Contribution de l'audit interne à  la maitrise des risques dans la gestion d'une entreprise.

3.7. Norme de l'audit interne16(*)

Nous savons que l'audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité.

Les activités d'audit interne sont conduites dans différents environnements juridiques et culturels, dans des organisations dont l'objet, la taille et la structure sont divers, ainsi que par des professionnels d'audits, internes ou externes à l'organisation. Ces différences peuvent influencer la pratique d'audit interne dans chaque environnement. Toutefois, le respect des Normes pour la pratique professionnelle de l'audit interne (ci-après « les Normes ») est essentiel pour que les auditeurs internes puissent s'acquitter de leurs responsabilités.

Les Normes ont pour objet :

1. de définir les principes de base que la pratique de l'audit interne doit suivre ;

2. de fournir un cadre de référence pour la réalisation et la promotion d'un large éventail d'activités d'audit interne apportant une valeur ajoutée ;

3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ;

4. de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement et des Normes de Mise en OEuvre.

Les Normes de Qualification énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des activités d'audit interne.

Les Normes de Fonctionnement décrivent la nature des activités d'audit interne et définissent des critères de qualité permettant d'évaluer les services fournis.

Les Normes de Qualification et les Normes de Fonctionnement s'appliquent aux travaux d'audit interne en général.

Les Normes de Mise en OEuvre déclinent les Normes de Qualification et les Normes de Fonctionnement à des missions spécifiques (par exemple un audit de conformité, une investigation dans un contexte de fraude ou des travaux d'auto-évaluation du contrôle interne).

Alors qu'il existe un seul ensemble de Normes de Qualification et des Normes de Fonctionnement, il peut exister différents ensembles de Normes de Mise en OEuvre, correspondant chacun à un grand type d'activité d'audit interne. Dans un premier temps, les Normes de Mise en OEuvre sont établies pour les activités d'assurance (indiquées par la lettre « A » après le numéro de la Norme, par exemple 1130.A1) et pour les activités de conseil (indiquées par la lettre « C » après le numéro de la Norme, par exemple 1130.C1).

Les Normes font partie du Cadre de Référence des Pratiques Professionnelles.

Les missions d'audit interne font l'objet de normes élaborées par l'IAA (the institute of internalAuditors).

a. Normes de qualification^17(*)

1000-Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte, être cohérents avec les Normes et dûment approuvés par le Conseil

1100 - Indépendance et objectivité

L'audit doit être indépendant et les auditeurs internes doivent effectuer leur travail avec objectivité.

1100 - Indépendance dans l'organisation

Le responsable de l'audit interne doitrelever d'un niveau hiérarchique permettant aux auditeurs internes d'exercer leurs responsabilités.

1120 - Objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter les conflits d'intérêts.

1130 - Atteintes à l'indépendance et à l'objectivité

Si l'objectivité ou l'indépendance des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l&atteinte à l'Independence.

1200 - compétence et conscience professionnelle

Les missions doivent être remplies avec compétence et conscience professionnelle

1200 - compétence

Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L'audit interne doit posséder ou acquérir collectivement les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.

1220. A1 - Compétence professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité.

1230 - Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et les autres compétences par une formation professionnelle continue.

1300 - Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne et permettant un contrôle continue de son efficacité. Le programme doit être conçu dans un double but : aider l'audit interne à apporter une valeur ajoutée aux opérations de l'organisation et les améliorer, et garantir qu'il est mené en conformité avec les Normes et le Code de Déontologie.

1310 - Evaluation du programme qualité

L'audit interne nécessite l'adoption d'un processus permettant de surveiller et d'évaluer l'efficacité globale du programme qualité. Ce processus doit comporter des évaluations tant internes qu'externes.

1311 - Evaluation internes

Les évaluations internes doivent comporter :

· Des contrôles continus du fonctionnement de l'audit interne ;

· Des contrôles périodiques par auto-évaluation ou par d'autres personnes de l'organisation connaissant les pratiques d'audit interne et les Normes.

1312 - Evaluation externes

Des évaluations externes, par exemple des revues d'assurance qualité, doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés et indépendantes extérieurs à l'organisation.

1320 - Rapports relatifs au programme qualité

Le responsable de l'audit interne doit communiquer au Conseil les résultats des évaluations externes.

1330 - Utilisation de la mention « Conduit conformément aux Normes »

Les auditeurs internes sont encouragés à indiquer dans leurs rapports que leurs activités sont « conduites conformément aux Normes pour la pratique professionnelle de l'audit interne ». Toutefois, ils ne peuvent utiliser cette mention que si les évaluations du programme d'amélioration qualité démontrent que l'audit interne fonctionne conformément aux Normes.

1340 - Indication de non-conformité

L'audit interne doit être exercé dans le parfait Normes et les auditeurs doivent se conformer au Code de Déontologie ; toutefois, il peut arriver que cette pleine conformité ne soit pas réalisée. Lorsque la non-conformité a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, la Direction Générale et le Conseil doivent en être informer.

b. Normes de fonctionnement^18(*)

2000 -Gestion de l'audit interne

Le responsable de l'audit interne doit gérer cette activité de façon à garantir qu'elle apporte une valeur ajoutée à l'organisation.

2010 - Planification

Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir les priorités cohérentes avec les objectifs de l'organisation.

2020 - Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction Générale et au conseil son programme et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.

2030 - Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en oeuvre de manière efficace pour réaliser le programme approuvé.

2040 - Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne.

2050 - Coordination

Le responsable de l'audit interne doit partager les informations et coordonner les activités avec les autres prestataires internes et externes de services d'assurance et de conseil, de manière à assurer une couverture adéquate des travaux et à éviter dans toute la mesure du possible des double emplois.

2060 - Rapports au conseil et à la Direction Générale

Le responsable de l'audit interne doit rendre compte périodiquement à la Direction et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que des résultats obtenus par rapport au programme prévu. Ces rapports doivent également porter sur les risques importants, le contrôle et sur le gouvernement d'entreprise, ainsi que sur d'autres sujets dont le Conseil et la Direction Générale ont besoin ou ont demandé.

2010 - Nature du travail

L'audit interne évalue les systèmes de management des risques, de contrôle et de gouvernement d'entreprise et contribue à leur amélioration.

2110 - Management des risques

L'audit interne doit aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer à l'amélioration des systèmes de management des risques et des contrôles.

2120 - Contrôle

L'audit interne doit aider l'organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.

2130 - Gouvernement d'entreprise

L'audit interne doit contribuer au processus de gouvernement d'entreprise en évaluant et en améliorant le processus par lequel on définit et on communique les valeurs et les objectifs, on suit la réalisation des objectifs, on en rend compte et on préserve les valeurs.

2200 - Planification de la mission

Les auditeurs internes doivent mettre au point et formaliser un plan pour chaque mission.

2201 - Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :

· Les objectifs de l'activité soumise à l'audit et à la manière dont elle est maîtrisée ;

· Les risques significatifs liés à l'activité, ses objectifs, les ressources mises en oeuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable ;

· La pertinence et l'efficacité des systèmes de management des risques et de contrôle de l'activité, en référence à un cadre ou modèle de contrôle appropriés ;

· Les opportunités d'améliorer de manière significative les systèmes de management des risques et de contrôle de l'activité.

2210 - Objectifs de la mission

Les objectifs de la mission doivent aborder les processus de management des risques, de contrôle et de gouvernement d'entreprise associés aux activités soumises à l'audit.

2220. Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission

2230 - Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées pour atteindre les objectifs de la mission. La composition de l'équipe doit s'appuyer sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 - Programme de travail de la mission

Les auditeurs internes doivent élaborer un programme de travail permettant d'atteindre les objectifs de la mission. Ce programme de travail doit être formalisé.

2300 - Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission.

2310 - Identification des informations

Les auditeurs internes doivent identifier les informations nécessaires, fiables, pertinentes et utiles pour atteindre les objectifs de la mission.

2320 - Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.

2330 - Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer conclusions et les résultats de la mission.

2340 - Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué.

2400 - Communication des résultats

Les auditeurs internes doivent communiquer rapidement les résultats de la mission.

2410 - Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions, recommandations et plans d'actions.

2420 - Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile.

2421 - Erreurs et omissions

Si une communication finale contient une erreur ou une omission importante, le responsable de l'audit interne doit faire parvenir les informations corrigées à toutes les personnes qui ont reçu la version initiale.

2430 - Indication de non-conformité aux Normes

Lorsqu'une mission donnée n'a pas été conduite conformément aux Normes, la communication des résultats des résultats doit indiquer ;

· Là où les Normes qui n'ont pas été entièrement respectées,

· Là où les raisons de la non-conformité,

· L'incidence de la non-conformité sur la mission.

2440 - Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux personnes appropriées.

2500 - Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.

2600 - Acceptation des risques par la Direction Générale

Lorsque le responsable de l'audit interne estime que la Direction Générale a acceptée un niveau de risque résiduel qui est inacceptable pour l'organisation, il doit examiner la question avec elle, s'ils ne peuvent arrêter une décision concernant le risque résiduel, ils doivent soumettre la question au Conseil aux fins de résolution.

* ¹⁶ The institute of InternalAuditors, normes pour la pratique professionnelle de l'audit interne, p1

* ¹⁷ The institute of InternalAuditors, Op. Cit., p4

* ¹⁸ The institute of Internal Auditors, Op. Cit., p8