Mise à jour : janvier 2014 Chapitre 2 L encadrement de l audit interne
Table des matières 1. La Politique sur l audit interne de l Université Laval... 1 2. Les normes internationales pour la pratique professionnelle de l audit interne... 2 3. Le code de déontologie... 2 4. Les autres cadres de référence... 3 4.1 L audit de l optimisation des ressources... 3 4.2 La reddition de comptes et l évaluation de la performance... 3 4.3 Les technologies de l information... 3
Les activités d audit interne s exercent suivant un encadrement réglementaire et normatif. L encadrement réglementaire concerne la raison d être de l audit interne et la nature des missions qui sont confiées au Bureau de l audit interne. L encadrement normatif porte sur les normes et les modalités relatives à la pratique professionnelle de l audit interne. 1. La Politique sur l audit interne de l Université Laval La norme 1000 Mission, pouvoirs et responsabilités, de l Institut des auditeurs internes, établit que la mission, les pouvoirs et les responsabilités du responsable du bureau de l audit interne doivent être formellement définis dans une politique, être cohérents avec la définition de l audit interne, le code de déontologie et les normes. Le responsable du bureau de l audit interne doit revoir périodiquement la politique et la soumettre à l approbation du conseil d administration. La Politique sur l audit interne, revue par le Bureau et adoptée par le Conseil d administration en 2011, vise à : garantir et à confirmer l indépendance du Bureau et à en préserver la crédibilité; apporter à l Université un cadre de gestion de l audit interne permettant de : préciser la mission, les pouvoirs et les responsabilités du Bureau; faire connaître le fonctionnement et les processus de l Université en matière d audit interne; normaliser les processus associés à l audit interne; préciser les modalités d application; définir le partage des responsabilités entre les principaux intervenants en matière d audit interne. Chapitre 2 L encadrement de l audit interne page 1
2. Les normes internationales pour la pratique professionnelle de l audit interne Les activités d audit interne sont assujetties aux normes internationales pour la pratique professionnelle édictées par l Institut des auditeurs internes. L Institut, créé en 1941 et dont le siège social est situé aux États-Unis, constitue le seul organisme international voué au développement et à la promotion de la profession d auditeur interne. Il regroupe au-delà de 200 000 membres répartis dans plus de 120 pays. La mission de l Institut est d aider ses membres dans la réalisation de leurs responsabilités professionnelles. Les normes internationales pour la pratique professionnelle de l audit interne, entrées en vigueur en janvier 2002 et révisées en janvier 2009 et 2011, ont pour objet : de définir les principes fondamentaux que la pratique de l audit interne doit suivre; de fournir un cadre de référence pour la réalisation et la promotion d un large champ d intervention d audit interne apportant une valeur ajoutée; d établir les critères d appréciation du fonctionnement du bureau de l audit interne; de favoriser l amélioration des processus organisationnels et des opérations. Les normes se composent des normes de qualification, des normes de fonctionnement et des normes de mise en œuvre. Les normes de qualification énoncent les caractéristiques que doivent présenter les personnes accomplissant des activités d audit interne. Les normes de fonctionnement décrivent la nature des activités d audit interne et définissent des critères de qualité permettant d évaluer les services fournis. Tandis que les normes de qualification et les normes de fonctionnement s appliquent à toutes les activités d audit interne, les normes de mise en œuvre précisent les exigences relatives aux missions d audit particulières. 3. Le code de déontologie Il est attendu du personnel œuvrant dans un bureau de l audit interne qu il respecte et applique les principes de l intégrité, de l objectivité, de la confidentialité et de la compétence. Le code de déontologie promu par l Institut des auditeurs internes est observé par le personnel du Bureau de l audit interne. Page 2 chapitre 2 L encadrement de l audit interne
4. Les autres cadres de référence 4.1 L audit de l optimisation des ressources Comptables professionnels agréés du Canada (CPA Canada) a émis des normes pour encadrer les travaux d audit lorsqu ils sont effectués dans un contexte de l optimisation des ressources. Ces normes s apparentent à celles de l Institut des auditeurs internes. On peut les consulter à l adresse http://www.icca.ca/index.aspx (section Normes). 4.2 La reddition de comptes et l évaluation de la performance La Fondation canadienne pour la vérification intégrée (la FCVI) constitue un centre de référence pertinent lorsque les travaux d audit sont effectués dans un contexte de reddition de comptes et portent sur l évaluation de la performance. Cette fondation a publié plusieurs guides de référence qui rejoignent, sous certains aspects, les normes d audit de l optimisation des ressources publiées par CPA Canada. 4.3 Les technologies de l information Les référentiels en matière de technologie de l information se regroupent en quatre catégories, selon le domaine de l activité ou l objectif recherché : la gouvernance des technologies de l information, la sécurité informatique, la gestion de projets et les processus de service. Parmi les plus importants, se trouvent : les normes internationales sur la sécurité de l information ISO/CEI 9000, 20000, 27000 et 31000 de l Organisation internationale de normalisation; les bonnes pratiques ITIL (Information Technology Infrastructure Library) développées par le gouvernement britannique; les guides de référence COBIT, Val IT et Risk IT de l ISACA ; Les méthodologies PMI, OPM3 (Organisational Project Management Maturity Model) et PMBOK (Project Management Body of Knowledge) publiées par le Project Management Institute ; Le CMMI (Capability Maturity Model & Integration) développé par le Software Engineering Institute; Le modèle MEHARI (méthode harmonisée d analyse des risques en sécurité informatique), proposé par le Club de la Sécurité de l Information Français (le CLUSIF) ; La méthode EBIOS (expression des besoins et identification des objectifs de sécurité) développée par l Agence nationale de la sécurité des systèmes d information (ANSSI). Chapitre 2 L encadrement de l audit interne page 3