, la fraude ou les actes illégaux.
2.
Pour l’auditeur interne, les procédures analytiques constituent souvent un moyen efficient et efficace d’obtenir des éléments probants. L’évaluation résulte de la comparaison d’une information avec des résultats attendus ou définis par l’auditeur interne. Les procédures analytiques sont utiles pour repérer : les écarts inattendus ; l’absence d’écarts attendus ; les erreurs potentielles ; une fraude ou des actes illégaux potentiels ; d’autres transactions ou événements inhabituels ou non récurrents.
3.
Les procédures analytiques consistent notamment à : comparer les informations relatives à la période en cours et les informations analogues des périodes précédentes, ainsi que les budgets ou les prévisions ; étudier les relations entre des informations financières et des informations non financières appropriées (par exemple, les frais de personnel comptabilisés et l’évolution de l’effectif moyen) ; étudier les relations entre des éléments d’information (par exemple, la fluctuation du montant des intérêts débiteurs comptabilisés et l’évolution des dettes correspondantes) ;
© IFACI - décembre 2012
199
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.
comparer les informations collectées avec les prévisions fondées sur des informations analogues d’autres unités organisationnelles et aux informations sectorielles de même nature. 4.
Les auditeurs internes peuvent mettre en œuvre les procédures analytiques en utilisant des valeurs monétaires, des quantités physiques, des ratios ou des pourcentages. Certaines procédures analytiques font intervenir des analyses de ratios, de tendances ou de régression, des tests de vraisemblance, des comparaisons entre périodes, des comparaisons avec les budgets, des prévisions ou des informations économiques extérieures. Les procédures analytiques aident les auditeurs internes à identifier les conditions qui peuvent nécessiter des procédures d’audit supplémentaires. Un auditeur interne applique des procédures analytiques lorsqu’il planifie sa mission conformément aux lignes directrices énoncées dans la Norme 2200.
5.
Les auditeurs internes peuvent recourir à des procédures analytiques pour produire des preuves au cours de leur mission. Lorsqu’il détermine dans quelle mesure des procédures analytiques doivent être utilisées, l’auditeur interne prend en compte : l’importance du secteur audité ; l’évaluation du management des risques dans le domaine audité ; l’adéquation du système de contrôle interne ; la disponibilité et la fiabilité des informations financières et non financières ; la précision attendue des résultats des procédures analytiques ; la disponibilité et la comparabilité d’informations ; la validité d’autres procédures d’audit pour l’obtention de preuves.
6.
Lorsque les procédures analytiques font apparaître des résultats ou des relations inattendus, l’auditeur interne évalue ces résultats ou ces relations. Cette évaluation consiste à déterminer si la différence par rapport aux attentes pourrait résulter d’une fraude, d’une erreur ou de nouvelles conditions. L’auditeur interne peut interroger le management sur les raisons de cette différence et corroborer, ou non, l’explication du management, par exemple en modifiant les objectifs et en recalculant l’écart, ou en appliquant d’autres procédures d’audit. L’auditeur interne se doit en particulier de vérifier que l’explication tient compte à la fois du sens du changement (baisse des ventes, par exemple) et de l’ampleur de l’écart (baisse des ventes de 10 %, par exemple). Les résultats ou les relations inexpliqués, qui sont obtenus au moyen de procédures analytiques, peuvent indiquer un éventuel problème important (tel qu’une erreur, une fraude ou un acte illégal). Les résultats ou les relations qui ne sont pas expliqués de façon adéquate peuvent indiquer une situation dont il faudra informer la direction générale et le Conseil conformément à la Norme 2060. En fonction des circonstances, l’auditeur interne peut recommander une action appropriée.
200
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2320-2 Analyse causale Principale Norme de référence
2320 – Analyse et évaluation
1.
L’analyse causale consiste à rechercher l’origine d’un problème, au lieu de simplement le constater ou en rendre compte. Dans cette MPA, « problème » renvoie à une difficulté, une erreur, une non-conformité, ou une occasion manquée.
2.
Les auditeurs internes dont les rapports se contentent de recommander au management de corriger une situation problématique – sans résoudre les causes sous-jacentes – manquent une opportunité de contribuer à l’amélioration de l’efficience et l’efficacité des processus métiers à long terme et, par conséquent, à l’amélioration de l’environnement global de gouvernement d’entreprise, de gestion des risques et de contrôle. La capacité à identifier la nécessité d’une analyse causale et, le cas échéant, à la faciliter, la réviser et/ou la réaliser est une compétence clé, indispensable à cette contribution.
3.
L’audit interne, du fait de son indépendance et de son objectivité, peut être la fonction idéale pour analyser les problèmes et identifier leurs causes sous-jacentes. Cette approche contribue à la réduction des écarts, à la remise en cause des hypothèses, et à l’évaluation complète des éléments probants. En outre, les auditeurs internes – par leurs interventions dans différentes entités et lignes hiérarchiques de l’organisation – peuvent avoir développé une connaissance étendue et approfondie du (des) problème(s) sous-jacent(s). Cette connaissance est parfois plus importante que celle d’un manager, ce qui leur permet d’être mieux à même d’analyser le problème en question. Dans les cas où la cause sous-jacente d’un problème résulte d’actions ou d’inactions du management, il est essentiel de faire appel à l’objectivité d’un tiers, tel l’audit interne, pour étudier la situation et en rendre compte à la direction générale.
4.
L’analyse causale est bénéfique pour l’organisation parce qu’elle identifie la (les) cause(s) sousjacente(s) d’un problème. Cette approche offre une perspective d’amélioration à long terme des processus métiers. En l’absence d’une analyse efficace et de solutions de traitement appropriées, il y a une plus forte probabilité que le problème se produise à nouveau. L’analyse causale permet d’éviter de multiples remaniements et traite de façon proactive le risque de
© IFACI - décembre 2012
201
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.
récurrence du (des) problème(s). L’analyse causale peut s’appliquer à n’importe quel type de situation, tel qu’un événement risqué inattendu, une défaillance dans un processus, des dommages ou pertes matériels, un arrêt de la production, un incident de sécurité, une dégradation de la qualité ou l’insatisfaction d’un client. Il est important de souligner le fait qu’un problème s’explique souvent par plusieurs causes corrélées ou non. 5.
Les ressources consacrées à l’analyse causale doivent correspondre à l’impact du problème ou des problèmes potentiels et risques futurs. Dans certaines circonstances, l’analyse causale peut tout simplement utiliser la méthode des « cinq pourquoi ». Par exemple : L’employé est tombé. Pourquoi ? Parce qu’il y avait de l’huile sur le sol. Pourquoi ? Parce qu’une pièce s’est cassée. Pourquoi ? Parce que la pièce tombe toujours en panne. Pourquoi ? Parce que les méthodes d’appprovisionnement ont été modifiées. À l’issue du cinquième « pourquoi », l’auditeur interne devrait être en mesure de pouvoir identifier ou d’approcher la cause sous-jacente. Toutefois, des problèmes plus complexes peuvent nécessiter un investissement plus important en ressources et une analyse plus rigoureuse. Avant de débuter l’analyse causale de problèmes plus complexes, il convient que les auditeurs internes considèrent que : a. L’analyse causale peut nécessiter énormément de temps pour étudier le processus, le personnel, la technologie ainsi que les données nécessaires à l’identification et à l’évaluation d’une cause sous-jacente. Ainsi, un projet qui pourrait a priori être réalisé rapidement peut finalement nécessiter d’énormes travaux pour la validation des divers scénarios, l’analyse approfondie des données et l’évaluation des nombreux facteurs internes et externes qui ont un effet sur les processus métiers. b. Les auditeurs internes peuvent ne pas avoir toutes les compétences nécessaires à la conduite de l’analyse spécifique de certaines causes sous-jacentes. C’est pourquoi, ils devront définir avec précision les travaux à entrependre pour mener à bien l’analyse causale ainsi que leur degré d’implication. Pour ce faire, ils devront considérer l’ensemble des compétences requises ainsi que le niveau d’évaluation et d’analyse nécessaires pour établir une conclusion. Les responsables de l’audit interne (RAI) s’assureront que l’expérience et l’expertise de leurs équipes sont suffisantes pour accomplir ces travaux et pourront éventuellement faire appel à une aide extérieure (par exemple, dirigeants d’entreprise, experts techniques, et/ou consultants externes). c. Lorsque l’audit interne ne dispose pas du temps ou des compétences nécessaires, le RAI devra formuler des recommandations afin de traiter l’origine de la déficience et, le cas échéant, recommander que le management conduise une analyse causale.
6.
Avant de réaliser l’analyse causale, il convient que les auditeurs internes anticipent les obstacles potentiels qui pourraient entraver leurs efforts, et développent une approche proactive pour traiter ces situations.
202
© IFACI - décembre 2012
modalités Pratiques d’Application
a. Le management peut être réticent à l’idée que l’audit interne puisse avoir un rôle dans les analyses causales. Le RAI et les auditeurs internes peuvent être amenés à expliquer et à démontrer au management le rôle et les capacités de l’audit interne.
c. Déterminer la véritable cause sous-jacente peut se révéler difficile et subjectif – même lorsque l’on dispose de suffisamment de données quantitatives et qualitatives. Les auditeurs internes devront rendre compte de la contribution des différentes parties prenantes du processus métier dans l’élaboration, l’analyse et l’évaluation des informations. Une multiplicité d’erreurs avec divers degrés d’impact peut être à l’origine d’un problème. L’auditeur interne peut, dans certains cas, élaborer plusieurs conclusions, assorties de différents scénarios à considérer par le management comme pouvant être la cause sous-jacente d’un problème. Dans ce cas, la valeur apportée par l’audit interne est l’évaluation indépendante et objective ainsi que la présentation des diverses données et analyses à partir desquelles le management pourra formuler une conclusion sur la cause la plus probable. d. Lorsqu’elle est réalisée par l’audit interne, une analyse causale qui conduirait à des observations et à des recommandations spécifiques et concrètes pour l’amélioration des processus et des contrôles, pourra être perçue comme plaçant l’auditeur interne dans un rôle de management. Les auditeurs doivent gérer ce risque de perception en : i. fournissant une analyse spécifique, objective et étayée de la cause sous-jacente ; ii. distinguant la détermination de la cause sous-jacente, des recommandations liées à son traitement ; © IFACI - décembre 2012
203
MPA 2300
b. Le management peut s’opposer à la conduite d’une analyse causale en raison des délais et des efforts supplémentaires qu’elle impose à leur équipe. Le management peut privilégier les solutions à court terme pour rétablir immédiatement la conformité ou ramener le processus ou la transaction à son état normal. Il arrive toutefois que des solutions à long terme soient envisagées mais uniquement lorsque les délais et les ressources le permettent. Mais le management sera d’autant moins enclin à adopter les solutions proposées qu’elles ne génèrent pas d’effets immédiats, sont de nature préventive, et nécessitent des investissements significatifs. De fait, l’impact à long terme des défaillances non corrigées en termes de coût, de délais et de ressources n’est pas toujours mesuré. De même, en l’absence de solution à long terme, les ajustements permanents ne sont pas appréhendés. Les RAI pourront utiliser ce type d’argument s’ils sont amenés à documenter le bien-fondé d’une analyse causale pour obtenir le soutien du management. Pour les questions nécessitant des corrections à long terme, ayant un impact important sur les ressources, les délais ou les coûts, les auditeurs internes pourront suggérer, en plus de la solution à long terme plus coûteuse, des mesures d’atténuation immédiates ou à court terme. Cette approche permettra d’atteindre rapidement les objectifs métiers fixés par le management tout en lui donnant le temps de planifier et de budgétiser une solution à long terme plus robuste, qui puisse traiter les causes sous-jacentes du problème.
iii. s’assurant que la charte de l’audit interne ou le rapport de mission définissent clairement le rôle du management, à savoir évaluer les recommandations faites par l’audit interne et assumer la mise en œuvre de toute modification du processus métier ; iv. dissociant clairement les missions d’assurance ou les évaluations à l’initiative de l’audit interne, des missions de conseil commanditées par un responsable opérationnel. 7.
De façon générale, la plupart des causes sous-jacentes peuvent être ramenées à des décisions, des actions ou des inactions d’une ou de plusieurs personne(s). Toutefois, les auditeurs internes devront considérer le contexte, qui peut avoir une incidence sur le problème et qui peut également représenter un risque plus important pour l’organisation : a. compétence du personnel. b. embauche du personnel qualifié. c. absence de formation ou formation insuffisante. d. adéquation de la technologie ou des outils. e. pertinence de la culture de l’organisation ou du département. f. santé au travail et risques psychosociaux. g. niveau ou volume de ressources (par exemple, budget ou effectif ). h. circonstances du processus et autres facteurs ayant conduit la personne ou les personnes à prendre les décisions. i. pouvoir de décision de la ou des personne(s) impliquée(s). Une analyse causale qui s’arrête à l’identification des composantes et des activités du processus (par exemple, la technologie, les règles, la formation) peut se révéler incomplète. Une véritable analyse causale cherchera à comprendre pourquoi des personnes qualifiées prennent de mauvaises décisions ou des décisions inappropriées (pourquoi la personne ayant pris la décision a-t-elle pensé qu’elle avait fait le bon choix à ce moment ?). Dans ces cas, les auditeurs internes devront caractériser la situation en essayant de comprendre toutes les circonstances qui ont amené les acteurs du processus à prendre une décision spécifique.
8.
Pour la plupart des problèmes qu’ils auront à traiter, les auditeurs internes pourront recourir à des techniques simples. Les techniques les plus élaborées de collecte de données, d’analyse statistique, et l’utilisation d’autres concepts seront réservées aux situations dans lesquelles le temps et l’effort (c’est-à-dire les coûts) nécessaires pour corriger les causes sous-jacentes sont susceptibles d’être justifiés par le niveau de risque et d’optimisation des processus pouvant être atteints. Il existe plusieurs techniques d’analyse causale. Parmi les outils d’analyse utilisés – que l’on trouve facilement sur lnternet – figurent : a. la méthode des « Cinq pourquoi ». b. l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC).
204
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2300
c. le diagramme SIPOC (fournisseurs (Suppliers), entrées (Input), Processus, sorties (Output), Clients). d. l’organigramme de flux (flowchart) d’un processsus, d’un système de données. e. le diagramme cause-effet (en arête de poisson / Diagramme d’Ishikawa). f. l’analyse critique de mesure de la qualité. g. le diagramme de Pareto. h. la corrélation statistique.
© IFACI - décembre 2012
205
Modalités Pratiques d’Application
MPA 2320-3 L’échantillonnage en audit Principale Norme de référence
2320 – Analyse et évaluation Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.
MPA liée
MPA 2240-1 Programme de travail de la mission 1.
Les auditeurs internes élaborent les programmes de travail et en obtiennent la validation formelle avant de commencer la mission. Le programme de travail comprend les méthodes utilisées telles que les audits informatisés et les techniques d’échantillonnage.
2.
Le processus de collecte, d’analyse, d’interprétation et de documentation de l’information est supervisé afin d’obtenir une assurance raisonnable que les objectifs d’audit sont atteints et que l’objectivité de l’auditeur est maintenue.
La présente MPA n’a pas pour but de décrire toutes les procédures à mettre en œuvre dans le cadre d’une vérification par sondage. Elle introduit la prise en compte des techniques de sondage lors de la planification détaillée des travaux d’audit. A ce titre, elle est complémentaire d’autres lignes directrices de l’IIA (notamment celles qui sont relatives à la gestion du risque d’audit (MPA 2120-2), aux objectifs de la mission (cf. Normes et MPA de la série 2210) ; au programme de travail (Norme 2240), à l’identification des informations (Normes 2300 et 2310), à la documentation des informations (Norme 2330) ou le GTAG sur les techniques informatisées d’analyse de données. Pour la mise en œuvre des principes recommandés ci-dessous, des connaissances plus précises en méthodes statistiques sont nécessaires. Nous utiliserons indifféremment « échantillonnage » ou « sondage » pour traduire « sampling ». 1.
Les sondages sont utilisés en audit afin de fournir des preuves factuelles et une base raisonnable permettant de formuler des conclusions relatives à une population à partir de laquelle un échantillon a été sélectionné. L'auditeur interne conçoit un échantillon d'audit, réalise le
© IFACI - septembre 2013
1
MPA 2300
Commentaire IFACI
tirage, exécute des procédures d'audit et évalue les résultats issus de cet échantillon afin d'obtenir des preuves d'audit suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission. Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudente et informée pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est une information concluante et facilement accessible par l’utilisation de techniques d’audit appropriées. Une information pertinente conforte les constatations et recommandations de l’audit, et répond aux objectifs de la mission. Une information utile contribue à s’assurer que l'organisation atteindra ses objectifs. Commentaire IFACI Le sondage comporte toujours une marge d’incertitude que l’auditeur interne détermine a priori. (cf. §11) Commentaire IFACI La définition de la fiabilité de l’information met l’accent sur son accessibilité. En effet, une information difficilement accessible est une information qu’il va falloir reconstituer à partir de calculs, d’algorithmes ou d’autres raisonnements reposant souvent sur des hypothèses, d’où une grande difficulté à évaluer une information de ce type sur des critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches. Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilité en s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité des sources d’information.
2.
En audit, les sondages consistent à appliquer des procédures d'audit sur moins de 100 % des éléments d'une catégorie de transactions ou d'un solde de compte, de telle manière que chaque unité d'échantillonnage ait la même chance d'être sélectionnée. La population désigne l'ensemble des données à partir desquelles un échantillon est construit et à propos de laquelle l'auditeur interne souhaite tirer des conclusions. Le risque d'échantillonnage se définit comme le risque que la conclusion tirée par l'auditeur interne à partir d'un échantillon soit différente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la même procédure d'audit.
Commentaire IFACI La population est définie en fonction du périmètre et des objectifs de la mission. Le développement des outils d’analyse de données permet d’envisager l’application de procédures d’audit sur l’ensemble d’une population. Néanmoins, l’auditeur peut être confronté au fait que tous les éléments à auditer ne sont pas embarqués dans les systèmes d’informations (par exemple pour l’examen d’éléments physiques), que la base de données est incomplète (empêchant par exemple l’accès à des données antérieures ou d’autres entités) ou que l’auditeur a l’obligation de faire un contrôle sur pièces.
2
© IFACI - septembre 2013
Modalités Pratiques d’Application
En outre, malgré l’opportunité offerte par les systèmes d’information, la réalisation de procédures d’audit sur l’ensemble de la population peut avoir un coût (en temps ou en ressources d’investigation) justifiant une approche par échantillonnage. Pour déterminer son approche, l’auditeur devra prendre en compte le risque d’échantillonnage et le risque d’audit. Le lecteur pourra se référer à GAO « Assessing the reliability of computer-processed data ».
Échantillonnages statistique et non statistique 3.
L'échantillonnage statistique (aléatoire ou systématique) consiste à réaliser un tirage à partir duquel la vraisemblance des conclusions pourra être mathématiquement évaluée pour une extrapolation à la population considérée. Avec ce type de sondage, l'auditeur pourra formuler des conclusions en tenant compte de l’intervalle de confiance (pour éviter en particulier le risque de conclusion erronée). Il est essentiel que l'échantillon de transactions construit soit représentatif de la population évaluée, faute de quoi la possibilité de tirer des conclusions fondées sur la revue de l’échantillon sera limitée voire inexistante. L'auditeur interne devrait vérifier le caractère exhaustif de la population afin de s'assurer que l'échantillon est construit à partir d’un ensemble approprié de données.
Commentaire IFACI
4.
L'échantillonnage non statistique est utilisé par l'auditeur qui souhaite se fonder sur sa propre expérience et sur ses connaissances pour déterminer les critères de construction d'un échantillon. Ces sondages non statistiques (raisonnés, essentiellement fondés sur le jugement), ne permettent pas de justifier, d'un point de vue mathématique, l’extrapolation des résultats à l’ensemble de la population. Autrement dit, l'échantillon peut être biaisé et non représentatif de la population. L'objectif du test, son efficience, les caractéristiques opérationnelles, les risques inhérents et l'impact des résultats sont des éléments communément pris en compte par l'auditeur pour orienter la méthode de sondage. L'échantillonnage non statistique peut être utilisé lorsqu'il est nécessaire d'obtenir rapidement des résultats et pour tester une hypothèse plutôt que pour projeter la vraisemblance mathématique des conclusions à l’ensemble de la population.
Commentaire IFACI Selon le paragraphe 5.g de la norme ISA 530 : « le sondage statistique est une méthode de sélection d’échantillons
© IFACI - septembre 2013
3
MPA 2300
Le caractère exhaustif est apprécié au regard de l’objectif du test d’audit et des caractéristiques à évaluer. En pratique, ces objectifs se traduisent notamment par la définition de bornes temporelles ou d’une série de transactionsclés du processus à auditer.
possédant les caractéristiques suivantes : • Sélection aléatoire des éléments formant l’échantillon ; • Utilisation de la théorie des probabilités pour évaluer les résultats du sondage, y compris la mesure du risque d’échantillonnage. Une méthode de sondage qui ne réunit pas ces caractéristiques est considérée comme une méthode de sondage non statistique. » Les tirages non statistiques peuvent par exemple être justifiés dans le cadre de l’analyse d’un indice de fraude, en constituant l’échantillon à partir d'éléments connus comme étant les plus à risques. La technique de sondage de dépistage peut également être utilisée dans le cas où la proportion est considérée comme proche de 0.
Commentaire IFACI L’auditeur interne détermine sa stratégie d’échantillonnage à partir des objectifs d’audit et en fonction du niveau des risques d’échantillonnage et d’audit qu’il s’est fixé. Il conviendra également de prendre en compte les caractéristiques de la population évaluée notamment en termes d’homogénéité. Tous ces éléments lui permettront de définir la méthode d’échantillonnage et la taille de l’échantillon.
5.
Lorsqu'ils formulent une opinion ou une conclusion, les auditeurs sont souvent dans l'impossibilité, pour des raisons pratiques, d'examiner toutes les informations disponibles. L'échantillonnage permet alors de tirer des conclusions valables. L'auditeur qui utilise des méthodes de sondage (statistique ou non) devrait construire et sélectionner un échantillon, exécuter des procédures d'audit et évaluer les résultats de cet échantillon afin d'obtenir des preuves d'audit suffisantes, fiables, pertinentes et utiles.
Commentaire IFACI Les conclusions peuvent être de 2 ordres : 1) Estimer une valeur (un montant, une moyenne. Par exemple, le montant des créances échues non renouvelées de plus de 3 mois), ou un attribut (nombre ou proportion d’unités, possédant ou non une caractéristique donnée : taux de demande d’achat non signée) 2) Tester une hypothèse (e.g., la satisfaction client est en moyenne plus élevée dans la région A / région B). Extrait de l’ouvrage Les outils de l’audit / IFACI. – Eyrolles, 2013
6.
4
Il existe différentes techniques d'échantillonnage et objectifs associés en audit dont voici quelques exemples : Échantillonnage aléatoire simple - la sélection n'est pas régie par des facteurs prédé-
© IFACI - septembre 2013
Modalités Pratiques d’Application
terminés ; chaque unité de la population a une chance égale d'être sélectionnée. Sondages basé sur des unités monétaires - utilisé pour identifier les anomalies monétaires éventuelles dans le solde d’un compte. Échantillonnage stratifié - utilisé pour répartir la population en sous-groupes ; en général, un échantillon aléatoire est sélectionné à partir de chacun des sous-groupes pour être revu. Échantillonnage pour estimation d’attributs - utilisé pour déterminer le nombre ou la proportion d’unités, possédant ou non une caractéristique donnée, dans la population évaluée. Échantillonnage pour estimation de valeurs - utilisé pour déterminer les paramètres d'une population. Échantillonnage fondé sur le jugement professionnel de l'auditeur, il est censé être axé sur une hypothèse à tester. Échantillonnage de dépistage - utilisé lorsque la preuve de l’existence d'une erreur ou d'une occurrence implique ensuite une investigation approfondie. Commentaire IFACI
Pour la sélection sur des champs de données, les méthodes les plus courantes sont les suivantes : • Le tirage aléatoire à partir de générateurs de nombres aléatoires • Le tirage par intervalles fixes. Les unités de sondage sont sélectionnés en respectant un intervalle fixe entre les tirages, le point de départ étant déterminé au hasard. A titre d’exemple, il peut s’agir de factures dotées d’un numéro unique incrémenté unitairement, ce qui permet de procéder à ce tirage systématique qui s’apparente à un tirage aléatoire. • Par cellule (sélection aléatoire dans un intervalle) L’annexe 4 de l’ISA 530 propose également des exemples de méthodes d’échantillonnage.
© IFACI - septembre 2013
5
MPA 2300
Selon la nature des preuves d’audit recherchées, d’autres typologies peuvent être proposées. Pour la sélection sur les enregistrements, les méthodes d’échantillonnage les plus courantes sont : • Le tirage aléatoire • Le tirage à l’aveuglette, sans démarche structurée et en évitant de fausser consciemment la sélection ou de lui donner un caractère prévisible • Le tirage raisonné et fondé sur le jugement de l’auditeur. L’échantillon est construit sur la base d’un ou plusieurs critères choisis par l’auditeur en fonction de leur pertinence et non pas de leur représentativité statistique. Par exemple, il choisit toutes les unités de sondages supérieures à un certain montant, tous les éléments sauf un type précis d’exceptions, toutes les valeurs négatives, tous les nouveaux utilisateurs, etc. Les résultats ne peuvent pas être généralisés à la population entière.
7.
Lorsqu'ils déterminent la taille et la structure d'un échantillon, les auditeurs devraient tenir compte des objectifs d'audit de la mission, de la nature de la population et des méthodes d'échantillonnage et de sélection. L'auditeur devrait envisager de faire appel à des spécialistes compétents en matière de conception et d'analyse de la méthodologie d'échantillonnage.
Commentaire IFACI Déterminer la structure d’un échantillon consiste à définir sa composition au regard des objectifs d’audit (par exemple pour des factures, l’échantillon peut être constitué des factures récapitulatives ou des factures à l’acte) et son éventuelle stratification. Le recours à des spécialistes devra se faire conformément à la norme 1210.A1. Le service d’audit interne est à même de disposer collectivement de ces compétences grâce notamment à des formations, à la diversité de parcours des auditeurs internes et au recours à des outils appropriés.
8.
La méthode d'échantillonnage dépendra de l'objectif visé. Pour des tests de conformité, l'échantillonnage pour estimation d’attributs qui consiste à observer un événement ou une transaction (par exemple le contrôle d’une autorisation liée à une facture) est généralement utilisé. Pour les tests de corroboration, l'échantillonnage pour estimation de valeurs est souvent utilisé.
9.
Dans la mesure où la population désigne l'ensemble des données à partir desquelles un échantillon est construit et à propos de laquelle l'auditeur interne souhaite tirer des conclusions ; cette population devra être appropriée et son caractère exhaustif, au regard de l'objectif spécifique de la mission, devra être vérifié.
10. La stratification peut contribuer à l'efficacité de la conception de l'échantillon. Elle consiste à répartir une population en sous-groupes homogènes explicitement définis de manière à ce que chaque unité d'échantillonnage ne puisse appartenir qu’à une seule strate. Commentaire IFACI La stratification est recommandée pour réduire la dispersion de l’échantillon. Plusieurs sondages sont alors réalisés. Par exemple : si la population de clients est diversifiée, elle peut être stratifiée selon leur zone de résidence (ville / campagne) si l’hypothèse sous-jacente est que ces clients n’ont pas le même profil. Cela peut permettre aussi de réduire la taille totale de l’échantillon.
6
© IFACI - septembre 2013
Modalités Pratiques d’Application
Erreur acceptable et erreur escomptée 11. L'auditeur qui utilise un échantillon statistique devrait tenir compte de concepts tels que le risque d'échantillonnage ainsi que les notions d’erreurs acceptables ou escomptées. Le risque d'échantillonnage provient de la possibilité que la conclusion de l'auditeur puisse être différente de celle qu'il aurait tirée en soumettant l'ensemble de la population à la même procédure d'audit. Il existe deux types de risques d'échantillonnage : Le risque « d’acceptation » incorrecte - le risque que la caractéristique ou l'hypothèse testée soit validée alors qu'en réalité, elle est fausse, Le risque de rejet incorrect - le risque que la caractéristique ou l'hypothèse testée soit rejetée alors qu'en réalité, elle est vraie. Commentaire IFACI Le risque « d’acceptation » incorrecte est dénommé par les statisticiens risque de première espère ou seuil de signification (α). α désigne la probabilité de se tromper, c'est-à-dire de rejeter l’hypothèse nulle (la population est homogène) alors qu’elle est vraie. Le risque de rejet incorrect est dénommé par les statisticiens risque de deuxième espèce ou d’erreur de deuxième espèce (β). β désigne la probabilité de se tromper (ne pas rejeter l’hypothèse nulle d’homogénéité de la population alors qu’elle est fausse). Il s‘agit de la puissance du test. En pratique, c’est surtout l’erreur de première espèce qui est utilisée. Le §5 de la norme ISA 530 donne des exemples de risque d’échantillonnage en audit : • conclure que les contrôles sont plus efficaces qu’ils ne le sont en réalité, ou qu’il n’y a pas d’anomalies significatives alors qu’il en existe en réalité, • conclure que les contrôles sont moins efficaces qu’ils ne le sont en réalité, ou qu’il existe une anomalie significative alors qu’il n’en existe pas en réalité. Les erreurs acceptables représentent le nombre maximum d'erreurs que l'auditeur est prêt à accepter sans pour autant que la validité de l'hypothèse ne soit remise en cause. L'auditeur n’est pas toujours maître de la fixation de ce nombre maximum, car elle peut être déterminée par la nature de l'activité, les avis du management ou les meilleures pratiques. Dans certains cas, une seule erreur ne sera pas acceptable. Commentaire IFACI L’auditeur interne devra s’assurer qu’un écart, même minime, ne générera pas de graves désordres.
© IFACI - septembre 2013
7
Les erreurs escomptées sont celles que l'auditeur s’attend à trouver dans la population sur la base de précédents résultats d'audit, de modifications des processus et de preuves/conclusions provenant d'autres sources. Commentaire IFACI Pour les tests de confirmation, l’erreur acceptable est fonction du seuil de signification fixé par l’auditeur. Pour les tests de conformité, c’est le taux maximum d’écart que l’auditeur peut tolérer par rapport à une procédure de contrôle prescrite. Les erreurs escomptées peuvent se fonder sur les résultats des travaux de la seconde ligne de défense, de la mise en œuvre de procédures et des résultats de revues analytiques. 12. Le niveau de risque d'échantillonnage que l'auditeur est prêt à accepter, l'erreur acceptable et l'erreur escomptée sont autant de facteurs qui influent sur la taille de l'échantillon. Le risque d'échantillonnage devrait être cohérent avec les éléments pris en compte pour définir le risque d’audit. Ce risque d'audit comprend le risque inhérent, le risque associé aux contrôles et le risque de non-détection. 13. Des procédures d'échantillonnage efficaces augmentent la couverture, la précision et l'efficience des missions. Elles permettent à l'auditeur de donner une assurance sur les processus opérationnels qui affectent la réalisation des buts et objectifs de l'organisation. Lorsqu'il recherche la technique d'échantillonnage appropriée, il est important que l'auditeur comprenne les directives et les normes communément admises en matière d'échantillonnage, au même titre que les processus opérationnels et les données sur lesquelles il travaille. 14. L'audit en continu permet à l'auditeur interne de tester l'ensemble de la population en temps voulu, tandis que l'échantillonnage d'audit facilite l’analyse de moins de 100 % de la population. 15. L'auditeur interne devrait analyser les erreurs potentielles détectées dans l'échantillon afin de vérifier qu'il s'agit réellement d'erreurs et, le cas échéant, en déterminer la nature et la cause. En fonction des erreurs avérées, il sera nécessaire de déterminer si des tests supplémentaires devraient être envisagés. Commentaire IFACI En pratique, cette décision dépendra des objectifs d’audit.
16. L'auditeur interne dispose de différentes méthodes statistiques (le paragraphe 6 ci-dessus présente des exemples de procédures) pour obtenir des preuves d'audit suffisantes. S'il ne peut appliquer les procédures d'audit prévues ou les procédures alternatives à un élément donné, l'auditeur interne devrait identifier cet écart par rapport au programme de contrôle. 8
© IFACI - septembre 2013
Modalités Pratiques d’Application
17. L'auditeur interne devrait extrapoler les résultats de l’échantillon à la population, en utilisant une méthode d’extrapolation cohérente avec celle utilisée pour sélectionner l'échantillon. L’extrapolation des résultats de l’échantillon peut nécessiter d'estimer les erreurs ou les écarts probables dans la population, les erreurs qui pourraient ne pas avoir été détectées du fait de l'imprécision de la technique utilisée, ainsi que les aspects qualitatifs des erreurs détectées. La question de savoir si l'échantillonnage a permis de conforter raisonnablement les conclusions relatives à la population évaluée devrait être posée. Commentaire IFACI La réponse à cette question dépendra notamment du seuil de confiance retenu.
18. L'auditeur devrait comparer l'erreur escomptée dans la population à l'erreur acceptable. En fonction du risque d’échantillonnage, il pourra alors envisager de réviser la taille de l’échantillon ou d'exécuter des procédures d'audit alternatives. 19. Les papiers de travail devraient être suffisamment détaillés afin de décrire clairement l'objectif de l'échantillonnage et le processus d'échantillonnage utilisés. Les papiers de travail devraient indiquer la source de la population, la méthode d'échantillonnage utilisée, les paramètres d'échantillonnage (par exemple, la valeur de départ utilisée pour générer un tirage aléatoire ou la méthode de détermination de la valeur de départ et l'intervalle d'échantillonnage), les éléments sélectionnés, les détails des tests d'audit réalisés et les conclusions obtenues. 20. Lors de la communication, par l’auditeur interne, des résultats des tests et de la conclusion, des informations suffisantes devront être transmises au lecteur pour lui permettre de comprendre le fondement de la conclusion.
Note : Cette MPA porte sur l'échantillonnage d'audit et n'est pas destinée à donner des informations sur l'analyse de données. Pour obtenir des informations sur l'analyse de données, veuillezvous référer au Guide Pratique d’Audit des Technologies de l’Information (GTAG) 16, de l'IIA, Data Analysis Technologies.
© IFACI - septembre 2013
9
Modalités Pratiques d’Application
MPA 2320-4 Assurance en continue Principale Norme de référence
2320 – Analyse et évaluation
1.
Les contrôles sont traditionnellement testés sur une base rétrospective et cyclique, souvent plusieurs mois après la réalisation des activités. Ces tests utilisent généralement des techniques d’échantillonnage de données historiques. Les missions d’audit, fondées sur de telles approches d’échantillonnage, peuvent ne pas correspondre aux besoins de l’organisation, en particulier lorsque l’évaluation du profil de risque de cette organisation nécessite de prendre en compte des informations récentes. De surcroît, la rapidité avec laquelle les activités et les organisations évoluent exige d'identifier de manière plus proactive les enjeux. Pour ce faire, les systèmes d’information peuvent servir de levier pour identifier en temps opportun les problèmes éventuels. Lorsque le profil de risques le justifie, l'audit interne devrait envisager d'évaluer en continu l'efficacité des contrôles au lieu d‘utiliser des tests plus classiques réalisés de manière périodique sur des données historiques relatives à une sélection de dispositifs de contrôle interne ou de risques.
2.
Le glossaire du CRIPP définit l’assurance comme un « examen objectif d’éléments probants, effectué en vue de fournir à l’organisation une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle ». Le meilleur moyen de fournir une assurance en continu consiste à conjuguer la surveillance en continu incombant au management et les activités d'audit en continu.
3.
La surveillance en continu est un processus managérial qui permet de s'assurer en permanence que les dispositifs de contrôle interne fonctionnent de manière efficace. Les événements associés aux risques les plus importants (par exemple, des transactions inhabituelles ou non récurrentes) peuvent être identifiés et faire l'objet d'une attention particulière ou de tests supplémentaires. En plus des processus de surveillance en continu, des procédures d'audit en continu développées par les auditeurs internes peuvent, le cas échéant, être transférées au management. Elles deviennent alors des procédures de surveillance en continu mises en œuvre par le management.
© IFACI - septembre 2013
1
MPA 2300
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.
2
4.
La plupart des techniques de surveillance en continu utilisées par le management sont semblables aux techniques d'audit en continu que l'auditeur interne peut employer. La clé du succès en matière de surveillance en continu passe par l’appropriation et la réalisation de cette démarche par le management dans le cadre de ses responsabilités de mise en œuvre et de maintien d’un environnement de contrôle efficace. Étant donné que le management est responsable des dispositifs de contrôle interne, il devrait être en mesure de déterminer, en permanence, s'ils fonctionnent comme prévu. Ainsi, en se mettant en capacité d’identifier et de corriger en temps opportun les problématiques de contrôle il est possible d’améliorer l’ensemble du système de contrôle interne.
5.
Les domaines susceptibles de faire l'objet d'un audit en continu devraient être identifiés dans le plan d'audit annuel. L'audit interne devrait utiliser le référentiel de gestion des risques de l'organisation (s'il en existe un), ainsi que sa propre évaluation des risques, pour identifier ces domaines. La fréquence de couverture devrait être déterminée en fonction des facteurs de risque du domaine ou du processus concerné. L'audit en continu permet aux auditeurs internes d'identifier et d'évaluer les risques, et de réagir de manière judicieuse et dynamique aux changements au sein de l'organisation. Il contribue également à identifier et évaluer le risque.
6.
Le soutien des principales parties prenantes est indispensable pour le succès de l'audit en continu. Les étapes suivantes devraient être envisagées pour développer et maintenir les activités d'audit en continu : Hiérarchiser les domaines à couvrir et sélectionner une approche d'audit en continu. Définir les exigences en termes de livrables. Sélectionner les outils d'analyse, qui peuvent être développés en interne ou être fournis par un éditeur de logiciel. Définir le périmètre des procédures d'audit en continu. Évaluer l'intégrité des données et préparer les données. Prendre connaissance de l'approche de surveillance en continu du management. Concevoir et mettre en œuvre des procédures d'audit en continu pour évaluer les contrôles et identifier les défaillances.
7.
Une fois les objectifs d'audit en continu définis, il convient d’obtenir le soutien de la direction générale sur le périmètre retenu.
8.
Les fichiers de données, tels que les fichiers de transactions détaillées, sont souvent conservés sur une courte durée. Par conséquent, l'auditeur interne devrait prendre les mesures nécessaires pour la conservation des données appropriées. Une bonne organisation, en amont, de l’accès aux programmes/systèmes et aux données permet de limiter les interférences avec l'environnement de production. L'auditeur interne devrait évaluer l'impact potentiel sur l'utilisation des procédures d'audit en continu des modifications apportées aux © IFACI - septembre 2013
Modalités Pratiques d’Application
programmes/systèmes de production, y compris à la sécurité des accès. L'auditeur interne devrait obtenir une assurance raisonnable quant à l'intégrité, la fiabilité, l'efficacité et la sécurité des procédures d'audit en continu, grâce à une planification, une conception, des tests, un traitement et une revue appropriés de la documentation. 9.
L'auditeur interne devrait examiner l’adéquation des activités de surveillance en continu du management. Cela permettra de déterminer dans quelle mesure l'audit interne peut se fier à l'environnement de contrôle de l'organisation, ce qui influera sur la nature et la fréquence des travaux d'audit.
10. Lorsqu'il définit le calendrier, le périmètre et le niveau de couverture des tests d'audit en continu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'appétence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance en continu par le management. 11. Les activités d'audit en continu vont de l’analyse en temps réel à une analyse périodique de transactions détaillées, d’états sélectionnés automatiquement à des intervalles de temps préalablement définis ou de données consolidées. La fréquence de ces analyses dépendra du niveau de risque associé au système ou au processus examiné, ainsi que de la pertinence de la surveillance en continu réalisée par le management et des ressources disponibles. Les systèmes critiques dotés de contrôles clés peuvent être soumis à une analyse en temps réel des données relatives aux transactions. L'auditeur interne devrait prendre en considération les exigences réglementaires et les mesures prises par le management pour gérer les expositions aux risques et leur impact potentiel. Une fois que le management a mis en œuvre les processus de surveillance en continu des contrôles, les auditeurs internes et les auditeurs externes devraient déterminer dans quelle mesure ils peuvent s'appuyer sur ces processus pour réduire l’ampleur de leur programme de tests détaillés.
13. Une fois les procédures d'audit en continu mises en œuvre, l'auditeur interne devrait analyser les résultats afin d'identifier les transactions non conformes. Il est possible d'identifier l’accroissement des niveaux de risque par une analyse comparative (entre processus, entre entités, des résultats du même test dans le temps). L'un des enjeux de la mise en œuvre d'un système d'audit en continu ou de surveillance en continu réside dans le traitement efficace des risques et des écarts identifiés. Lorsqu'un système d'audit en continu ou de surveillance en continu est mis en œuvre, il s'avère souvent, après investigation, qu'un grand nombre d’écarts ne sont pas des sujets de préoccupation. Le système d'audit en continu devrait © IFACI - septembre 2013
3
MPA 2300
12. Lorsque les procédures d'audit en continu sont modifiées, l'auditeur interne devrait effectuer une revue des modifications en termes d'intégrité, de fiabilité, d’efficacité et de sécurité. L'auditeur interne devrait documenter les résultats de cette revue avant de s'appuyer sur les procédures d'audit en continu modifiées.
permettre l'ajustement des paramètres de test, afin que ces écarts n'engendrent ni alerte ni notification. Une fois le processus d'identification des faux positifs exécuté, il sera d’autant plus possible de s’appuyer sur le système pour identifier uniquement les défaillances de contrôle ou les risques significatifs. 14. Tout contrôle défaillant et/ou risque potentiel identifié grâce à l'audit en continu devrait être communiqué au management. In fine, l'auditeur interne devrait, le cas échéant, demander au management de spécifier le plan d'action et le calendrier de résolution. Une fois les mesures appropriées prises, l'auditeur interne peut envisager d'utiliser à nouveau le programme d'audit en continu pour vérifier si la solution adoptée a permis de remédier à la faiblesse de contrôle et de réduire le niveau de risque. 15. L'auditeur interne devrait revoir périodiquement l'efficience et l'efficacité des programmes d'audit en continu. Il peut s'avérer nécessaire d'ajouter des points de contrôle ou des mesures d’expositions aux risques, et d'en supprimer d'autres, en fonction de la mise à jour de l’évaluation des risques. Il peut également s'avérer nécessaire de renforcer ou d'assouplir les seuils, les tests de contrôle et les paramètres de diverses analyses. 16. Le processus d'audit en continu devrait être suffisamment documenté afin d'apporter des preuves d'audit adéquates. La MPA 2330-1, « Documentation des informations », contient des recommandations supplémentaires à ce sujet.
4
© IFACI - septembre 2013
MPA 2330-1 Documentation des informations Principale Norme de référence
2330 – Documentation des informations Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et les résultats de la mission.
1.
Les auditeurs internes préparent les papiers de travail qui servent à documenter les informations obtenues, les analyses faites, et qui confortent les conclusions et les résultats de la mission. Le management du service d’audit interne révise les papiers de travail.
2.
Les papiers de travail servent généralement à : aider à la planification, à l’exécution et à la révision des missions ; fournir le principal document d’appui pour les résultats de la mission ; documenter la réalisation des objectifs d’audit ; démontrer l’exactitude et l’exhaustivité du travail effectué ; fournir une base pour le programme d’assurance et d’amélioration qualité de l’audit interne ; faciliter la revue par des tiers.
3.
L’organisation, la conception et le contenu des dossiers de travail de l’audit sont fonction de la nature de la mission ainsi que des objectifs et des besoins de l’organisation. Les dossiers de travail comprennent tous les éléments du processus, de la planification à la communication des résultats.
4.
Le responsable de l'audit interne définit les règles, adaptées à chaque type de mission, à suivre en matière de papiers de travail. La normalisation des papiers de travail tels que les questionnaires et les programmes d’audit peut améliorer l’efficacité d’une mission et faciliter la délégation du travail. Certains papiers de travail peuvent être considérés comme permanents ou être intégrés dans des dossiers qui contiennent des informations importantes à caractère permanent.
206
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2330.A1-1 Contrôle des dossiers d’audit Principale Norme de référence 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures.
1.
Les dossiers d’audit comportent, quel que soit le moyen de stockage, des rapports, des preuves, des notes de révision et des correspondances. Les dossiers et les papiers de travail de la mission sont la propriété de l’organisation. L’audit interne contrôle les papiers de travail et ne les rend accessibles qu’au personnel autorisé.
2.
Les auditeurs internes peuvent sensibiliser la direction générale et le Conseil au sujet de l'accès des personnes externes aux dossiers de la mission. Les règles concernant le droit d’accès aux dossiers, les modalités de traitement des demandes d'accès, et les procédures à suivre lorsqu’une mission d’audit est utilisée en tant que preuve pendant une enquête, devront être revues par le Conseil.
Commentaire IFACI
3.
Les procédures d’audit interne précise le responsable du contrôle et de la sécurité des dossiers du service, les équipes internes ou externes qui peuvent avoir accès aux dossiers d’audit, ainsi que les modalités de traitement des demandes d’accès à ces dossiers. Ces procédures varieront en fonction de la nature de l'organisation, des pratiques suivies dans le secteur et des prérogatives d’accès définies par la loi.
4.
Le management et les autres membres de l’organisation peuvent demander l’accès au dossier d’audit ou à des papiers de travail spécifiques. Un tel accès peut être nécessaire pour corroborer ou expliquer les constatations et recommandations de la mission ou à d’autres fins professionnelles. Le responsable de l'audit interne approuve ces demandes.
5.
Le responsable de l'audit interne approuve l’accès des auditeurs externes aux papiers de travail.
© IFACI - décembre 2012
207
MPA 2300
En France, compte tenu des responsabilités respectives du Conseil et de la direction générale, cette revue ne peut être faite que par la direction générale.
6.
Il y a des cas où les demandes d’accès aux papiers de travail et aux rapports sont faites par des personnes extérieures à l’organisation, autres que les auditeurs externes. Avant de fournir la documentation demandée, le responsable de l'audit interne obtient l’approbation de la direction générale et/ou, le cas échéant, du conseiller juridique.
Commentaire IFACI En France, les rapports d’audit interne sont, en tant que de besoin, à la disposition de la justice. Pour le secteur bancaire, l’article 41 du règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à la disposition des Commissaires aux comptes et du secrétariat général de la Commission Bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection. Nous renvoyons ici aux commentaires formulés à propos du Code de Déontologie.
7.
Potentiellement, les dossiers d’audit interne qui ne sont pas spécifiquement protégés, peuvent être consultés dans le cadre de poursuites judiciaires. Les conditions légales varient de façon significative selon les juridictions. Lorsqu’il y a une demande spécifique de dossiers d’audit liée à une procédure judiciaire, le responsable de l’audit interne travaille en étroite collaboration avec le conseiller juridique pour déterminer ce qui peut être mis à disposition.
208
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2330.A1-2 Autorisation d’accès aux dossiers de la mission Principale Norme de référence 2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la direction générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures.
Commentaire IFACI
1.
Les dossiers de la mission d’audit interne incluent les rapports, les documents justificatifs, les notes de revue et la correspondance échangée, quel que soit le support d’archivage utilisé. On estime généralement que le contenu de ces dossiers est confidentiel et qu’il peut reposer à la fois sur des faits et sur des opinions. Or, les personnes qui n’ont pas une parfaite connaissance de l’organisation ou de ses processus d’audit interne sont susceptibles de mal interpréter ces faits et ces opinions. L’accès aux dossiers d’audit interne peut être sollicité par des tiers dans le cadre de diverses procédures, parmi lesquelles on peut citer les poursuites pénales, les litiges, les vérifications fiscales, les contrôles des régulateurs, l’examen des marchés publics et les contrôles effectués dans le cadre de professions habilitées à s’auto-réglementer. La quasi-totalité des dossiers d’une organisation qui ne sont pas couverts par le secret professionnel liant l’avocat à son client peuvent être communiqués en cas de poursuites pénales. Pour les autres procédures, la question de l’accès est moins évidente et peut différer en fonction du pays de l’organisation.
2.
Des procédures explicites de l’audit interne peuvent permettre de renforcer le contrôle de l’accès aux dossiers de la mission.
3.
L’audit interne peut définir l’accès à ses dossiers et le contrôle de ces dossiers quel que soit le support d’archivage utilisé.
© IFACI - décembre 2012
209
MPA 2300
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant susceptible de différer de façon significative selon les pays. Les lignes directrices contenues dans la présente Modalité Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant l’avocat à son client.
4.
Les règles de l’audit interne devraient porter sur les éléments à inclure dans les dossiers de la mission et spécifier le contenu et le format des dossiers, ainsi que la façon dont les auditeurs internes traiteront les notes de revue validées. Ces règles devraient également spécifier la durée de conservation des dossiers d’audit interne. Lorsque le responsable de l’audit interne spécifie la durée de conservation des dossiers de la mission, il devrait tenir compte des besoins de l’organisation et de la législation.
5.
Les règles de l’audit interne peuvent indiquer qui, au sein de l’organisation, est responsable du contrôle et de la sécurité des dossiers de l’audit interne, qui peut se voir accorder un accès aux dossiers de la mission et comment les demandes d’accès à ces dossiers doivent être traitées. Ces règles dépendent des pratiques mises en œuvre dans le secteur d’activité ou dans le pays où opère l’organisation. Le responsable de l’audit interne devrait se tenir au courant de l’évolution des pratiques dans le secteur d’activité et des jurisprudences. Lorsqu’il définit ces règles, le responsable de l’audit interne devrait déterminer qui peut demander à accéder aux dossiers de l’audit interne.
6.
La procédure qui accorde un accès aux dossiers de la mission peut également définir des processus permettant de : résoudre les problèmes d’accès ; sensibiliser le personnel de l’audit interne aux risques et aux problèmes concernant l’accès à leurs travaux ; déterminer qui pourra demander à accéder à ces travaux.
7.
Le responsable de l’audit interne peut également sensibiliser la direction générale et le Conseil aux risques d’accès aux dossiers de la mission. Le Conseil peut examiner les règles indiquant qui peut être autorisé à accéder aux dossiers et comment ces demandes doivent être traitées. Certaines règles dépendront de la nature de l’organisation et des droits d’accès prévus par la législation.
8.
En général, lorsqu’il donne accès aux dossiers de la mission, le responsable de l’audit interne : ne produit que certains documents spécifiques, conformément aux indications du juriste ou aux procédures de l’audit interne, ce qui exclut habituellement les documents couverts par le secret professionnel liant l’avocat à son client. Les documents qui révèlent l’argumentation ou les stratégies de l’avocat sont, le plus souvent, couverts par le secret professionnel et leur communication n’est pas obligatoire ; présente les documents sous une forme qui empêche leur modification (par exemple, un scan de préférence à un fichier de traitement de texte). Concernant les documents sur papier, le responsable de l’audit interne en diffuse des copies et conserve les originaux ; appose la mention « confidentiel » sur chaque document ainsi qu’une annotation indiquant que toute diffusion à autrui doit faire l’objet d’une autorisation préalable.
210
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2330.A2-1 Conservation des dossiers Principale Norme de référence 2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre.
Les modalités de conservation des dossiers d’audit varient en fonction des juridictions et de l’environnement légal.
2.
Le responsable de l’audit interne rédige une politique de conservation qui répond aux besoins de l’organisation et aux obligations légales des juridictions dans lesquelles elle opère.
3.
La procédure de conservation des dossiers devra inclure des dispositions spécifiques pour la conservation des dossiers liés aux missions réalisées par des prestataires extérieurs.
MPA 2300
1.
© IFACI - décembre 2012
211
MPA 2340-1 Supervision de la mission Principale Norme de référence
2340 – Supervision de la mission Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué. Interprétation : L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes, ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilité de la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne, mais il peut désigner d’autres membres de l’équipe d’audit interne possédant l’expérience et la compétence nécessaires pour réaliser cette supervision. La preuve de la supervision doit être documentée et conservée dans les papiers de travail.
1.
Le responsable de l'audit interne ou son représentant assurent une supervision adéquate de la mission. La supervision est un processus qui débute avec la planification de la mission et se poursuit sur l’ensemble de la mission. Ce processus consiste à : s’assurer que les auditeurs désignés possèdent collectivement les connaissances, le savoir-faire et les autres compétences requises pour réaliser la mission ; donner des instructions appropriées durant la planification de la mission et approuver le programme de travail de la mission ; vérifier que le programme de travail approuvé est correctement réalisé sous réserve que les changements soient justifiés et autorisés ; contrôler que les papiers de travail contiennent les éléments probants justifiant les constats, conclusions et recommandations de la mission ; s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans les délais fixés ; s’assurer que les objectifs d’audit ont été atteints ; saisir toutes les occasions pour développer les connaissances, le savoir-faire et les autres compétences des auditeurs internes.
2.
Le responsable de l'audit interne a la responsabilité de toutes les missions d’audit qu’elles soient effectuées par ou pour le compte de l’audit interne. Il est aussi responsable de toutes les opinions professionnelles significatives formulées lors de la mission. Le responsable de
212
© IFACI - décembre 2012
modalités Pratiques d’Application
3.
Tous les papiers de travail sont revus afin de s’assurer qu’ils supportent le rapport d’audit et que les procédures d’audit nécessaires ont été mises en œuvre. Cette revue est matérialisée par l’apposition, sur chaque papier de travail revu, des initiales du superviseur et de la date. D’autres techniques de révision qui fournissent une preuve de la revue incluent : une check-list de révision des papiers de travail de la mission ; un mémorandum précisant la nature, l’étendue et les résultats de la revue ; des revues d’évaluation, de validation dans le logiciel de gestion des papiers de travail.
4.
Les superviseurs peuvent préparer une liste écrite des questions (notes de revue) soulevées au cours de la revue. Au moment de la levée des points de revue, il convient de prendre soin de vérifier que le dossier de travail contient les éléments démontrant que les questions soulevées lors de la revue sont résolues. Les alternatives en ce qui concerne la conservation des feuilles de notes, sont les suivantes : garder les notes de revue en tant qu'enregistrement des questions soulevées par le superviseur et des actions entreprises pour les résoudre ainsi que les résultats de ces actions ; éliminer les notes de revue après que les problèmes soulevés aient été résolus et que les documents de travail nécessaires aient été modifiés pour fournir les informations exigées.
5.
La supervision de la mission est aussi l’occasion de former et de développer les compétences de l’équipe et d’évaluer les performances.
© IFACI - décembre 2012
213
MPA 2300
l'audit interne met également en place les moyens appropriés pour assumer cette responsabilité. Les moyens appropriés incluent les règles et procédures destinées à : minimiser le risque que des auditeurs internes ou d’autres personnes réalisant des travaux pour l’audit interne aient des opinions professionnelles ou entreprennent des actions qui soient en désaccord avec l’opinion professionnelle du responsable de l'audit interne ce qui aurait un impact défavorable sur la mission ; régler les conflits d’opinion professionnelle entre le responsable de l'audit interne et les auditeurs internes sur les points importants de la mission. Les moyens à utiliser peuvent être : - le débat sur les constats pertinents ; - des enquêtes et recherches complémentaires ; - la mention dans les papiers de travail de la mission, des différents points de vue, avec documents à l’appui. En cas de divergence de jugements professionnels sur une question d’éthique, il peut être fait appel aux personnes qui, dans l’organisation, ont des responsabilités dans ce domaine.
214
© IFACI - décembre 2012
modalités Pratiques d’Application
mPA SÉrIE 2400
MPA 2400
CommuNICAtIoN DES rÉSultAtS
© IFACI - décembre 2012
215
216
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2400-1 Aspects légaux de la communication des résultats Principale Norme de référence
2400 - Communication des résultats Les auditeurs internes doivent communiquer les résultats de la mission.
Commentaire IFACI
1.
L’auditeur interne doit prendre toutes les précautions nécessaires avant de communiquer une non-conformité vis-à-vis de la législation, de la réglementation ou tout autre problème d’ordre juridique. Il est vivement recommandé de mettre en place des règles et des procédures à cet égard et de travailler en étroite collaboration avec d’autres intervenants compétents (conseiller juridique, déontologue / Compliance Officer, etc.).
2.
Les auditeurs internes rassemblent des preuves, émettent des jugements fondés sur des analyses, rendent compte des résultats de leurs travaux et s’assurent que le management a mis en place des actions correctives appropriées. Les impératifs de l’auditeur interne, qui est tenu de constituer les dossiers d’audit, peuvent être difficiles à concilier avec ceux du conseiller juridique, qui est lui soucieux de ne pas mentionner d’éléments susceptibles de compromettre l’organisation sur le plan juridique. Par exemple, même si l’auditeur interne collecte et évalue correctement les informations, les faits et les analyses divulgués peuvent avoir, d’un point de vue juridique, une incidence négative sur l’organisation. Une planification et des procédures appropriées (notamment la définition du rôle de chacun et des modalités de communication) sont essentielles pour éviter qu’une révélation soudaine des faits ne provoque un désaccord entre le conseiller juridique et l’auditeur interne. Par ailleurs, l’auditeur interne et le conseiller juridique doivent favoriser, au sein de l’organisation, une culture éthique et une approche préventive en sensibilisant le management aux procédures établies.
© IFACI - décembre 2012
217
MPA 2400
Les auditeurs internes sont invités à consulter un juriste sur toute question d’ordre juridique, la réglementation étant susceptible de différer de façon significative selon les pays. Les directives contenues dans la présente Modalité Pratique d’Application reposent principalement sur les systèmes juridiques qui protègent les informations et les travaux effectués pour, ou communiqués à, un avocat (c’est-à-dire le secret professionnel liant l’avocat à son client), comme le système juridique des États-Unis qui reconnaît le « attorney-client privilege ». La MPA 2400-1 traite du secret professionnel liant l’avocat à son client.
3.
Une communication privilégiée (relation de confiance visant à rechercher, obtenir ou apporter une assistance juridique au client) est nécessaire pour protéger le secret professionnel liant l’avocat à son client. Le secret professionnel, dont le principal objet est de protéger les informations communiquées aux avocats, peut également s’appliquer aux informations communiquées à des tiers travaillant avec un avocat.
4.
Certains tribunaux reconnaissent un « droit d’auto-analyse critique » qui permet de préserver la confidentialité de documents d’autocritique tels que les travaux d’audit. En règle générale, la reconnaissance de ce droit repose sur le postulat selon lequel la confidentialité des analyses effectuées, dans ces cas, prime sur l’intérêt général.
5.
En règle générale, la protection par le secret professionnel s’applique lorsque : les informations protégées par le secret proviennent d’une analyse autocritique effectuée par la partie qui invoque le secret ; la protection des informations contenues dans l’analyse critique est dictée par l’intérêt général ; il s’agit d’informations dont la divulgation éventuelle aurait pour effet de restreindre le flux d’autres informations.
6.
Lorsque la demande de transmission des documents émane d’une administration publique, il est plus difficile de faire admettre l’existence d’un droit au secret fondé sur l’auto-évaluation. Cette attitude est vraisemblablement liée au fait que le respect du droit revêt un plus grand intérêt pour l’État.
7.
Les documents susceptibles de bénéficier de la protection par le secret professionnel devront généralement avoir été établis : dans le cadre de travaux (mémos, programmes informatiques, par exemple) ; en prévision d’un litige ; par une personne travaillant selon les instructions de l’avocat.
8.
Les documents établis et remis à l’avocat avant l’établissement de la relation privilégiée avec son client ne sont généralement pas protégés par le secret professionnel.
218
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2410-1 Contenu de la communication Principale Norme de référence
2410 – Contenu de la communication
1.
Le format et le contenu des rapports définitifs d’audit varient selon l’organisation et le type de mission. Cependant, ils contiennent, au minimum, les objectifs, le périmètre et les résultats de l’audit.
2.
Les rapports définitifs d’audit peuvent comporter des informations sur le contexte et des synthèses. Les informations sur le contexte peuvent présenter les entités et activités examinées et fournir des explications. Le statut des observations, conclusions et recommandations des rapports précédents peut aussi être repris ; on peut aussi indiquer si cet audit est une mission inscrite au plan d’audit ou répondant à une demande particulière. Les synthèses constituent un exposé proportionné du contenu du rapport.
3.
L'exposé de l'objet de la mission décrit les objectifs de la mission et informe le lecteur des motifs de la mission et des résultats escomptés.
4.
L’exposé du périmètre de la mission précise les activités auditées et peut comporter des informations complémentaires telles que la période couverte et les activités connexes non examinées afin de délimiter l’intervention. Il peut préciser la nature et l’étendue des travaux réalisés.
5.
Les résultats comprennent les observations, les conclusions, les opinions, les recommandations et les plans d'actions.
6.
Les observations sont des exposés pertinents des faits. L’auditeur interne communique les observations nécessaires pour soutenir ses conclusions et recommandations, et éviter les malentendus. L’auditeur interne peut communiquer de manière informelle les informations ou observations moins importantes.
© IFACI - décembre 2012
219
MPA 2400
La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions.
7.
Les observations et recommandations sont le résultat d’un processus de comparaison d’un référentiel (la situation normale) et d’un fait (la situation actuelle). Qu’il y ait ou non constat d’un écart, l’auditeur interne dispose d’éléments sur lesquels fonder son rapport. Lorsque les situations sont conformes au référentiel, il peut être approprié de faire état dans le rapport d’audit d’un fonctionnement satisfaisant. Les observations et recommandations sont fondées sur les caractéristiques suivantes : des référentiels : les normes, mesures ou exigences requises, utilisés pour évaluer ou vérifier (la situation normale) ; des faits : les preuves factuelles identifiées par l’auditeur interne au cours de son examen (la situation actuelle) ; des causes : la raison de la différence entre les situations attendues et existantes; des conséquences : le risque ou le danger encouru par l’organisation ou d'autres, du fait que les situations diffèrent du référentiel (l’impact de la différence). Pour déterminer l'importance du risque ou de l'enjeu, les auditeurs internes prennent en considération les conséquences de leurs observations et recommandations sur le fonctionnement et les états financiers de l'organisation ; les observations et recommandations peuvent inclure les réalisations de l’entité auditée, des questions connexes et des informations destinées à étayer les conclusions.
8.
Les conclusions et les opinions sont les évaluations de l’auditeur interne sur les conséquences des observations et recommandations sur les activités auditées. Habituellement, elles situent les observations et recommandations dans la perspective de leurs implications globales. Les conclusions de la mission sont clairement exposées dans le rapport d’audit. Elles peuvent porter sur l'ensemble du champ audité ou sur des aspects particuliers. Elles peuvent exposer, entre autres, dans quelle mesure les objectifs opérationnels et les programmes sont conformes à ceux de l’organisation, si les buts et objectifs de l'organisation sont atteints, et si l’activité examinée fonctionne comme prévu. L’opinion peut consister en une évaluation globale des contrôles ou être limitée à des contrôles spécifiques ou certains aspects de la mission.
9.
L’auditeur interne peut communiquer des recommandations sur les améliorations et faire état des fonctionnements satisfaisants et des mesures correctives. Les recommandations sont fondées sur les observations et conclusions de l’auditeur interne. Elles appellent des actions destinées à corriger les situations existantes ou à améliorer le fonctionnement et peuvent suggérer des approches visant à corriger ou à améliorer le fonctionnement, approches que le management peut utiliser comme guide pour l’atteinte des résultats fixés. Les recommandations peuvent être de nature générale ou spécifique. Par exemple, l’auditeur interne peut recommander une ligne de conduite générale et des propositions spécifiques de mise en œuvre. Dans d’autres cas, l’auditeur interne peut suggérer un examen ou une étude complémentaire.
220
© IFACI - décembre 2012
modalités Pratiques d’Application
10. L’auditeur interne peut communiquer sur les réalisations de l’audité, qu'il s'agisse d'améliorations apportées depuis le dernier audit, ou de la mise en place d’activités bien maîtrisées. Cette information peut être nécessaire pour représenter fidèlement les conditions actuelles d’exercice, offrir une perspective et assurer un équilibre dans le rapport d’audit. 11. L’auditeur interne peut communiquer les points de vue de l’audité sur les conclusions ou recommandations de l’audit. 12. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtient l’accord de l'audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélioration des activités. Si l’auditeur interne et l’audité ne s’entendent pas sur les résultats de l’audit, le rapport d'audit mentionne les deux positions ainsi que les raisons du désaccord. Les commentaires écrits de l’audité peuvent être inclus en annexe au rapport, dans le corps du rapport ou dans une lettre introductive. 13. Il peut ne pas être opportun de communiquer certaines informations à tous les destinataires du rapport, notamment lorsqu’il s’agit de renseignements couverts par le secret professionnel, protégés ou relatifs à des actes irréguliers ou illégaux. Ces informations sont alors incluses dans un rapport distinct. Si les faits rapportés impliquent la direction générale, le rapport est adressé au Conseil. 14. Les rapports intermédiaires sont écrits ou oraux, et peuvent être transmis d'une manière officielle ou informelle. Des rapports intermédiaires sont utilisés pour communiquer des informations nécessitant une attention immédiate, pour signaler un changement dans le champ de la mission ou pour informer le management de l’avancement des travaux lorsque la mission est de longue durée. L’emploi de rapports intermédiaires ne réduit ni n’élimine la nécessité d'un rapport définitif.
MPA 2400
15. Un rapport signé est émis à la fin des travaux. Des notes de synthèse mettant en évidence les résultats de la mission sont recommandées pour les supérieurs hiérarchiques de l’audité ; elles peuvent être émises séparément ou conjointement avec le rapport définitif. Le terme « signé » signifie que l'auditeur autorisé signe manuellement ou électroniquement le rapport ou la lettre de couverture. Le responsable de l’audit interne détermine l’auditeur interne autorisé à signer le rapport. Si les rapports d'audit sont diffusés par des moyens électroniques, un exemplaire signé manuellement est archivé à l'audit interne.
© IFACI - décembre 2012
221
MPA 2420-1 Qualité de la communication Principale Norme de référence
2420 – qualité de la communication La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile. Interprétation : Une communication exacte ne contient pas d’erreur ou de déformation, et est fidèle aux faits sousjacents. Une communication objective est juste, impartiale, non biaisée et résulte d’une évaluation équitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est facilement compréhensible et logique. Elle évite l’utilisation d’un langage excessivement technique et fournit toute l’information significative et pertinente. Une communication concise va droit à l’essentiel et évite tout détail superflu, tout développement non nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité et l’organisation, et conduit à des améliorations lorsqu’elles sont nécessaires. Une communication complète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information significative et pertinente, ainsi que les observations permettant d’étayer les recommandations et conclusions. Une communication émise en temps utile est opportune et à propos, elle permet au management de prendre les actions correctives appropriées en fonction du caractère significatif de la problématique.
1.
Collecter, évaluer et synthétiser les données et les preuves avec soin et précision.
2.
Développer et énoncer les constats, conclusions et recommandations sans préjugé, parti pris, intérêt personnel ni influence inappropriée.
3.
Améliorer la clarté en évitant l’utilisation d’un langage excessivement technique et en fournissant toute l’information significative et pertinente dans ce contexte.
222
© IFACI - décembre 2012
modalités Pratiques d’Application
4.
Préparer des communications dont chaque élément est porteur de sens tout en étant concises.
Commentaire IFACI Les besoins et donc les critères de concision diffèrent selon les publics cibles. Les audités et leur hiérarchie immédiate veulent un document complet, intégrant une argumentation détaillée et éventuellement technique du raisonnement de l'auditeur. Ceci conditionne l’adhésion aux constats et aux recommandations des auditeurs. La direction générale veut être informée mais n'est pas en charge de la conduite opérationnelle de la résolution des problèmes. Elle veut donc l'essentiel, sous forme d’une contraction de texte sans la démonstration technique détaillée.
5.
Adopter un contenu et un ton utiles, positifs et bienveillants qui convergent avec les objectifs de l’organisation.
Commentaire IFACI Il est utile de donner aux audités des indications de lecture sous la forme de remarques liminaires. A titre d’exemples : • Ce document est un rapport d'audit interne. Il vous est demandé de ne pas le diffuser car il contient des informations confidentielles. Un rapport d'audit interne analyse une situation et met l'accent sur les risques et dysfonctionnements pour faire développer des actions de progrès mais il n’oublie pas de noter, en quelques phrases, ce qui fonctionne correctement. • Il contient des recommandations. Une recommandation est une piste d’amélioration proposée au responsable habilité à mener l'action. Celui-ci est en charge de développer et mettre en place une solution au problème soulevé : celle proposée ou une meilleure.
S’assurer que la communication est cohérente avec le style et la culture de l’organisation.
7.
Prévoir le délai de présentation des résultats de la mission afin d’éviter des contretemps excessifs.
MPA 2400
6.
© IFACI - décembre 2012
223
MPA 2440-1 Diffusion des résultats de la mission Principale Norme de référence
2440 – Diffusion des résultats de la mission Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. Interprétation : Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé. Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière responsabilité.
1.
Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveau de management approprié avant que le responsable de l’audit interne n'émette le rapport définitif. Ceci est habituellement effectué pendant le déroulement de la mission ou lors des réunions postérieurs aux travaux (par exemple, les réunions de clôture).
Commentaire IFACI Ceci sera facilité si le management audité a été considéré tout au long de la mission comme un partenaire. Ceci est le cas notamment lorsque des échanges périodiques ont lieu au cours de la mission sur le déroulement de celle-ci.
2.
Une autre technique consiste à faire revoir au management de l'activité auditée des points, observations et recommandations envisagés. Ces discussions et révisions aident à éviter les malentendus ou fausses interprétations des faits et offrent à l’entité auditée l’occasion de clarifier certains points particuliers et d’exprimer son opinion sur les observations, les conclusions et les recommandations.
3.
Le niveau hiérarchique des participants aux discussions et aux révisions varie selon l’organisation et la nature du rapport d’audit; elles impliquent généralement les personnes qui connaissent précisément les opérations auditées et celles qui sont en mesure d’autoriser la mise en œuvre de mesures correctrices.
4.
Le responsable de l’audit interne adresse le rapport définitif au management de l’activité auditée et aux membres de l’organisation qui peuvent s’assurer que les résultats de l’audit
224
© IFACI - décembre 2012
modalités Pratiques d’Application
recevront l’attention nécessaire et qui peuvent entreprendre les actions correctives qui s’imposent ou s’assurer que de telles mesures seront prises. Lorsque cela est approprié, le responsable de l’audit interne peut adresser une note de synthèse aux membres de l’organisation occupant un poste plus élevé dans la hiérarchie. Lorsque cela est prévu dans la charte d’audit interne ou par une règle interne, le responsable de l’audit interne communique également les résultats de la mission aux personnes intéressées ou concernées, telles que les auditeurs externes et le Conseil. Commentaire IFACI C’est donc en interne, et essentiellement dans le cadre du rapport d’audit, que ces faits matériels doivent être révélés. Il convient toutefois d’être bien conscient que des informations délicates destinées a priori à la direction générale et/ ou au comité d’audit sont susceptibles d’être connues à l’extérieur de l’organisation. C’est ainsi que les rapports d’audit interne peuvent être communiqués à la justice.
MPA 2400
Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d’audit interne sont tenus à la disposition des Commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement.
© IFACI - décembre 2012
225
MPA 2440-2 Communication d’informations sensibles dans ou en dehors de la ligne hiérarchique Principale Norme de référence
2440 – Diffusion des résultats de la mission Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. Interprétation : Le responsable de l'audit interne a la responsabilité de la revue et de l’approbation du rapport définitif avant qu’il ne soit émis, et décide à qui et de quelle manière il sera diffusé. Lorsque le responsable de l’audit interne délègue ces fonctions, il/elle en garde l’entière responsabilité.
1.
Les auditeurs internes entrent souvent en possession d’informations très sensibles, qui sont importantes pour l’organisation et peuvent avoir des conséquences significatives. Ces informations peuvent concerner des risques, des menaces, des incertitudes, des fraudes, des gaspillages, des erreurs de gestion, des activités illégales, des abus de pouvoir, une mauvaise gestion mettant en danger la santé ou la sécurité publique, ou d’autres méfaits. Du reste, ces différents éléments peuvent porter préjudice à la réputation de l’organisation, à son image, sa compétitivité, sa réussite, sa viabilité, sa valeur boursière, ses investissements et ses actifs incorporels ou ses bénéfices.
2.
S’il estime que les informations nouvelles sont importantes et crédibles, l’auditeur interne les communique en principe, dans des délais appropriés, à la direction générale et au Conseil conformément à la Norme 2060 et à la MPA 2060-1. Cette communication suivra généralement la ligne hiérarchique normale pour l’auditeur interne.
3.
Si, à l’issue de ces discussions, le responsable de l’audit interne conclut que la direction générale expose l’organisation à un risque inacceptable et qu’elle ne prend pas les mesures appropriées, le responsable de l’audit interne doit alors présenter les informations et les divergences d’opinions au Conseil, conformément à la Norme 2600.
4.
Le scénario classique de communication par la ligne hiérarchique peut être accéléré, pour certains types d’événements sensibles, en vertu de la législation nationale, de la réglementation ou de pratiques communément admises. Par exemple, en cas de publication d’infor-
226
© IFACI - décembre 2012
modalités Pratiques d’Application
mations financières frauduleuses par une société cotée, la réglementation locale peut prévoir l’obligation d’informer sans délai le Conseil des circonstances entourant le risque de publication de rapports financiers erronés et ce, même si la direction générale et le responsable de l’audit interne sont d’accord sur les mesures à prendre. Dans certains pays, la législation et la réglementation indiquent que le Conseil devrait être informé de la découverte d’une infraction aux lois pénales, aux lois relatives aux titres de sociétés, à l’alimentation, aux stupéfiants ou à la pollution, ou de tout autre acte illégal, tel que la corruption ou toute autre forme de versement abusif effectué en faveur de fonctionnaires, de fournisseurs ou de clients. L’auditeur interne peut, dans certaines situations, faire face à un dilemme lorsqu’il envisage de communiquer des informations à des personnes à qui il n’est pas hiérarchiquement rattaché ou même à l’extérieur de l’organisation. Cette communication est communément désignée par l’expression « whistleblowing » (« droit d’alerte »). La divulgation d’informations négatives à une personne qui fait partie de l’organisation, mais sans passer par la ligne hiérarchique de l’auditeur interne relève du droit d’alerte interne, tandis que le droit d’alerte externe consiste à communiquer des informations à une administration ou une autre instance extérieure à l’organisation.
6.
La majorité des personnes qui lance une alerte interne divulgue des informations sensibles. Elles le feront d’autant plus facilement qu‘elles ont confiance dans la capacité des procédures et des dispositifs, en place dans l’organisation, à déclencher une investigation et les mesures appropriées en cas d’allégation d’opération illégale ou abusive. Toutefois, certaines personnes en possession d’informations sensibles peuvent décider de les divulguer en dehors de l’organisation, en particulier si elles redoutent des représailles de la part de leur employeur ou de collègues, si elles doutent que l’affaire sera correctement investiguée, si elles pensent qu’elle sera dissimulée ou si elles détiennent la preuve d’une opération illégale ou abusive mettant en péril la santé, la sécurité ou le bien-être de membres de l’organisation ou de la communauté.
7.
Lorsqu’il choisit d’utiliser le droit d’alerte interne, l’auditeur interne doit évaluer d’autres moyens de signaler le risque à des personnes ou à des groupes qui ne font pas partie de sa ligne hiérarchique. Étant donné les répercussions et les risques liés à ces démarches, l’auditeur interne est tenu de peser le caractère probant et raisonnable de ses conclusions et d’examiner les avantages et les inconvénients de chacune des actions envisageables. Une action de ce type peut s’avérer appropriée pour l’auditeur interne si elle doit aboutir à l’adoption d’actions sérieuses par la direction générale ou par le Conseil. MPA 2400
5.
© IFACI - décembre 2012
227
Commentaire IFACI « Dans la mesure où les règles du jeu sont dûment établies et connues de toutes les parties prenantes, le Directeur de l'audit interne a un devoir d'alerte à l'égard du Comité d'audit pour des faits éminemment graves (délits sanctionnés par la loi pénale), commis ou tolérés par la Direction Générale et/ou pouvant mettre en danger la continuité de l'exploitation. […] En cas d'échec d'une telle procédure, il appartiendrait alors au Directeur de l'audit interne de prendre toutes ses responsabilités. L'Institut est par contre extrêmement réservé sur une permanente organisation formalisée et a fortiori institutionnalisée du rôle d'alerte de l'audit interne vis-à-vis des [régulateurs] bancaires et des auditeurs externes. Elle aurait pour conséquence, -grave-, de dénaturer [le rôle] l'audit interne […], [ce qui] serait susceptible d'affecter gravement [sa crédibilité à l’égard de l’exécutif de l’entreprise]. » Extrait de la Prise de Position sur le document consultatif du Comité de Bâle « relatif à l’audit interne dans les banques et aux relations entre les superviseurs bancaires et les auditeurs internes et externes ».
8.
De nombreux pays ont adopté une législation ou une réglementation en vertu desquelles les fonctionnaires qui ont connaissance d’actes illégaux ou contraires à l’éthique sont tenus d’informer un inspecteur général, un autre fonctionnaire ou un médiateur. Certaines lois nationales relatives au droit d’alerte protègent les citoyens qui s’apprêtent à divulguer certains types d’abus. Les activités énumérées dans la législation et la réglementation de ces pays comprennent notamment : les infractions criminelles et les autres infractions à la loi ; les actes assimilés à des erreurs de justice ; les actes mettant en péril la santé, la sécurité ou le bien-être des personnes ; les actes dommageables pour l’environnement ; les opérations destinées à dissimuler ou à couvrir les actes ci-dessus. D’autres pays ne proposent aucune directive ni aucun système de protection ou encore ne protègent que les salariés du secteur public (généralement ceux qui ont le statut de fonctionnaire).
9.
L’auditeur interne devra avoir connaissance de la législation et de la réglementation des divers pays dans lesquels opère l’organisation. Les juristes qui connaissent bien les aspects juridiques du droit d’alerte peuvent aider les auditeurs internes confrontés à ce problème. L’auditeur interne devra consulter un juriste s’il a des doutes sur les conséquences juridiques ou les dispositions légales en vigueur concernant le droit d’alerte interne ou externe.
10. De nombreuses associations professionnelles requièrent que leurs membres divulguent les agissements illégaux ou contraires à l’éthique. Le caractère distinctif d’une profession réside dans le fait qu’elle accepte des responsabilités étendues vis-à-vis du public et qu’elle entend préserver le bien commun. Outre l’examen des obligations légales, les membres de l’IIA, ainsi que tous les auditeurs internes CIA, doivent suivre les règles du Code de déontologie de la profession. 228
© IFACI - décembre 2012
modalités Pratiques d’Application
11. L’auditeur interne est tenu, par devoir professionnel et par la déontologie, de peser avec attention tous les éléments probants et le caractère raisonnable de ses conclusions, puis de décider si d’autres mesures sont nécessaires pour préserver les intérêts de l’organisation, de ses parties prenantes, de la communauté extérieure ou des institutions de la société. En outre, l’auditeur interne tiendra compte du principe de confidentialité du Code de déontologie de la profession, respectera la valeur et la confidentialité des informations et s’abstiendra de les divulguer sans y être dûment habilité, sauf en cas d’obligation légale ou professionnelle. L’auditeur interne peut consulter un juriste et, le cas échéant, d’autres experts, durant ce processus d’évaluation. Ces discussions peuvent s’avérer utiles, notamment parce qu’elles permettent d’obtenir un autre point de vue sur les circonstances de l’affaire et de recueillir un avis sur l’incidence et les conséquences potentielles des diverses actions envisageables. La démarche, adoptée par l’auditeur interne pour résoudre ce type de situation complexe et sensible, peut donner lieu à des représailles et, le cas échéant, engager sa responsabilité. 12. En définitive, l’auditeur interne prend une décision professionnelle à propos de ses obligations vis-à-vis de son employeur. La décision de communiquer, en dehors de la ligne hiérarchique, doit être prise en connaissance de cause. Elle est motivée par des preuves suffisantes et crédibles concernant les agissements en cause, et par la nécessité de prendre d’autres mesures en vertu d’une obligation légale, réglementaire, professionnelle ou déontologique. Commentaire IFACI
MPA 2400
Les organisations soumises à la section 301 de la loi américaine Sarbanes-Oxley Act (SOX), disposent d’un dispositif d’alerte de type whistleblowing. En France, les traitements des données concernés par un dispositif d’alerte professionnelle sont légaux s’ils répondent à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les seuls domaines financier, comptable, bancaire et de la lutte contre la corruption. Il s’agit de l’Autorisation unique N° 4 (AU-004) de la CNIL du 08/12/2005 http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/declarer-unfichier/declaration/mon-secteur-dactivite/mon-theme/je-dois-declarer/declaration-selectionnee/decmode/DISPLAYSINGLEFICHEDECL/dec-uid/4/
© IFACI - décembre 2012
229
MPA 2440.A2-1 Diffusion des résultats d’audit en dehors de l’organisation Principale Norme de référence 2440.A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de l’audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant pas partie de l’organisation : évaluer les risques potentiels pour l’organisation ; consulter la direction générale et/ou, selon les cas, un conseil juridique ; maîtriser la diffusion en imposant des restrictions quant à l’utilisation des résultats.
1.
La charte d'audit interne et celle du Conseil, les politiques de l’organisation ou les instructions spécifiées dans la lettre de mission peuvent contenir des lignes directrices relatives à la diffusion d’informations en dehors de l’organisation. À défaut de telles directives, le responsable de l’audit interne peut faciliter l’adoption de politiques appropriées concernant, par exemple : l’autorisation requise pour diffuser des informations en dehors de l’organisation ; le processus d’autorisation pour la diffusion d’informations en dehors de l’organisation ; les instructions concernant la nature des informations dont la diffusion est admise ou non ; les personnes extérieures autorisées à recevoir des informations et la nature des informations qui peuvent leur être communiquées ; les règles relatives à la confidentialité des données personnelles, les obligations réglementaires et les aspects juridiques à examiner avant toute diffusion d’informations en dehors de l’organisation ; la nature des conclusions, des conseils, des recommandations, des opinions, des instructions et autres informations pouvant être diffusés en dehors de l’organisation.
2.
Les demandes d’information peuvent concerner des données qui existent déjà, par exemple un rapport d’audit interne déjà diffusé, ou bien porter sur des informations qui n’ont pas encore été produites ou définies et qui résulteront d’une future mission ou d’un nouveau rapport d’audit interne. Pour les informations déjà existantes, l’auditeur interne examinera si elles peuvent être diffusées en dehors de l’organisation.
230
© IFACI - décembre 2012
modalités Pratiques d’Application
3.
Dans certaines situations, il est possible de produire un rapport ad hoc reposant sur un rapport ou des informations existant(s) pour permettre une diffusion appropriée en dehors de l’organisation.
4.
Avant toute diffusion d’informations en dehors de l’organisation, il convient d’examiner les points suivants : l’intérêt d’un accord écrit avec le destinataire prévu concernant les informations à diffuser et les responsabilités de l’auditeur interne ; l’identification des fournisseurs et des canaux d’information, des signataires du rapport, des destinataires des informations et des personnes ayant un lien avec le rapport ou les informations diffusées ; l’identification des objectifs, des limites et des procédures à respecter pour produire les informations concernées ; la nature du rapport ou des autres informations communiquées, notamment les opinions, les recommandations, les réserves, les limitations et les types de certification ou de déclaration à fournir ; les droits de reproduction, l’utilisation prévue des informations et les restrictions concernant la diffusion ou le partage ultérieur des informations.
5.
Si un auditeur interne découvre des informations censées être communiquées à la direction générale ou au Conseil au cours d’une mission et que ces données sont soumises à une obligation de communication externe, le responsable de l’audit interne doit établir une communication appropriée avec le Conseil à ce sujet.
Commentaire IFACI
MPA 2400
Des informations délicates destinées, a priori, à la direction générale ou au comité d’audit étant susceptibles d’être connues à l’extérieur de l’organisation, il convient de présenter les faits dont ont eu connaissance les auditeurs internes avec intelligence, prudence et circonspection.
© IFACI - décembre 2012
231
232
© IFACI - décembre 2012
modalités Pratiques d’Application
mPA SÉrIE 2500
© IFACI - décembre 2012
233
MPA 2500
SurVEIllANCE DES ACtIoNS DE ProgrèS
234
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2500-1 Surveillance des actions de progrès Principale Norme de référence
2500 – Surveillance des actions de progrès
1.
Pour être en mesure de surveiller efficacement les suites données aux résultats communiqués au management, le responsable de l’audit interne établit des procédures couvrant les aspects suivants : le délai dans lequel le management doit répondre aux observations et recommandations de l'audit ; l’évaluation de la réponse du management ; la vérification de la réponse (si nécessaire) ; la réalisation d’une mission de suivi (si nécessaire) ; un processus pour porter, à l’attention du niveau approprié de la direction générale et du Conseil, les réponses/actions non satisfaisantes et l’acceptation du risque qui en résulte.
2.
Si certaines observations et recommandations de l'audit sont d’une importance telle qu’elles nécessitent une action immédiate de la part du management ou du Conseil, l'audit interne surveille la réalisation des actions entreprises jusqu’à ce que l’observation soit levée ou que la recommandation soit mise en œuvre.
3.
L’audit interne peut efficacement surveiller les progrès en : notifiant les observations et recommandations de l'audit aux niveaux appropriés du management responsables d’entreprendre les actions ; en collectant et en évaluant les réponses du management et les propositions de plan d’action par rapport aux observations et recommandations de l'audit, pendant la mission ou dans un délai raisonnable après la communication des résultats de la mission. Les réponses sont d’autant plus utiles qu’elles comportent des informations suffisantes pour que le responsable de l’audit interne puisse en apprécier la pertinence et le calendrier des actions proposées ; en obtenant du management des mises à jour périodiques permettant d’apprécier l'état d’avancement de ses actions pour remédier aux observations et/ou mettre en œuvre les recommandations ;
© IFACI - décembre 2012
235
MPA 2500
Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.
en obtenant et en évaluant les informations en provenance d’autres entités de l’organisation ayant reçu la responsabilité du suivi ou de la réalisation d’actions correctives ; en rendant compte à la direction générale et/ou au Conseil de l’avancement des réponses aux observations et recommandations de l'audit.
236
© IFACI - décembre 2012
modalités Pratiques d’Application
MPA 2500.A1-1 Processus de suivi de la mission Principale Norme de référence
1.
Les auditeurs internes déterminent si le management a entrepris les actions correctrices ou mis en œuvre les recommandations. Ils s’assurent que les résultats escomptés sont atteints, ou que la direction générale ou le Conseil ont accepté le risque de ne pas engager d’actions ou de ne pas mettre en œuvre les recommandations.
2.
Le suivi est un processus par lequel les auditeurs internes évaluent le caractère approprié, effectif et opportun des actions entreprises par le management, en réponse aux observations et recommandations, y compris celles émises par les auditeurs externes ou d'autres intervenants. Au cours de ce processus il convient également de déterminer si la direction générale et le Conseil ont assumé le risque de ne pas entreprendre d’action correctrice en réponse aux observations.
3.
La charte d’audit interne devra définir la responsabilité du suivi. Le responsable de l’audit interne fixe la nature, le calendrier et l'étendue du suivi en considérant les facteurs suivants : l’importance des observations et recommandations ; le niveau d’effort et le coût nécessaire pour corriger les situations énoncées; l’impact que pourrait avoir l’échec de l’action corrective ; la complexité de l’action corrective ; les délais.
4.
Le responsable de l’audit interne assure la planification des activités de suivi dans le cadre de l’élaboration des programmes de travail. La planification du suivi est fondée sur les risques encourus et leurs impacts, ainsi que sur le niveau de difficulté et l’importance du délai de mise en œuvre des actions correctrices.
5.
Lorsque le responsable de l’audit interne juge que la réponse orale ou écrite du management indique que l'action entreprise est suffisante par apport au niveau d’importance des observations et des recommandations, les auditeurs internes peuvent en assurer le suivi dans le cadre de la mission suivante.
© IFACI - décembre 2012
237
MPA 2500
2500.A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le management ou que la direction générale a accepté de prendre le risque de ne rien faire.
6.
Les auditeurs internes vérifient si les actions entreprises suite aux observations et recommandations corrigent les situations sous-jacentes. Les activités suivies devront être convenablement documentées.
238
© IFACI - décembre 2012