Cadre de Référence International des Pratiques Professionnelles de l Audit Interne

Edition 2013 Cadre de Référence International des Pratiques Professionnelles de l Audit Interne Inclus : Définition de l audit interne Code de déontologie Normes internationales Modalités Pratiques d Application (MPA) Dépliant L IFACI est affilié à The Institute of Internal Auditors

Réalisation : ebzone communication (www.ebzone.fr) - Impression : Imprimerie Compédit Beauregard Copyright 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Tous droits de reproduction réservés. Copyright IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés. Décembre 2012 ISBN : 978-2-915042-47-4 Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1 er de l article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.

Sommaire Avant-propos de l IFACI... 5 Préface... 7 Dispositions obligatoires... 13 Définition de l audit interne... 15 Code de déontologie... 17 Normes internationales... 23 Introduction... 25 Normes de qualification... 27 Normes de fonctionnement... 43 Glossaire... 63 Modalités Pratiques d Application... 73 MPA Série 1000 : Mission, pouvoirs et responsabilités... 75 MPA Série 1100 : Indépendance et objectivité... 79 MPA Série 1200 : Compétence et conscience professionnelle... 91 MPA Série 1300 : Programme d assurance et d amélioration qualité... 103 MPA Série 2000 : Gestion de l audit interne... 127 MPA Série 2100 : Nature du travail... 155 MPA Série 2200 : Planification de la mission... 183 MPA Série 2300 : Accomplissement de la mission... 195 MPA Série 2400 : Communication des résultats... 215 MPA Série 2500 : Surveillance des actions de progrès... 233 Inclus dans ce livret, le dépliant du Cadre de Référence International des Pratiques Professionnelles de l Audit Interne 3

4

Avant-propos de l IFACI Avant-propos de l IFACI Nous avons le plaisir de vous présenter en français la version actualisée du Cadre de Référence International des Pratiques Professionnelles (CRIPP) de l audit interne, applicable à partir du 1 er janvier 2013. Les modifications des normes (mise en évidence en gras) ont essentiellement pour objet de clarifier : La responsabilité individuelle des auditeurs internes en termes de conformité aux normes et celle du responsable de l audit interne. Les sujets pouvant alimenter la discussion avec le Conseil (Norme 1110 : Indépendance dans l organisation et Norme 2210.A3 : Critères adéquats d évaluation du dispositif de contrôle). La fréquence et le format des évaluations externes (Norme 1312). La nécessité de mettre à jour, en tant que de besoin, le plan d audit en cours d année (Norme 2010) La prise en compte des objectifs stratégiques dans l évaluation des processus de management des risques et de contrôle (Normes 2120.A1 et 2130.A1). Les responsabilités en matière de validation et de diffusion des conclusions de l audit interne (Norme 2440). Le suivi des risques acceptés par le management (Norme 2600 : Communication relative à l acceptation des risques). Par ailleurs, le glossaire est enrichi de nouvelles définitions sur : L opinion globale au niveau de la mission. L opinion globale Le «Conseil». La publication contient la traduction des composantes essentielles du CRIPP ou International Professional Practices Framework-IPPF de l IIA, à savoir : la définition de l audit interne le code de déontologie les Normes internationales les modalités pratiques d application (MPA) Un dépliant recense ces éléments ainsi que les guides pratiques et GTAG (Guides d audit des systèmes d information) disponibles sur le site Internet de l IFACI. Lorsque cela s est avéré nécessaire, l IFACI propose des commentaires appropriés. Pour cela, l IFACI remercie chaleureusement, pour leur forte implication et la pertinence de leurs contributions, les professionnels qui ont apporté leur contribution : Marie-Elisabeth Albert, La Poste Emeline Bredy, Agence Nationale pour la Rénovation Urbaine José Bouaniche, Caisse des dépôts et consignations Christophe Butikofer, SFR Julien Cornuche, SPB Pierre Drouard, Renault Benoît Harel, IFACI Certification Béatrice Ki-Zerbo, IFACI Jacques Renard, Consultant Comme vous l avez remarqué, ce cadre de référence n est pas figé car la profession continue et continuera d évoluer. Vous êtes donc invité à consulter régulièrement notre site Internet pour prendre connaissance de mises à jour. Ce cadre de référence actualisé témoigne du professionnalisme et de la vitalité de notre profession. Il contient les méthodes et pratiques les plus à même de répondre à vos besoins et aux attentes de vos organisations. Reportez-y-vous souvent et appliquez-le toujours. Philippe Mocquard Délégué Général 5

6

Préface Préface NNotre profession connaît des changements très rapides. C est dans ce contexte que le Conseil d administration de l Institute of Internal Auditors (IIA) a mis en place un comité de pilotage international et un groupe de travail pour réviser le Cadre de Référence des Pratiques Professionnelles ainsi que l organisation de l IIA en ce qui concerne les lignes directrices et les processus associés. Le groupe de travail a mis l accent sur la révision du périmètre du Cadre de Référence et sur l amélioration de la cohérence et de la transparence des processus d élaboration, de révision et de publication des lignes directrices. Les travaux se sont achevés avec l élaboration d un nouveau Cadre de Référence International des Pratiques Professionnelles (CRIPP) et la réorganisation du Conseil des Pratiques Professionnelles (CPP). Le CPP coordonne l approbation et la publication des lignes directrices du CRIPP comme mentionné dans le nouvel ordre de mission approuvé par le Conseil en Juin 2007. En général, un cadre de référence fournit une structure schématique permettant de comprendre la relation entre un corpus de connaissances et une ligne directrice. En tant que système cohérent, le cadre de référence permet d uniformiser l élaboration, l interprétation, l application des concepts et des méthodologies ainsi que les techniques utilisées dans un domaine ou une profession donnée. Justement, l objectif du CRIPP est d organiser, d une manière plus claire et plus opportune, les lignes directrices approuvées par l IIA. De ce fait, la position de l IIA en tant qu organe normalisateur de la profession d audit interne est renforcée au niveau mondial. En prenant en compte la pratique actuelle de l audit interne ainsi que son développement futur, le CRIPP aidera les professionnels et les parties prenantes du monde entier à être sensible à la demande croissante de services d audit interne d excellente qualité. Puisque le CRIPP est la structure conceptuelle qui organise les lignes directrices émises par l IIA, son périmètre a été réduit pour ne prendre en compte que les lignes directrices développées par les comités techniques internationaux de l IIA selon les procédures appropriées. On distingue deux catégories de lignes directrices approuvées par l IIA : des dispositions obligatoires. Le respect de ces éléments est exigé et la ligne directrice est élaborée selon le processus requis qui inclut une consultation publique. La conformité aux principes mis en exergue dans les lignes directrices obligatoires est indispensable pour la pratique professionnelle de l'audit interne et, des dispositions fortement recommandées. La conformité à ces lignes directrices, approuvées par l IIA, est fortement recommandée. Elles proposent des pratiques pour la mise en œuvre effective de la définition de l audit interne, du Code de Déontologie de l IIA et des Normes Internationales pour la Pratique Profession- nelle de l Audit Interne (Normes). 7

Le CRIPP comprend désormais les éléments suivants : Dispositions obligatoires Définition Eléments Code de déontologie Normes internationales pour la pratique professionnelle de l audit interne (Normes) Définition La définition de l audit interne établit l objectif fondamental, la nature et le champ d'application de l audit interne. Le Code de déontologie établit les principes et attentes régissant le comportement des individus et des organisations dans la conduite de l audit interne. Il décrit les règles minimales de conduite ainsi que des comportements attendus plutôt que des activités spécifiques. Les Normes sont des principes qui fournissent un cadre pour la réalisation des missions et la promotion de l audit interne. Elles se composent de Normes de qualification, de Normes de fonctionnement et de Normes de mises en œuvre. Les Normes sont des exigences obligatoires constituées : de déclarations sur les exigences fondamentales pour la pratique professionnelle de l audit interne et pour l évaluation de sa performance. Elles sont internationales et applicables au niveau du service et au niveau individuel. d interprétations clarifiant les termes ou les concepts utilisés dans les déclarations. Il est nécessaire de considérer le texte dans sa totalité (c està-dire les déclarations et les interprétations) afin de comprendre et d appliquer correctement les Normes. Les termes spécifiques utilisés dans les Normes sont explicités dans le Glossaire. 8

Préface Dispositions fortement recommandées Eléments Prises de position Modalités pratiques d application (MPA) Guides pratiques Définition Les Prises de position aident l ensemble des parties prenantes, y compris celles qui ne sont pas des professionnels de l audit interne, à comprendre les principaux enjeux en matière de gouvernance, de risque ou de contrôle. Elles précisent également le rôle et les responsabilités de l audit interne. Les Modalités Pratiques d Application fournissent une approche et une méthodologie mais ne précisent pas les processus et les procédures détaillées. Ce sont des lignes directrices qui aident les auditeurs internes dans l'application du Code de déontologie et des Normes ainsi que la promotion des meilleures pratiques. Ces pratiques concernent notamment : des problématiques internationales, nationales ou spécifiques à certains secteurs d'activité ; des missions d'audit spécifiques ; des questions légales ou réglementaires. Les guides pratiques sont des lignes directrices détaillées pour la conduite des activités d audit interne. Ce sont des processus et des procédures détaillés tels que des outils, des techniques, des programmes, des approches séquentielles (par exemple, des modèles de livrables). Les changements les plus significatifs du nouveau Cadre de Référence sont : les améliorations de processus. Elles se traduisent par une augmentation du type d éléments constitutifs du Cadre de Référence, une plus grande transparence et des cycles de révision définis pour toutes les lignes directrices. La périodicité de révision du CRIPP a été fixée à trois ans. Même si le contenu du CRIPP ne change pas forcément tous les trois ans, l IIA s engage à le réviser selon cette périodicité et à y apporter les modifications nécessaires. l exclusion de l'accompagnement au développement professionnel. Cet élément ne fait plus partie du Cadre de Référence. Il était constitué de données (par exemple, des supports de formation, des publications ou des rapports de recherche) que les auditeurs internes pouvaient utiliser pendant leurs travaux. Dans la mesure où le CRIPP ne prend en 9

considération que les lignes directrices approuvées par l'iia, ces données ne correspondent plus au nouveau Cadre de Référence tel que défini ci-dessus. l ajout des interprétations aux Normes pour préciser certains termes. Elles ne sont pas systématiques mais lorsqu elles sont nécessaires, elles suivent immédiatement la Norme concernée. la réduction du périmètre des modalités pratiques d application. Elles ne concernent que la méthodologie et l approche nécessaires à la mise en œuvre du Code de déontologie et des Normes. Les données actuelles sur les outils et les techniques ont été transférées dans les guides pratiques. L ajout des guides pratiques et des prises de position. Les guides pratiques sont des lignes directrices correspondant à des outils ou des techniques. Ils comprennent des processus et des procédures détaillés, des programmes, des approches séquentielles (par exemple, des modèles de livrables). Les prises de position concernent la vision de l IIA sur les rôles et responsabilités de l audit interne vis-à-vis d une problématique donnée. Par définition, l audit interne est une activité objective d assurance et de conseil qui contribue à la création de valeur ajoutée et à l amélioration des opérations d une organisation donnée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité. Au niveau mondial, l audit interne est exercé dans des environnements divers ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure diffèrent. De plus, les lois et les usages varient d un pays à l autre. Ces différences peuvent avoir une incidence sur la pratique de l audit interne dans chaque environnement. La mise en œuvre du CRIPP sera donc déterminée par l environnement dans lequel l audit interne assume les responsabilités qui lui sont assignées. Aucune information du CRIPP ne devrait être interprétée de manière contradictoire avec les lois et règlements applicables. Si dans certaines circonstances l information contenue dans le CRIPP est contradictoire avec la législation ou la régulation, les auditeurs internes sont encouragés à prendre contact avec l IIA ou un conseiller juridique pour avoir des lignes directrices complémentaires. Comme indiqué précédemment, le CRIPP est constitué de deux types de lignes directrices : 1. les lignes directrices obligatoires comprennent : la Définition de l audit interne ; le Code de déontologie ; les Normes. Le caractère obligatoire des Normes est renforcé par l utilisation du terme «Must». Ce mot est utilisé dans les Normes pour indiquer une exigence impérative. Dans certains cas exceptionnels, le vocable «Should» est utilisé dans les Normes lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances. Le respect des principes énoncés dans les lignes directrices obligatoires est indispen- 10

Préface sable pour que les auditeurs internes et l audit interne assument leurs responsabilités. Comme précisé dans le Code de Déontologie, les auditeurs internes doivent accomplir leurs missions conformément aux Normes. L expression «auditeurs internes» est utilisée pour désigner les membres de l Institut, les lauréats des certifications professionnelles proposées par l IIA ou les candidats à ces certifications, ainsi que les personnes qui réalisent des missions d audit interne conformément à la Définition de l IIA. Les lignes directrices obligatoires sont applicables aux individus et aux entités qui réalisent des missions d audit interne. 2. les lignes directrices recommandées comprennent : les prises de position ; les modalités pratiques d application ; les guides pratiques. Bien qu approuvées par l IIA et élaborées par un comité technique international de l IIA et/ou un institut, les lignes directrices fortement recommandées ne sont pas obligatoires. Elles ont été développées pour donner un large panel de solutions applicables pour répondre aux exigences obligatoires de l IIA. Les dispositions fortement recommandées ne donnent pas une réponse définitive à chaque contexte particulier. De ce fait, elles doivent être utilisées comme des guides. L IIA recommande le recourt à l avis d autres professionnels pour les questions relatives à certains situations particulières. Ces lignes directrices sont sensées être utilisées par des auditeurs internes compétents qui font preuve de jugement professionnel. Dans les prochaines années, avec leur implication dans le développement des lignes directrices, les auditeurs internes feront en sorte que le CRIPP continue à être plus robuste. Toutes les parties prenantes concernées sont invitées à faire des commentaires et des propositions à propos de l IPPF. Pour les avis professionnels, les commentaires et les suggestions, envoyer un message à guidance@theiia.org. Pour trouver les futures mises à jour du CRIPP, les auditeurs internes sont invités à consulter les pages «Professional Guidance» sur le site http://www.theiia.org. 11

12

Dispositions obligatoires Dispositions obligatoires DISPoSItIoNS obligatoires 13

14

Définition de l audit interne Dispositions obligatoires Définition de l audit interne L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organsiation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité. Version française de la définition internationale, approuvée le 21 mars 2000 par le Conseil d Administration de l IFACI. 15

16

Code de Déontologie Code de Déontologie Dispositions obligatoires Préambule Pourquoi un Code de Déontologie? Pourquoi donc les Normes n aplaniraient-elles pas toutes les difficultés auxquelles l auditeur interne peut se trouver confronté, en indiquant de manière systématique, la bonne conduite à adopter? Cette question est légitime et appelle des réponses qui permettent de préciser la raison d être du Code de Déontologie : Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques, les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l audit interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systématiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profession identifie des valeurs essentielles qui ne nient par l originalité de chaque situation. Il guide la réflexion de chaque auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d audit interne. Expliciter et illustrer les notions d indépendance et d objectivité, ces préalables sont indispensables à la qualité de l évaluation effectuée par l auditeur interne. Il est essentiel que ces deux notions, que l auditeur doit respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations délicates. En effet, l auditeur interne et notamment le responsable de l audit interne, se trouvent fréquemment confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l épreuve de situations personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux susceptibles d éviter ou de clarifier les situations impropres à l exercice d un jugement professionnel serein. Ils permettent d obtenir les conseils d un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu il convient de suivre en cas de situation délicate. Témoigner du niveau élevé d intégrité de l audit interne : Il est important et utile que chacun sache que l auditeur interne s efforce de toujours agir avec honnêteté et rigueur. L existence d un Code de Déontologie de l audit interne, signé par les auditeurs internes et annexé à la charte d audit interne constitue, à notre sens, le témoignage d un engagement favorisant un climat d honnêteté et d intégrité. Contribuer à la qualité des résultats de l audit en rappelant l exigence de confidentialité et de compétence. En effet, la confiance accrue des audités permet un meilleur travail. 17

Introduction Le Code de Déontologie de l Institut a pour but de promouvoir une culture de l éthique au sein de la profession d audit interne. Définition de l audit interne L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité. Compte tenu de la confiance placée en l audit interne pour donner une assurance objective sur les processus de gouvernement d entreprise, de management des risques, et de contrôle, il était nécessaire que la profession se dote d un tel code. Le Code de Déontologie va au-delà de la définition de l audit interne et inclut deux composantes essentielles : 1. Des principes fondamentaux pertinents pour la profession et pour la pratique de l audit interne ; 2. Des règles de conduite décrivant les normes de comportement attendues des auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux et ont pour but de guider la conduite éthique des auditeurs internes. On désigne par «auditeurs internes» les membres de l Institut, les titulaires de certification professionnelles de l IIA ou les candidats à celles-ci, ainsi que les personnes proposant des services entrant dans le cadre de la définition de l audit interne. Champ d application et caractère obligatoire Le Code de Déontologie s applique aux personnes et aux entités qui fournissent des services d audit interne. Toute violation du Code de Déontologie par des membres de l Institut, des titulaires de certifications professionnelles de l IIA ou des candidats à celles-ci, fera l objet d une évaluation et sera traitée en accord avec les statuts de l Institut et ses directives administratives. Le fait qu un comportement donné ne figure pas dans les règles de conduite ne l empêche pas d être inacceptable ou déshonorant et peut donc entraîner une action disciplinaire à l encontre de la personne qui s en est rendu coupable. 18

Principes fondamentaux Code de Déontologie Dispositions obligatoires Il est attendu des auditeurs internes qu ils respectent et appliquent les principes fondamentaux suivants : 1. Intégrité : L intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur jugement. 2. Objectivité : Les auditeurs internes montrent le plus haut degré d objectivité professionnelle en collectant, évaluant et communiquant les informations relatives à l activité ou au processus examiné. Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui. 3. Confidentialité : Les auditeurs internes respectent la valeur et la propriété des informations qu ils reçoivent ; ils ne divulguent ces informations qu avec les autorisations requises, à moins qu une obligation légale ou professionnelle ne les oblige à le faire. 4. Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences requis pour la réalisation de leurs travaux. Règles de conduite 1. Intégrité Les auditeurs internes : 1.1. Doivent accomplir leur mission avec honnêteté, diligence et responsabilité. 1.2. Doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession. Commentaire IFACI Par exemple, dans le secteur public en France, selon l article 40 du Code de procédure pénale : «toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs». 19

1.3. Ne doivent pas sciemment prendre part à des activités illégales ou s engager dans des actes déshonorants pour la profession d audit interne ou leur organisation. Commentaire IFACI Il convient de préciser que la notion de déshonneur est culturelle, qu elle dépend des époques, des individus, de l éthique de l organisation et de nombreux autres facteurs. 1.4. Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation. Commentaire IFACI Cette règle de conduite appelle la question suivante : qu entend-on par objectif éthique et objectif légitime? On peut définir légitime comme conforme aux lois, aux règlements et à l objet social tandis qu éthique fait référence aux valeurs morales et à divers principes. Il appartient à chaque auditeur interne de donner à ces deux mots un sens adapté à la situation particulière dans laquelle il se trouve. Dans le cas où l organisation aurait des objectifs non éthiques ou non légitimes ou jugés tels par l auditeur, ce Code de Déontologie ne contraint pas l auditeur interne à les respecter et encore moins à y contribuer, pas plus qu il ne l interdit. Cette situation, si elle se produisait, ne dispenserait pas l auditeur interne de garder à leur égard un parfait esprit critique. 2. Objectivité Les auditeurs internes : 2.1. Ne doivent pas prendre part à des activités ou établir des relations qui pourraient compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principe vaut également pour les activités ou relations d affaires qui pourraient entrer en conflit avec les intérêts de leur organisation. 2.2. Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel. 2.3 Doivent révéler tous les faits matériels dont ils ont connaissance et qui, s ils n étaient pas révélés, auraient pour conséquence de fausser le rapport sur les activités examinées. Commentaire IFACI C est donc en interne, et essentiellement dans le cadre du rapport d audit, que ces faits matériels doivent être révélés. Il convient toutefois d être bien conscient que des informations délicates destinées a priori à la direction générale et/ou au comité d audit sont susceptibles d être connues à l extérieur de l organisation. C est ainsi que les rapports d audit interne peuvent être communiqués à la justice. Pour le secteur bancaire, le règlement 97-02 modifié du CRBF, précise que les rapports d audit interne sont tenus à la disposition des commissaires aux comptes et du secrétariat général de la Commission bancaire. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence et circonspection. 20

3. Confidentialité Code de Déontologie Dispositions obligatoires Les auditeurs internes : 3.1. Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de leurs activités. Commentaire IFACI Il est important de préciser que la confidentialité et les règles de conduite y afférentes s appliquent à toute personne proposant des services entrant dans la définition de l audit interne. Le responsable de l audit interne, dans le cas où il soustraite une mission, à l extérieur du service d audit interne ou de l organisation, doit veiller à ce qu une clause de cet ordre soit intégrée dans le contrat de prestation. Commentaire IFACI L IFACI préconise que le responsable de l audit interne ait un devoir d alerte vis-à-vis du comité d audit pour des faits éminemment graves commis par la direction générale et pouvant mettre en danger la continuité d exploitation, à condition que ces faits soient avérés et que le rôle de l audit interne en la matière soit dûment explicité dans une charte d éthique. Commentaire IFACI En fonction des termes de l arrêté portant application de l article 156 de la Loi de Modernisation de l Economie qui prévoit «au sein des établissements de crédit, les conditions d information des organes de direction, d administration et de surveillance concernant l efficacité des systèmes de contrôle interne, d audit interne et de gestion des risques, et le suivi des incidents révélés notamment par ces systèmes, sont fixés par arrêté.» Cet arrêté prévoit les conditions dans lesquelles ces informations sont transmises à la Commission bancaire, en outre, l article 154 de la LME prévoit des sanctions (emprisonnement et amende financière) en cas d absence de réponse aux demandes d informations de la Commission bancaire ou de communication de renseignements inexacts. 3.2. Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d une manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs éthiques et légitimes de leur organisation. Commentaire IFACI Est assimilable à «bénéfice personnel» non seulement le bénéfice procuré à un tiers apparenté ou ami, mais aussi l'utilisation des informations recueillies dans le cadre de l'activité d'audit à des fins étrangères à cette activité, telles que la communication à des associations caritatives, humanitaires, et plus généralement à but louable, soutenues par l'auditeur interne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu'ils reçoivent. 21

4. Compétence Les auditeurs internes : 4.1. Ne doivent s engager que dans des travaux pour lesquels ils ont les connaissances, le savoir faire et l expérience nécessaires. 4.2. Doivent réaliser leurs travaux d audit interne dans le respect des Normes Internationales pour la Pratique Professionnelle de l Audit Interne. 4.3. Doivent toujours s efforcer d améliorer leur compétence, l efficacité et la qualité de leurs travaux. 22

Normes internationales Dispositions obligatoires NormES INtErNAtIoNAlES 23

24

Normes internationales Dispositions obligatoires Introduction L audit interne est exercé dans différents environnements juridiques et culturels ainsi que dans des organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outre exercé par des professionnels de l'audit, internes ou externes à l'organisation. Comme ces différences peuvent influencer la pratique de l'audit interne dans chaque environnement, il est essentiel de se conformer aux Normes internationales pour la pratique professionnelle de l'audit interne de l IIA (ci-après «les Normes») pour que les auditeurs internes et l audit interne s'acquittent de leurs responsabilités. Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l audit interne de respecter certaines dispositions des Normes, il est nécessaire d en respecter les autres dispositions et de procéder à une communication appropriée. Si les Normes sont conjointement utilisées avec des dispositions d autres organes de référence, les communications de l audit interne peuvent le cas échéant, citer l utilisation d autres Normes. S il y a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et l audit interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si celles-ci sont plus exigeantes. Les Normes ont pour objet : 1. de définir les principes fondamentaux de la pratique de l'audit interne ; 2. de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d intervention d'audit interne à valeur ajoutée ; 3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ; 4. de favoriser l'amélioration des processus organisationnels et des opérations. Les Normes sont des principes obligatoires constituées : de déclarations sur les conditions fondamentales pour la pratique professionnelle de l audit interne et pour l évaluation de sa performance. Elles sont internationales et applicables tant au niveau du service qu au niveau individuel ; d interprétations clarifiant les termes et les concepts utilisés dans les déclarations. Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En particulier les Normes utilisent le mot «must» pour spécifier une exigence impérative et le mot «should» lorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances. Il est indispensable de prendre en considération les déclarations et les interprétations ainsi que les significations spécifiques du Glossaire pour comprendre et appliquer correctement les Normes. Les Normes se composent des Normes de qualification, des Normes de fonctionnement et des 25

Normes de mise en œuvre. Les Normes de qualification énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des missions d'audit interne. Les Normes de fonctionnement décrivent la nature des missions d'audit interne et définissent des critères de qualité permettant de mesurer la performance des services fournis. Les Normes de qualification et les Normes de fonctionnement s appliquent à tous les services d audit. Les Normes de mise en œuvre précisent les Normes de qualification et les Normes de fonctionnement en indiquant les exigences applicables dans les activités d assurance (A) ou de conseil (C). Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective en vue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opération, une fonction, un processus, un système ou tout autre sujet. L auditeur interne détermine la nature et l'étendue des missions d assurance. Elles comportent généralement trois types d'intervenants : (1) la personne ou le groupe directement impliqué dans l entité, l opération, la fonction, le processus, le système ou le sujet examiné autrement dit le propriétaire du processus, (2) la personne ou le groupe réalisant l'évaluation l'auditeur interne, et (3) la personne ou le groupe qui utilise les résultats de l'évaluation l'utilisateur. Les missions de conseil sont généralement entreprises à la demande d'un client. Leur nature et leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralement deux intervenants : (1) la personne ou le groupe qui fournit les conseils en l'occurrence l'auditeur interne, et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés le client. Lors de la réalisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivité et n'assumer aucune fonction de management. Les Normes s appliquent aux auditeurs internes et à l'activité d audit interne. Tous les auditeurs internes ont la responsabilité de se conformer aux Normes relatives à l objectivité, aux compétences et à la conscience professionnelle individuelles. De plus, ils doivent se conformer aux Normes relatives aux responsabilités associées à leur poste. Les responsables de l audit interne ont la responsabilité d assurer la conformité globale de l'activité d audit interne avec les Normes et d en rendre compte. La revue et la mise à jour des Normes est un processus continu. «The International Internal Audit Standards Board» mène une large consultation et des discussions avant de publier les Normes. Pour cela, des avant-projets sont soumis au plan international pour commentaires publics. Ils sont consultables sur le site internet de l'iia et sont distribués à tous les instituts affiliés. Les suggestions et commentaires concernant les Normes peuvent être adressés à : The Institute of Internal Auditors Standards and Guidance 247, Maitland Avenue. Altamonte Springs, Florida 32701-4201 USA Courrier électronique : guidance@theiia.org Site web : www.theiia.org 26

Normes de qualification Dispositions obligatoires NormES DE qualification 27

28

Normes de qualification Normes de qualification Dispositions obligatoires 1000 mission, pouvoirs et responsabilités MPA 1000-1 : Charte d audit interne La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d audit interne, être cohérents avec la définition de l audit interne, le Code de Déontologie ainsi qu avec les Normes. Le responsable de l audit interne doit revoir périodiquement la charte d audit interne et la soumettre à l approbation de la direction générale et du Conseil. Interprétation : La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les responsabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l audit interne et le Conseil ; autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; définit le champ des activités d'audit interne. L approbation finale de la charte d audit interne relève de la responsabilité du Conseil. Commentaire IFACI Le terme «Conseil» est explicité dans le Glossaire des Normes. Dans la pratique, le responsable de l audit interne a, lorsqu il existe, une relation fonctionnelle avec le comité spécialisé du Conseil mandaté pour les questions liées à la gestion des risques, au contrôle interne et à l audit interne. Il s agit le plus souvent du comité d audit ou du comité de contrôle interne et des risques. La nature de cette relation fonctionnelle est précisée dans l interprétation de la Norme 1110. L IFACI considère que la charte d audit interne devra également définir le rattachement hiérarchique du responsable de l'audit interne au plus haut niveau de l'organisation. Ainsi, la prise de position IFA/IFACI sur le rôle de l audit interne dans le gouvernement d entreprise recommande que «l audit interne soit clairement rattaché hiérarchiquement à la direction générale». Quel que soit son niveau de rattachement, le responsable de l audit interne devra présenter le contenu de la charte à la direction générale afin d assurer la cohérence entre les responsabilités et les pouvoirs attribués à l audit interne. La prise de position IFA/IFACI préconise que le comité d audit prenne connaissance des documents formalisant l organisation générale du service d audit interne et en particulier la charte de l audit interne. L indépendance est confirmée par l approbation de ces documents par le Conseil. 29

La revue périodique de la charte garantit l adéquation permanente de la capacité d intervention de l audit interne avec les missions qui lui sont assignées. 1000.A1 La nature des missions d'assurance réalisées pour l'organisation doit être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature doit être également définie dans la charte d'audit interne. 1000.C1 La nature des missions de conseil doit être définie dans la charte d'audit interne. 1010 reconnaissance de la définition de l audit interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interne Le caractère obligatoire de la définition de l audit interne, du Code de Déontologie ainsi que des Normes doit être reconnu dans la charte d'audit interne. Le responsable de l audit interne présente la définition de l audit interne, le Code de Déontologie ainsi que les Normes à la direction générale et au Conseil. Commentaire IFACI Lorsque le responsable de l audit interne soumet la charte pour approbation à la direction générale et au Conseil (cf. Norme 1000), il présente en particulier la définition de l audit interne, le Code de Déontologie et les Normes. Ces dispositions obligatoires ont fait leur preuve dans les différents contextes où l audit interne est pratiqué. Elles constituent le niveau minimal de professionnalisme requis. Commentaire IFACI Une bonne connaissance du CRIPP est nécessaire pour donner du sens à la présentation qui est faite aux instances dirigeantes. Elle permet d illustrer, de façon pertinente, en quoi la réalisation des objectifs de l organisation et sa structuration permettent l application des principes du CRIPP. 30

1100 Indépendance et objectivité Normes de qualification Dispositions obligatoires L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité. Interprétation : L indépendance c est la capacité de l audit interne à assumer, de manière impartiale, ses responsabilités. Afin d atteindre un degré d indépendance nécessaire et suffisant à l exercice de ses responsabilités, le responsable de l audit interne doit avoir un accès direct et non restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement. Les atteintes à l indépendance doivent être appréhendées à différents niveaux : au niveau de l auditeur interne ; au niveau de la conduite de la mission ; au niveau de l audit interne et de son positionnement dans l organisation. L objectivité est une attitude impartiale qui permet aux auditeurs internes d accomplir leurs missions de telle sorte qu ils soient certains de la qualité de leurs travaux menés sans le moindre compromis. L objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d autres personnes. Comme pour l indépendance, les atteintes à l objectivité doivent être appréhendées au niveau de : l auditeur interne ; la conduite de la mission ; l audit interne et de son positionnement dans l organisation. Commentaire IFACI L indépendance de l audit interne dépend également du rattachement hiérarchique de son responsable à la direction générale et de sa capacité à communiquer avec le Conseil. Au niveau individuel, l absence de subordination au jugement d autres personnes concerne en premier lieu les opinions qui seraient formulées en dehors du service d audit interne. L objectivité découle en partie de l approche systématique et méthodique prévue dans la définition de l audit interne. 31

1110 Indépendance dans l'organisation Le responsable de l'audit interne doit relever d un niveau hiérarchique suffisant au sein de l organisation pour permettre au service MPA 1110-1 : Indépendance dans l organisation d audit interne d exercer ses responsabilités. Le responsable de l audit interne doit confirmer au Conseil, au moins annuellement, l indépendance de l audit interne au sein de l organisation. Interprétation : L indépendance au sein de l organisation est atteinte lorsque le responsable de l audit interne rapporte fonctionnellement au Conseil. Les relations fonctionnelles impliquent, par exemple, que le Conseil : approuve la charte d audit interne ; approuve le plan d audit interne fondé sur l approche par les risques ; approuve le budget et les ressources prévisionnels de l audit interne ; soit destinataire des informations adressées par le responsable d audit relatives à la réalisation du plan d audit ou de tout autre sujet afférent à l audit interne ; approuve les décisions liées à la nomination et à la révocation du responsable de l audit interne ; approuve la rémunération du responsable de l audit interne ; demande des informations pertinentes au management et au responsable de l audit interne pour déterminer l adéquation du périmètre et des ressources de l audit interne. Commentaire IFACI Comme souligné à propos de la Norme 1000, c est le double rattachement de l audit interne qui permet d asseoir son indépendance au sein de l organisation. Dans sa prise de position sur l urbanisme du contrôle interne, l IFACI recommande que l audit interne soit rattaché au plus haut niveau de l organisation afin de conforter l objectivité de ses démarches et affirmer l indépendance dont il a besoin pour exercer ses activités ; que ce rattachement soit situé idéalement au niveau de la direction générale, ultime responsable du contrôle interne comme de la bonne marche des organisations. Il est souhaitable que les responsabilités du Conseil à l égard de l audit soient formalisées. Les éléments de l interprétation pourront être utilisés à cet effet et être complétés par d autres bonnes pratiques professionnelles. Par exemple, le comité d audit est tenu informé, le cas échéant : des zones de risques non couvertes que l audit interne a lui-même identifiées ; de la réalisation des missions non planifiées, y compris les demandes de la direction générale ; des changements de périmètre de certaines missions ou des reports ; de la participation des auditeurs ou du responsable de l audit interne à des projets ou à des travaux connexes ; du suivi de la mise en œuvre des recommandations ; des points significatifs de désaccord avec le management conformément au processus décrit dans la norme 2600, etc. 32

Normes de qualification Dispositions obligatoires L approbation du budget doit s appuyer sur l analyse d un certain nombre de critères notamment au regard du plan d audit à réaliser. Pour conforter l indépendance de l audit interne, le Conseil devrait contribuer à l évaluation de la performance du responsable de l audit interne notamment sur la base de la qualité des informations reçues. 1110.A1 L'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats. 1111 relation directe avec le Conseil Le responsable de l audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil. MPA 1111-1 : Relation avec le conseil Commentaire IFACI Le responsable de l audit interne doit particulièrement instaurer des relations régulières avec le Conseil ou ses comités spécialisés. Il organise une communication adaptée aux besoins de ces instances et aux exigences de sa mission. Il démontre, notamment lors de réunions d échanges directes, la contribution de l audit interne à l exercice de leur responsabilité. 1120 objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt. MPA 1120-1 : Objectivité individuelle Interprétation : Est considérée comme un conflit d intérêt, une situation dans laquelle un auditeur interne, qui jouit d une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec ses devoirs et responsabilités. De tels intérêts peuvent empêcher l auditeur d exercer ses responsabilités de façon impartiale. Un conflit d intérêt peut exister même si aucun acte contraire à l éthique ou malhonnête n a été commis. Un conflit d intérêt peut créer une situation susceptible d entamer la confiance en l auditeur interne, vis-à-vis du service d audit interne et en la profession. Un conflit d intérêt peut compromettre la capacité d un individu à conduire ses activités et exercer ses responsabilités de manière objective. 33

1130 Atteinte à l'indépendance ou à l'objectivité Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme MPA 1130-1 : Atteintes à l indépendance ou à l objectivité de cette communication dépendra de la nature de l'atteinte à l'indépendance. Interprétation : Parmi les atteintes à l'indépendance du service d audit interne et à l'objectivité individuelle, peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limitations financières. L identification des parties qui devraient être informées d une atteinte à l'objectivité et à l'indépendance dépend d une part des attentes de la direction générale et du Conseil, telles que décrites dans la charte d'audit interne, en termes de responsabilités de l audit interne et du responsable d audit interne, et d autre part de la nature de cette atteinte. Commentaire IFACI La mise en œuvre de cette Norme doit s appuyer sur la charte d audit interne et le Code de Déontologie. 1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente. 1130.A2 Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la charge doivent être supervisées par une personne ne relevant pas de l'audit interne. MPA 1130.A1-1 : Audit des opérations dont les auditeurs internes ont été auparavant responsables MPA 1130.A2-1 : Responsabilités exercées par l audit interne au titre d autres fonctions 1130.C1 Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées à des opérations dont ils ont été auparavant responsables. 1130.C2 Si l'indépendance ou l'objectivité des auditeurs internes sont susceptibles d'être compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le client donneur d'ordre avant de les accepter. 34

Normes de qualification 1200 Compétence et conscience professionnelle Les missions doivent être conduites avec compétence et conscience professionnelle. MPA 1200-1 : Compétence et conscience professionnelle Dispositions obligatoires 1210 Compétence MPA 1210-1 : Compétence Les auditeurs internes doivent posséder les connaissances, le savoirfaire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L équipe d audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités. Commentaire IFACI La connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique. Pour une pratique professionnelle de l audit interne il faut également mobiliser d autres compétences en termes de savoir-être et de savoirfaire (connaissance des métiers de l organisation, de sa culture ), ce qui permet de renforcer l objectivité et l indépendance des auditeurs internes. Interprétation : Les connaissances, le savoir-faire et les autres compétences sont une expression générique utilisée pour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoir exercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragés à démontrer leurs compétences en obtenant des certifications et qualifications professionnelles appropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l IIA ou par d autres organisations professionnelles appropriées. Commentaire IFACI Les auditeurs internes peuvent démontrer qu'ils détiennent les savoirs et savoir-faire indispensables à l'exercice de leur métier en obtenant les qualifications professionnelles également proposées par l'ifaci. Ces qualifications attestent que leurs titulaires ont les connaissances et les compétences qui leur permettront de conduire une mission d audit de manière autonome et professionnelle, en s appuyant sur la démarche préconisée par les Normes. 1210.A1 Le responsable de l'audit interne doit obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission. MPA 1210.A1-1 : Recours à des prestataires externes 35