DIRECTIVES SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTANA EXPO-2017»

Transcription

1 «APPROUVÉ» par la décision du Conseil des Directeurs de la SA «CN «Astana EXPO-2017» du 29 août 2013 Protocole N 6 DIRECTIVES SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTANA EXPO-2017» Astana 2013

2 Les Directives sur les Travaux du Service d audit interne 1. Dispositions Générales 1. Ces Directives sur les travaux du Service d audit interne. (Ci-après, les Directives) spécifient les exigences pour l élaboration du plan d audit annuel du Service d audit interne, la préparation et la réalisation d une Mission d audit, le rapport de l audit, le suivi de la mise en œuvre des recommandations et la composition des documents délivrés par le Service d audit interne de la SA «CN «Astana EXPO » (ci-après, le Service). 2. Les principales objectifs et fonctions exercées par le Service, ses droits, pouvoirs et responsabilités, l interaction avec le Conseil de Surveillance et le Conseil des Directeurs de la SA «NC «Astana EXPO-2017» sont définies par le Règlement sur le Service d audit interne de la Société, approuvé par le Conseil des Directeurs. 2. Rédaction du plan d audit annuel 3. Le Service doit commencer l élaboration du plan d audit annuel pour l année à venir au plus tard le 1 er novembre de l année en cours. 4. Les procédures préalables à l élaboration du plan d audit annuel est de compiler/mettre à jour les plans (liste) des domaines contrôlés, qui sont déterminés sur la base de l ensemble des processus d affaires de la Société. 5. La carte des domaines contrôlés doit être développée sur la base de l approche orientée sur les risques, en tenant compte de la cartographie des risques, l identification des priorités du Service, qui doivent être fournis par le Conseil de surveillance de la Société. Le Conseil de surveillance est responsable de l efficacité des systèmes de gestion des risques et des contrôles internes. 6. S il n y a pas d évaluation formelle des risques de la Société, le Chef du Service utilise sa propre opinion sur les risques après la consultation avec les chefs des divisions structurelles et le Conseil des Directeurs. 7. Le Service doit évaluer l efficacité et contribuer à l amélioration de la gestion des risques de la Société, et aider à la gestion des risques en faisant des recommandations basées sur la Mission d audit et les informations fournies. 8. En déterminant la portée du plan d audit annuel, le Service doit considérer les points suivants (sans se limiter) : 1) les ressources du Service devraient être concentrées sur les processus d affaires et sur les activités de la Société qui montrent les risques les plus élevés ; 2) le plan d audit doit comprendre les risques identifiés par le Conseil des Directeurs de la Société en tant que «risques clés» («élevés») à la suite de l évaluation des risques effectuée par le Conseil de Surveillance de la Société ; 2

3 3) le plan d audit doit comprendre un nombre suffisant de risques non-clé (modérés) et de faibles risques pour confirmer l adéquation des critères de conformité de l évaluation des risques et d assurer une couverture complète de l audit ; 4) les changements dans la structure d entreprise de la Société ; 5) l information, à la disposition du Service sur des domaines spécifiques de la Société, en particulier, sur l efficacité du contrôle interne et la gestion des risques ; 6) les propositions du Conseil de Surveillance de la Société et de ses divisions structurelles pour l audit. 9. Le projet du plan d audit annuel pour l année à venir, accordé avec le Comité de Surveillance du Conseil des Directeurs de la Société (ci-après, le Comité), sera soumis à l approbation du Conseil des Directeurs de la Société au plus tard le 1 er décembre de l année en cours. En parallèle, le calendrier de la Mission d audit doit être réglé en vue d avoir le moins impact possible sur les activités courantes de l entité auditée. Le Service doit fournir une note explicative sur la justification du plan d audit avec le projet de plan d audit annuel. 10. Le Service doit examiner périodiquement le plan d audit annuel en vue d apporter des modifications et des ajouts de la manière prescrite (par exemple, dans le cadre des nouvelles tâches mises par le Conseil des Directeurs et le Comité). 3. La Rédaction de la Mission d Audit 11. Le Service doit élaborer et documenter le processus de planification pour chaque Mission d audit. 12. Le processus de planification des Missions d audit comprend les étapes suivantes : 1) définition des objectifs de la Mission d audit ; 2) pré-planification de la Mission d audit ; 3) détermination des ressources pour effectuer la Mission d audit ; 4) rédaction de la Mission d audit. 13. Chaque Mission d audit doit avoir défini des objectifs qui dépendent du type de l audit : audit opérationnel ou financier, audit de la conformité ou audit des systèmes d information. Les objectifs de la Mission d audit sont à la base du processus de la planification qui affecte l efficacité du processus d audit interne. Les objectifs doivent être clairement définis et compris par le Service et l entité auditée. 14. Pendant la phase de pré-planification de la Mission d audit, le Service effectue le suivant (sans s y limiter) : 1) la collecte, l analyse des informations et documents relatifs à l entité auditée ; 2) la détermination des objectifs des activités de l entité auditée et des contrôles internes utilisés ; 3) l identification des problématiques qui sont devenus connues lors de la rédaction de la Mission d audit ; 3

4 4) l étude des mesures mises en œuvre après l audit précédent, des matières des inspections effectuées par les autorités de réglementation et de surveillance (le cas échéant) ; 5) l étude des résultats de l évaluation des risques relatifs à l entité auditée ; 6) l étude de l efficacité de la direction de l entité auditée. 15. Le Service doit identifier les ressources humaines nécessaires pour atteindre les objectifs de la Mission d audit. La composition de l équipe d audit doit être déterminée par la nature et la complexité de la Mission d audit, les contraintes du temps et de la disponibilité des ressources réelles. 16. La Mission d audit est rédigée par le Chef de la Mission d audit et est approuvée par le Directeur du Service. La Mission d audit doit contenir les informations suivantes : 1) le nom de l entité auditée ; 2) le but de la Mission d audit ; 3) la période d audit ; 4) la liste des opérations / procédures (questions) liées à l audit interne ; 5) le calendrier de la Mission d audit ; 6) la composition de l équipe d audit ; 7) la liste des informations demandées, et d autres matériaux nécessaires à l équipe d audit et préparés par le personnel de l entité auditée avant la mise en œuvre de la Mission d audit. 17. La Mission d audit est présentée à l entité auditée avant d effectuer la Mission d audit pour informer sa gestion sur l audit à venir et pour prévoir suffisamment du temps pour se préparer à l audit interne. La précaution de l audit interne signifie que chaque Mission est planifiée et le personnel de l entité auditée est informé sur le temps, les processus d affaires, les procédures et les critères de la Mission d audit afin de s assurer que les auditeurs internes bénéficient du niveau de confiance nécessaire et d exclure la possibilité que les employés de l entité auditée échappent à fournir les informations requises. 4. Exécution de la Mission d audit 18. Avant de procéder à l audit interne selon la Mission d audit, le Chef de la Mission d audit organise une réunion préliminaire avec la direction de l entité auditée. Lors de cette réunion, le Chef de la Mission d audit raconte sur la Mission d audit, l équipe d audit, informe sur la procédure et le calendrier de la Mission d audit, les conditions de travail des auditeurs internes et la procédure pour l interaction avec l entité auditée lors de l audit interne. 19. Il est particulièrement important pour le Service de recevoir des informations sur l organisation des procédures de contrôle interne de l entité auditée. En parallèle, il est nécessaire d étudier les éléments interdépendants suivants liés au système de contrôle interne : 1) l environnement de contrôle ; 4

5 2) l évaluation des risques ; 3) les activités de contrôle ; 4) la collecte et l analyse de l information et de la communication de cette information ; 5) le monitoring et la correction des erreurs. 20. Le service doit examiner en profondeur les éléments visés à l alinéa précédent, et de comprendre que le système de contrôle interne ne peut être considérée effective que lorsque : 1) les documents établissant les procédures de contrôle interne sont approuvés et examinés périodiquement par les organes de la Société ; 2) les procédures d audit interne sont approuvées et mises en œuvre efficacement par la direction de l entité auditée ; 3) l environnement de contrôle est établi, qui exprime et démontre l importance du contrôle interne et des normes éthiques pour les employés de tous les niveaux ; 4) il y a un partage des compétences / responsabilités entre les employés de la Société et il n y a aucun conflit d intérêts dans l exercice de leurs fonctions ; 5) les procédures et les processus nécessaires sont développés pour identifier et suivre les changements et surveiller les risques existants ; 6) l infrastructure nécessaire est créée pour assurer l efficacité des contrôles internes ; 7) les canaux sûrs et efficaces sont mis en place pour diffuser l information aux employés de la Société ; 8) la sécurité des systèmes d information est assurée ; 9) la livraison en temps opportun de l information est assurée sur les lacunes des procédures de contrôle interne au Conseil des Directeurs et/ou au Conseil de Surveillance. Pour déterminer l efficacité du contrôle interne, l auditeur doit surtout examiner l action (ou l inaction) de la direction de la Société (ou de l entité auditée), visant à intégrer les procédures de contrôle interne dans tous les processus d affaires, l évaluation des risques et la efficacité des mesures de contrôle utilisées pour atténuer les effets des risques. 21. Le Service peut fournir un appui consultatif lors de l élaboration des procédures de contrôle interne, mais ne doit pas être responsable de la création / construction, le maintenu de l efficacité et de la coordination du système de contrôle interne, car c est une tâche directe et immédiate du Conseil de Surveillance. 22. Le Service doit s assurer qu il existe des procédures réglementées de la Société pour surveiller la circulation de l information (réception et transmission de l information), et la sécurité de l information. En outre, il est nécessaire d examiner les plans d action élaborés pour les situations de force majeure l aide de la sauvegarde (backup) des systèmes et/ou des dispositifs automatisés, y compris la restauration des systèmes critiques pour la Société pris en charge par un prestataire de services externe, ainsi que la faisabilité des plans en cas de circonstances imprévues. 5

6 En outre, il est nécessaire de considérer la description des procédures de protection contre l accès non autorisé et la divulgation d informations confidentielles et l utilisation d informations confidentielles dans des intérêts personnels. 23. Tous les résultats du Service doivent être fondés sur les preuves d audit, qui seront à la base des conclusions de l audit interne et des recommandations fournies. Ainsi, le Service doit recueillir, analyser, interpréter et documenter l information pour confirmer les conclusions de l audit. 24. Une preuve de l audit doit être compétente et suffisante. Pour faire cela, les éléments de preuve recueillis de diverses sources (internes et externes) doivent être cohérents, pertinents et significatifs. 25. Le service doit discuter des résultats identifiés avec des personnes exerçant les procédures de contrôle interne relatives à déterminer les raisons des écarts. Toutes les constatations et les causes d non-conformités doivent être décrites par les auditeurs internes dans la documentation. Les résultats identifiés et les causes d non-conformités doivent être présentés à la direction de l entité auditée, qui doit indiquer son accord ou son désaccord par écrit dans les deux jours ouvrables. En cas de désaccord de la direction de l entité auditée, elle doit présenter une justification de sa position dans un délai déterminé. 26. Le Chef de la Mission d audit doit examiner toutes les conclusions essentielles et importantes avec la direction de l entité auditée quand ces conclusions se présentent et de maintenir une liste de tous les résultats dans le fichier d audit. 27. Les recommandations formulées sur les résultats mineures éventuellement faites oralement (en consultation avec le Chef de la Mission d audit) doivent également être enregistrés dans la documentation pertinente. 28. Si nécessaire, la durée de la Mission d audit peut être prolongée par le Directeur du Service après consultation avec le Président du Comité. 29. Le Service est d évaluer et de formuler des recommandations appropriées pour améliorer les voies et moyens de renforcer l efficacité du contrôle interne, gestion des risques et d autres questions relevant de la compétence du Service. 30. Les employés du Service doivent informer le Chef de la Mission d audit et le Directeur du Service sur tous les problèmes et les situations inhabituelles survenues au cours de l exécution de la Mission d audit. 5. Rapport d audit après l exécution des Missions d audit 31. Après la rédaction du rapport d audit, le Chef de la Mission d audit et/ou le Directeur du Service organise et conduit une réunion avec la direction de l entité auditée pour négocier et parvenir à une compréhension mutuelle sur le contenu du projet du rapport d audit et les questions non abordées dans le rapport. Après la réunion, le projet du rapport d audit peut être ajusté selon les preuves présentées par la direction de l entité auditée. S il existe des différences importantes 6

7 dans les opinions, le Service doit décrire sa propre opinion dans le rapport d audit et refléter les commentaires des personnes responsables de l entité auditée. 32. Le rapport d audit doit comprendre (sans s y limiter) : 1) Objectifs et portée de l audit ; 2) Information objective, constructive et complète pour permettre aux bénéficiaires du rapport de comprendre les résultats de l audit interne ; 3) les problèmes identifiés par l auditeur ; 4) les conclusions de l auditeur ; 5) les recommandations du Service que l entité auditée doit suivre pour corriger les non-conformités trouvées. Les recommandations contenues dans le rapport d audit doivent indiquer clairement ce qui doit être changé ou corrigé. Chaque recommandation doit être ciblée et correspondre à la description des faits, qui, ensemble, constituent une constatation de l audit. Les recommandations sont adressées à des personnes qui ont le pouvoir de prendre des mesures appropriées ; 6) les commentaires de la direction de l entité auditée au regard des conclusions et le plan d actions correctives et/ou préventives proposées par eux. Si la direction ne croit pas que l entité auditée doit accomplir d actions correctives, l information doit être fournie pour justifier cette position ; 7) la conclusion générale du Service sur l efficacité des systèmes de contrôle interne et de gestion des risques (y compris les renseignements sur les risques et les non-conformités significatifs) ; 8) des informations sur des contraintes importantes pour le Service en remplissant sa Mission de manière efficace. 33. Dans les quinze jours ouvrables après la réception d un projet de rapport d audit sur l entité auditée, la direction de l entité doit élaborer un plan d actions correctives sur les non-conformités trouvées. Si le plan d action corrective nécessite plus de temps pour être préparé, la direction de l entité auditée doit présenter une explication de l extension du temps qui est nécessaire pour l exécution du plan après l accorder avec le Directeur du Service. Le plan de mesures correctives doit être signé par le Directeur de l entité auditée et le Président du Conseil de Surveillance de la Société. 34. Le Service doit rendre la version finale du rapport d audit dans un délai n excédant pas quinze jours ouvrables après la réception du plan de mesures correctives de la direction de l entité auditée. Le rapport d audit doit être signé par le Chef de la Mission d audit, le Directeur du Service, le chef de l entité auditée et le Président du Conseil de Surveillance. Le rapport d audit doit être signé par le chef de l entité auditée et le Président du Conseil de Surveillance dans les dix jours ouvrables après la réception. 35. Si la version finale du rapport d audit contient une erreur significative décelée plus tard, le Directeur du Service doit communiquer les informations corrigées à tous les destinataires du rapport d audit. 36. Les rapports faits par le Service sur les cas de vol de biens de la Société doivent être soumis au Conseil des Directeurs et le Comité immédiatement après leur préparation (signature). 7

8 6. Surveillance de l exécution des recommandations émises 37. La surveillance de l exécution des recommandations émises précédemment doit être effectuée sur une base trimestrielle par le Service sur toutes les constatations importantes de l audit. Le but de la surveillance est de déterminer si les mesures sont prises pour assurer l éradication (prévention) des risques identifiés, ainsi que pour déterminer l exécution du plan de mesures correctives pour les non-conformités trouvées. 38. La direction de l entité auditée est responsable de l exactitude des informations fournies au Service. Si nécessaire, le Service peut procéder à une vérification de la conformité entre les réponses et la réalité afin de déterminer si les mesures prises par l entité auditée correspondent aux observations consignées dans le rapport d audit ou d autres documents pertinents. En cas de fourniture d informations fausses, trompeuses, incompétentes, désuètes ou incomplètes, le Service en informe le Conseil des Directeurs, le Comité et le Conseil de Surveillance de la Société pour qu ils prennent des actions appropriées. 39. Si la direction de la Société (l entité auditée) a pris un risque qui est inacceptable pour la Société, ou les mesures de contrôle prises sont insuffisantes pour le niveau du risque, ainsi que si les recommandations ne sont pas suivies, le Directeur du Service en informe le Conseil des Directeurs et le Comité. 40. L information sur les résultats de la surveillance de la mise en œuvre des recommandations émises est utilisée par les auditeurs internes dans leur planification des Missions d audit, ainsi que d autres cas nécessaires, par exemple dans la préparation des avis sur les projets de documents internes 41. Toutes les informations sur les résultats de la surveillance de la mise en œuvre des activités/ recommandations émises, y compris les recommandations ellesmêmes, doivent être enregistrées par le Service dans un fichier d audit, séparément des recommandations émises par les auditeurs externes. 7. Documentation de travail 42. La documentation de travail réfère aux documents et d autres matériaux préparés, reçus ou enregistrés par le Service dans le cadre de l audit interne. Les documents de travail peuvent être présentés sous forme de données enregistrées sur papier, sous forme électronique ou sous une autre forme. 43. Les Documents de travail sont utilisés : 1) pour la planification et la conduite de l audit interne ; 2) la mise en œuvre de la surveillance et de l audit effectuée par les auditeurs internes ; 3) pour la description des preuves d audit obtenues afin de confirmer les conclusions d audit indiquées dans le rapport d audit. 8

9 44. L information qui est inclue dans la documentation de travail doit être suffisante, raisonnable, importante, utile et fournir une base solide pour confirmer les constatations faites et pour formuler des recommandations. 45. La documentation de travail doit être compilée et systématisée pour correspondre aux circonstances de chaque Mission d audit et les besoins des auditeurs internes dans le cadre de la mise en œuvre de la Mission. Le volume du fichier de la documentation de travail (des dossiers) doit être tel que dans le cas de la nécessité, le transfert de travail à un autre auditeur interne doit permettre à l auditeur de recevoir cette documentation pour comprendre le travail effectué et la validité des conclusions du précédent auditeur interne. 46. Toute la documentation de travail (l information) contenue dans les ordinateurs des employés du Service doit être utilisée conjointement, et avec le licenciement d un auditeur interne, les informations doivent être transmises au Directeur ou au Directeur adjoint du Service. 8. Dispositions Finales 47. Les amendements et les ajouts à ces directives peuvent être faits par la décision du Conseil des Directeurs avec l approbation préalable du Comité. 9