Les Normes International Audit-100-199

Guide de mise en œuvre 1230 / Formation professionnelle continue
les observations des superviseurs ou des pairs concernant de nouvelles compétences, ou

des savoir-faire renforcés. Des politiques d’audit interne, un programme de formation et des
enquêtes auprès des collaborateurs peuvent prouver que des opportunités pour la forma-
tion professionnelle continue ont bien été proposées par le responsable de l’audit interne.
Version 31/05/2017
The Institute of Internal Auditors Global

100
4
www.globaliia.org www.theiia.org
Guide de mise en œuvre 1300
Cadre de Référence International
des Pratiques Professionnelles
Norme 1300 - Programme d’assurance et d’amélioration

qualité
Le responsable de l’audit interne doit concevoir et tenir à jour un programme d’assu-

rance et d’amélioration qualité portant sur tous les aspects de l’audit interne.
Interprétation :
Un programme d’assurance et d’amélioration qualité est conçu de façon à évaluer :
• la conformité de l’audit interne avec les Normes ;
• le respect du Code de déontologie par les auditeurs internes.
Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’audit

interne et d’identifier les opportunités d’amélioration. Le responsable de l’audit interne
devrait encourager une surveillance du programme d’assurance et d’amélioration qua-
lité par le Conseil.
Normes applicables au 1er janvier 2017

Version 31/05/2017
The Institute of Internal Auditors Global 1 www.globaliia.org www.theiia.org

Guide de mise en œuvre 1300 / Programme d’assurance et d’amélioration qualité
Préalables
La Norme 1300 charge le responsable de l’audit interne du développement et de la mise en

œuvre d’un programme global d’assurance et d’amélioration qualité. Le programme d’as-
surance et d’amélioration qualité devrait tenir compte de l’ensemble des aspects liés au
fonctionnement et à la gestion de l’audit interne – y compris les missions de conseil – qui
sont prévus dans les dispositions obligatoires du Cadre de référence international des pra-
tiques professionnelles (CRIPP). Il serait par ailleurs utile que le programme d’assurance et
d’amélioration qualité tienne compte des meilleures pratiques d’audit interne.
Le programme d’assurance et d’amélioration qualité est conçu pour permettre l’évaluation

de la conformité de l’audit interne avec les Normes internationales pour la pratique
professionnelle de l’audit interne (les Normes) et le respect par les auditeurs internes du
Code de déontologie de l’IIA. À ce titre, ce programme doit inclure des évaluations internes
continues et périodiques, ainsi que des évaluations externes réalisées par un évaluateur
indépendant ou une équipe d’évaluation quali iés (cf. Norme 1310 - Exigences du
Programme d’assurance et d’amélioration qualité).
Le responsable de l’audit interne doit avoir une compréhension approfondie des disposi-
tions obligatoires du Cadre de référence international des pratiques professionnelles, et
notamment, les Normes et le Code de déontologie. En règle générale, le responsable de
l’audit interne rencontre le Conseil avec plusieurs objectifs en tête :
• mieux cerner les attentes relatives à l’audit interne,
• discuter de l’importance des Normes et du programme d’assurance et d’amélioration

qualité et,
• encourager le Conseil à apporter son soutien en la matière.
En général, le responsable de l’audit interne procède à une analyse comparative en trou-

vant des exemples d’élaboration et de mise en œuvre de ces programmes dans d’autres
organisations, en particulier celles de nature et de niveau de maturité similaires. Il peut
également consulter les lignes directrices complémentaires de l’IIA et d’autres guides, y
compris « Quality Assessment Manual for Internal Audit Activity » publié par l’IIA.
Version 31/05/2017

102
2
Eléments à prendre en compte pour la mise en œuvre
Un programme bien conçu assure l’intégration de la qualité dans la fonction d’audit interne
et dans l’ensemble de ses activités. L’évaluation de la conformité aux Normes ne devrait
pas systématiquement être effectuée au niveau de chaque mission. Il est préférable que
les missions soient menées selon une méthodologie établie promouvant la qualité et de fait
la conformité avec les Normes. En outre, ce type de méthodologie favorise généralement
l’amélioration continue de l’audit interne.
Conformément aux exigences de la Norme 1300, le responsable de l’audit interne élabore

et met à jour un programme d’assurance et d’amélioration qualité qui couvre tous les as-
pects de l’audit interne, avec pour finalité une fonction d’audit interne dont le périmètre et la
qualité des travaux intègrent la conformité aux Normes et l’application du Code de déonto-
logie. Le programme d’assurance et d’amélioration qualité permet d’évaluer la conformité
aux Normes de l’audit interne et d’évaluer si les auditeurs internes respectent le Code de
déontologie. À ce titre, un programme d’amélioration et d’assurance qualité comprend des
évaluations de l’efficience et de l’efficacité de l’audit interne, ce qui permet d’identifier des
pistes d’amélioration.
Le responsable de l’audit interne évalue périodiquement le programme et, le cas échéant, le

met à jour. Par exemple, en fonction de l’évolution de la maturité ou des conditions d’exer-
cice de l’audit interne, des ajustements du programme d’assurance et d’amélioration qualité
peuvent devenir nécessaires pour rassurer les parties prenantes que l’audit interne continue
à fonctionner de façon efficace et efficiente et à apporter de la valeur ajoutée en contribuant
à l’amélioration des opérations de l’organisation.
Pour mettre en œuvre la Norme 1300, le responsable de l’audit interne doit tenir compte des
exigences liées aux cinq composantes essentielles suivantes :
• Évaluations internes (Norme 1311)
• Évaluations externes (Norme 1312)
• Communication des résultats du programme (Norme 1320)

Version 31/05/2017
• Utilisation appropriée de la mention de conformité (Norme 1321)
• Indication de non-conformité (Norme 1322)

103
3
Évaluations internes
Les évaluations internes consistent à effectuer une surveillance continue et des auto-
évaluations périodiques (cf. Norme 1311 – Évaluations internes), permettant d’évaluer la
conformité de l’audit interne avec les dispositions obligatoires du Cadre de référence inter-
national des pratiques professionnelles, la qualité et la supervision des travaux d’audit, les
procédures, la valeur ajoutée que l’audit interne apporte à l’organisation ainsi que la mise
en place et la réalisation d’indicateurs clés de performance.
Le responsable de l’audit interne devrait établir une surveillance continue et veiller à la

réalisation régulière de revues de l’audit interne. La surveillance continue est réalisée
principalement par des activités récurrentes telles que la planification et la supervision des
missions, des pratiques normalisées de travail, des procédures concernant les
documents de travail et leurs validations, des revues des rapports, ainsi que l’identification
des faiblesses ou des domaines nécessitant des améliorations et les plans d’action pour
y parvenir. La surveillance continue aide le responsable de l’audit interne à vérifier si les
processus d’audit interne correspondent à la qualité requise au niveau de chaque mission.
Des auto-évaluations périodiques sont effectuées pour vérifier que la surveillance

continue fonctionne efficacement et pour déterminer si l’audit interne est conforme aux
Normes et si les auditeurs internes respectent le Code de déontologie. En respectant les
Normes et le Code de déontologie, l’audit interne se conforme également à la Définition de
l’audit interne et aux Principes fondamentaux pour la pratique professionnelle de l’audit
interne.
Le Guide de mise en œuvre de la Norme 1311 fournit des indications complémentaires

quant aux exigences du programme d’assurance et d’amélioration qualité en matière
d’évaluation interne.
Évaluations externes
Outre les évaluations internes, le responsable de l’audit interne est chargé de s’assurer
qu’une évaluation externe est réalisée au moins une fois tous les cinq ans (cf. Norme
1312 – Évaluations externes). L’évaluation, qui doit être effectuée par un évaluateur
Version 31/05/2017
indépendant ou une équipe d’évaluation externe à l’organisation, a pour but de vérifier si

l’audit interne se conforme aux Normes et si les auditeurs internes respectent le Code de
déontologie.

104
4
Une auto-évaluation peut être effectuée à la place d’une évaluation externe complète, à
condition qu’elle soit validée par un évaluateur externe qualifié, indépendant, compétent
et professionnel. Dans de tels cas, le périmètre de l’auto-évaluation avec validation indé-
pendante externe consisterait en un processus d’auto-évaluation complet et entièrement
documenté qui reproduit l’ensemble du processus externe et une validation indépendante
sur site par un évaluateur qualifié et indépendant.
Le guide de mise en œuvre de la Norme 1312 fournit des indications complémentaires quant
aux exigences d’un programme d’assurance et d’amélioration qualité en matière d’évalua-
tion externe.
Communication des résultats du programme d’assurance et d’amélioration

qualité
Le responsable de l’audit interne doit communiquer les résultats du programme d’assurance
et d’amélioration qualité à la direction générale et au Conseil, conformément à la Norme
1320. Cette communication devrait inclure :
• Le périmètre et la fréquence des évaluations internes et externes.
• Les qualifications et l’indépendance du (des) évaluateur(s) ou de l’équipe d’évaluation.
• Les conclusions des évaluateurs.
• Tout plan d’actions correctives issu des évaluations pour traiter les domaines qui ne
sont pas conformes aux Normes, ainsi que les opportunités d’amélioration.
Le guide de mise en œuvre de la Norme 1320 comporte des indications complémentaires

sur la communication relative au programme d’assurance et d’amélioration qualité.
Utilisation appropriée de la mention de conformité aux Normes

L’audit interne peut uniquement affirmer – par écrit ou verbalement – que l’audit interne est
conforme aux Normes si les résultats des évaluations internes et externes du programme
d’assurance et d’amélioration qualité étayent une telle affirmation. Le guide de mise en
œuvre de la Norme 1321 fournit des indications complémentaires sur l’utilisation appropriée
de la mention « conforme aux Normes internationales pour la pratique professionnelle de
Version 31/05/2017
l’audit interne ».

105
5
Indication de non-conformité
Si une évaluation interne ou externe conclut que l’audit interne n’est pas conforme aux dis-
positions obligatoires du Cadre de référence international des pratiques professionnelles
et que la non-conformité affecte le périmètre ou le fonctionnement global de l’audit interne,
le responsable de l’audit interne doit faire part de la non-conformité et de son impact à la
direction générale et au Conseil. Le Guide de mise en œuvre de la Norme 1322 –
Indication de non-conformité fournit des indications complémentaires quant à la manière et
au moment de signaler la non-conformité.
Eléments à prendre en compte pour démontrer la conformité
De multiples activités et documents sont susceptibles de démontrer la conformité à la

Norme 1300, dont les plus importants portent sur la manière dont le programme
d’assurance et d’amélioration qualité est formalisé, les résultats des évaluations internes
et externes et la documentation faisant état de la communication par le responsable de
l’audit interne des résultats du programme au Conseil. Celle-ci se compose généralement
des constats, des plans d’actions correctives et de leur mise en œuvre pour améliorer la
conformité de l’audit interne avec les Normes et le Code de déontologie. En outre, toute
documentation relative aux mesures prises pour améliorer l’efficacité et l’efficience de
l’audit interne peut contribuer à démontrer la conformité avec la norme. Concernant les
évaluations externes, la documentation de l’évaluateur externe ou de l’équipe d’évaluation,
ou encore la validation écrite et indépendante d’une auto-évaluation peuvent être utilisées
pour indiquer la conformité avec la Norme 1300. Les procès-verbaux des réunions du
Conseil au cours desquelles les programmes d’assurance et d’amélioration qualité et leurs
résultats ont fait l’objet de discussions et de présentations au Conseil ou à la direction
générale peuvent également servir à prouver la conformité.
Version 31/05/2017

106
6
Norme 1310 – Exigences du programme d’assurance et

d’amélioration qualité
Le programme d’assurance et d’amélioration qualité doit comporter des évaluations

tant internes qu’externes.
Préalables
La Norme 1310 indique les exigences d’un programme d’assurance et d’amélioration qua-
lité portant sur tous les aspects de l’audit interne. Plus précisément, la norme indique que
des évaluations internes et externes sont requises.
Le responsable de l’audit interne devrait connaître ces exigences. Les évaluations internes
sont composées de processus rigoureux et complets, d’une supervision et d’un contrôle
continus des travaux réalisés dans le cadre de missions d’assurance et de conseil, ainsi
que des validations périodiques de la conformité avec les Normes internationales pour la
pratique professionnelle de l’audit interne (les Normes) et du respect du Code de déontologie
de l’IIA par les auditeurs internes. Les évaluations externes permettent à un évaluateur ou à une
équipe d’évaluation indépendants d’attester de la conformité de l’audit interne avec les
Normes, de vérifier le respect du Code de déontologie de l’IIA par les auditeurs internes et
Version 31/05/2017
d’identifier des pistes d’amélioration. Le programme d’assurance et d’amélioration qualité

Guide de mise en œuvre 1310 / Exigences du programme d’assurance et
inclut également des mesures et des analyses continues des indicateurs de performance,
tels que la réalisation du plan d’audit interne, la durée du cycle, les recommandations ac-
ceptées et la satisfaction du client.
En règle générale, le responsable de l’audit interne est avisé des résultats antérieurs des
évaluations internes et externes qui indiquent les domaines où l’audit interne peut être amé-
lioré. Le responsable de l’audit interne met en œuvre des plans d’actions correspondants
aux améliorations identifiées grâce au programme d’assurance et d’amélioration qualité.
La Norme 1310 exige d’inclure dans le programme d’assurance et d’amélioration qualité

des évaluations internes et externes. Les évaluations internes consistent à effectuer
une surveillance continue et des auto-évaluations périodiques (cf. Norme 1311 –
Évaluations internes), permettant d’évaluer la conformité de l’audit interne avec les
dispositions obligatoires du Cadre de référence international des pratiques
professionnelles de l’audit interne, la qualité et la supervision des travaux d’audit,
l’adéquation des procédures, la valeur ajoutée de l’audit interne à l’organisation ainsi que
la définition et l’atteinte d’indicateurs clés de performance.
Le responsable de l’audit interne devrait instituer une surveillance continue et s’assurer

que des revues de la fonction d’audit interne sont régulièrement lancées. La surveillance
continue est principalement réalisée à travers des activités récurrentes telles que la plani-
fication et la supervision des missions, les pratiques normalisées de travail, les procédures
concernant les documents de travail et leur validation, les revues des rapports, ainsi que
l’identification des aiblesses ou des domaines nécessitant des améliorations et des plans
d’actions pour y parvenir. La surveillance continue aide le responsable de l’audit interne à
déterminer si les processus d’audit interne correspondent à la qualité requise au niveau de
chaque mission.
Des auto-évaluations périodiques sont effectuées pour confirmer que la surveillance

continue fonctionne efficacement et pour déterminer si l’audit interne est conforme aux
Normes et si les auditeurs internes respectent le Code de déontologie. En respectant les
Version 31/05/2017
Normes et le Code de déontologie, l’audit interne se conforme également à la Définition de

l’audit interne et aux Principes fondamentaux pour la pratique professionnelle de l’audit interne.
The Institute
The Institute of
of Internal
Internal Auditors
Auditors Global
Global 2
108 www.globaliia.org
www.theiia.org
Outre les évaluations internes, le responsable de l’audit interne est chargé de

s’assurer qu’une évaluation externe est réalisée au moins tous les cinq ans (cf. Norme
1312 – Évaluations externes). Cette évaluation, qui doit être effectuée par un évaluateur
indépendant ou une équipe d’évaluation externe à l’organisation, a pour but de vérifier
si l’activité d’audit interne est conforme aux Normes et si les auditeurs internes respectent
le Code de déontologie.
Une auto-évaluation peut être effectuée à la place d’une évaluation externe complète, à
condition qu’elle soit validée par un évaluateur externe qualifié, indépendant, compétent et
professionnel. Dans ce cas, l’auto-évaluation serait exhaustive et entièrement documentée
et reproduirait l’ensemble du processus externe. Puis elle serait suivie d’une validation in-
dépendante sur site par un évaluateur qualifié et indépendant.
Les guides de mise en œuvre des Normes 1311 et 1312 fournissent des indications com-
plémentaires quant aux exigences du programme d’assurance et d’amélioration qualité en
matière d’évaluation interne et externe.
Plusieurs éléments sont susceptibles d’indiquer la conformité à la Norme 1310, y compris

l’ensemble de la documentation relative au respect des Normes 1311 et 1312. De
plus, la conformité peut être démontrée grâce aux procès-verbaux des réunions du
Conseil au cours desquelles les programmes d’évaluation et leurs résultats ont été
discutés. Un rapport d’étude comparative et les offres de services peuvent démontrer la
diligence raisonnable dont l’organisation fait preuve lors de la sélection des évaluateurs
externes.
En ce qui concerne les évaluations internes, toute preuve que les activités de surveillance
continue ont été menées à terme selon le programme d’assurance et d’amélioration qualité
vaut preuve de conformité (par exemple, les revues des indicateurs clés de performance ou
des documents de travail). En outre, la conformité peut être démontrée par le biais des do-
cuments relatifs aux évaluations périodiques effectuées, y compris le périmètre de la revue
Version 31/05/2017
et du plan d’approche, les documents de travail et les rapports de communication. Enfin, les
résultats du programme d’assurance et d’amélioration qualité (par exemple, les plans d’ac-

tions correctives, les mesures prises pour améliorer la conformité, l’efficience et l’efficacité)
peuvent indiquer la conformité.
Concernant les évaluations externes, l’indicateur de conformité le plus important est le rap-
port de l’évaluateur externe, qui comprend sa conclusion concernant le niveau de
conformité et les plans d’actions correctives. Ce rapport comprend souvent des
recommandations de l’évaluateur externe sur les moyens d’améliorer la qualité,
l’efficience et l’efficacité de l’audit interne, et peuvent aider l’audit interne à mieux
répondre aux attentes des parties prenantes de l’organisation et à créer de la valeur
ajoutée.
Version 31/05/2017

Norme 1311 - Évaluations internes
Les évaluations internes doivent comporter :
• une surveillance continue de la performance de l’audit interne ;
• des évaluations périodiques, effectuées par auto-évaluation ou par d’autres per-

sonnes de l’organisation possédant une connaissance suffisante des pratiques
d’audit interne.
Interprétation :
La surveillance continue comprend la supervision courante, la revue et le pilotage des
indicateurs de l’audit interne. La surveillance continue est intégrée dans les procé-
dures et les pratiques courantes de gestion de la fonction d’audit interne. Elle s’appuie
sur les processus, les outils et les informations nécessaires pour évaluer la
conformité avec le Code de déontologie et les Normes.
Les évaluations périodiques sont conduites pour apprécier également la conformité

avec le Code de déontologie et les Normes.
Une connaissance suffisante des pratiques d’audit interne suppose au moins la com-
préhension de l’ensemble des éléments du Cadre de référence international des pra-
tiques professionnelles.

Version 31/05/2017

Guide de mise en œuvre 1311 / Évaluations internes
Préalables
Comme l’indique la Norme 1311, le responsable de l’audit interne est chargé de s’assurer
que l’audit interne réalise une évaluation interne qui comporte une surveillance continue
et des auto-évaluations périodiques. L’évaluation interne permet de confirmer que l’audit
interne se conforme aux Normes internationales pour la pratique professionnelle de l’audit
interne (les Normes) et que les auditeurs internes respectent le Code de déontologie de
l’IIA. Le responsable de l’audit interne veillera à ce que les évaluations internes soient axées
sur l’amélioration continue de l’audit interne et entraînent le suivi de son efficacité et de son
efficience.
L'ouvrage "Quality assessment manual for the internal audit activity" de l’IIA ou des guides et
outils similaires peuvent donner des orientations pour la réalisation d’une évaluation interne.
Les deux éléments interdépendants des évaluations internes (surveillance continue et

auto-évaluations périodiques) constituent, pour la fonction d’audit interne, un cadre effi-
cace d’évaluation permanente de la conformité avec les Normes et du respect du Code de
déontologie par les auditeurs internes. Elles peuvent permettre par ailleurs, d’identifier les
opportunités d’amélioration.
Surveillance continue
La surveillance continue est principalement réalisée grâce à des activités récurrentes
telles que la planification et la supervision des missions, les pratiques normalisées de
travail, les procédures relatives aux documents de travail et leurs validations, les revues
des rapports, ainsi que l’identification des faiblesses ou des domaines nécessitant des
améliorations et des plans d’actions pour y parvenir. La surveillance continue aide le
responsable de l’audit interne à déterminer si les processus d’audit interne correspondent
à la qualité requise au niveau de chaque mission. Généralement, la surveillance continue
se fait de façon régulière tout au long de l’année grâce à la mise en œuvre de pratiques
Version 31/05/2017
normalisées de travail. Pour ce faire, le responsable de l’audit interne peut élaborer des
modèles que les auditeurs internes utiliseront lors des missions pour assurer une
application cohérente des Normes.

112
2
Une supervision adéquate est un élément fondamental de tout programme d’assurance et

d’amélioration qualité. La supervision commence ds la planification et se poursuit tout au
long des phases de réalisation et de communication de la mission. Une supervision adé-
quate passe par une définition claire des attentes, une communication continue entre les
auditeurs internes tout au long de la mission et des procédures de revue des documents
de travail, y compris leur prompte validation par la personne responsable de la supervision
des missions. Le Guide de mise en œuvre de la Norme 2340 fournit des indications
complémentaires concernant la supervision des missions d’audit interne.
Les guides de mise en œuvre de la série de normes 2200, 2300 et 2400 fournissent des
indications supplémentaires sur la réalisation appropriée d’une mission, de sa planification
à la diffusion des résultats.
Parmi les autres mécanismes couramment utilisés aux fins de le surveillance continue
figurent :
• Des listes de contrôle ou des outils informatisés pour s’assurer que les auditeurs
internes respectent les pratiques et procédures établies, et assurer la cohérence dans
l’application des normes de fonctionnement.
• Les réactions des clients de l’audit interne et des autres parties prenantes concernant
l’efficacité et l’efficience de l’équipe d’audit interne. Ces avis peuvent être sollicités
immédiatement après la mission ou sur une base périodique (par exemple, semestriel-
lement ou annuellement) par le biais d’enquêtes ou d’échanges entre le responsable
de l’audit interne et le management.
• Les indicateurs clés de performance des auditeurs internes et de la mission tels que le
taux d’auditeurs internes certifiés, le nombre d’années d’expérience en audit interne,
le nombre d’heures de développement professionnel effectuées au cours de l’année,
le respect des délais et la satisfaction des parties prenantes.
• D’autres mesures peuvent servir à déterminer l’efficience et l’efficacité de l’activité

d’audit interne. Par exemple, des indicateurs et des systèmes de suivi des budgets
prévisionnels par projet, des temps passés et de la réalisation du plan d’audit peuvent
aider à déterminer si le temps consacré à tous les aspects de la mission d’audit est
Version 31/05/2017
adapté. L’écart prévisionnel réalisé peut également constituer une mesure utile pour
déterminer l’efficience et l’efficacité de l’audit interne.

113
3
Au-delà de la confirmation de la conformité avec les Normes et le Code de déontologie,

une surveillance continue peut permettre d’identifier des pistes d’amélioration de l’audit
interne. Dans ce cas, il appartient généralement au responsable de l’audit interne de
traiter ces opportunités d’amélioration et d’élaborer un plan d’actions. Une fois les
changements mis en œuvre, des indicateurs clés de performance peuvent être utilisés
pour piloter l’atteinte des objectifs. Les résultats de la surveillance continue doivent être
communiqués au Conseil au moins une fois par an, conformément à la Norme 1320 –
Communication relative au programme d’assurance et d’amélioration qualité.
Auto-évaluations périodiques
Les auto-évaluations périodiques ont une portée différente de celle de la surveillance conti-
nue, dans la mesure où elles permettent généralement un examen plus global et
exhaustif des Normes et de la fonction d’audit interne. En revanche, la surveillance continue
est généralement axée sur les revues effectuées au niveau de la mission. En outre, les
auto-évaluations périodiques concernent la conformité avec chaque norme, tandis que la
surveillance continue est davantage axée sur les normes de fonctionnement au niveau de
la mission.
Les auto-évaluations périodiques sont généralement menées par un membre de

l’encadrement de la fonction d’audit interne, par une équipe d’assurance qualité dédiée
ou par une personne au sein de la fonction d’audit interne ayant une expérience
approfondie du Cadre de référence international des pratiques professionnelles, par des
auditeurs internes certifiés ou par d’autres professionnels de l’audit interne compétents
qui peuvent être affectés à d’autres fonctions au sein de l’organisation. Dans la mesure du
possible, il est préférable d’intégrer les auditeurs internes au processus d’auto-évaluation,
car cela peut constituer une opportunité de formation pour améliorer leur compréhension
du Cadre de référence international des pratiques professionnelles.
L’audit interne mène des auto-évaluations visant à confirmer sa conformité avec les
Normes et le Code de déontologie et à évaluer :
• la qualité et la supervision des travaux ;
• l’adéquation et le caractère approprié des politiques et des procédures d’audit interne ;

Version 31/05/2017
• les leviers par lesquels l’audit interne crée de la valeur ajoutée ;

114
4
• l’atteinte des cibles des indicateurs clés de performance ;
• le niveau de satisfaction des attentes des parties prenantes.
Pour ce faire, la personne ou l’équipe chargée de l’auto-évaluation procède habituelle-

ment à l’évaluation de chaque norme pour déterminer si l’audit interne fonctionne de façon
conforme. Cela peut inclure des entretiens approfondis et des enquêtes auprès des parties
prenantes. Grâce à ce processus, le responsable de l’audit interne est généralement en
mesure d’évaluer la qualité des pratiques d’audit interne, y compris le respect des politiques
et des procédures relatives à la réalisation des missions. Des auto-évaluations périodiques
peuvent être effectuées par un membre de la fonction d’audit interne ou par d’autres per-
sonnes au sein de l’organisation ayant une connaissance suffisante des pratiques d’audit
interne, en particulier des Normes et du Code de déontologie.
Pour renforcer l’auto-évaluation périodique, la fonction d’audit interne peut réaliser des acti-
vités supplémentaires, telles que des revues post-mission ou l’analyse des indicateurs clés
de performance.
• Revue post-mission – L’audit interne peut sélectionner un échantillon de missions

réalisées au cours d’une période donnée et effectuer une revue de conformité avec les
politiques d’audit interne (cf. Norme 2040 – Règles et procédures) et de conformité
avec les Normes et le Code de déontologie. Ces revues sont généralement
effectuées par des auditeurs internes n’ayant pas participé à la mission visée par la
revue. Dans les organisations de grande taille ou plus matures, ce processus peut
être géré par un spécialiste ou une équipe d’assurance qualité. Dans des
organisations d’une taille moins importante, le responsable de l’audit interne ou le
responsable de la revue des documents de travail peut remplir une liste de contrôle à
la publication du rapport final.
• Analyse des indicateurs clés de performance – L’audit interne peut également

surveiller et analyser les indicateurs clés de performance liés à l’efficacité des
pratiques normalisées d’audit interne (par exemple, le rapport entre nombre d’heures
prévisionnelles et réalisées pour une mission, le pourcentage du plan d’audit réalisé,
le nombre de jours entre l’achèvement des travaux sur le terrain et la diffusion du
Version 31/05/2017
rapport, le pourcentage de recommandations d’audit mises en œuvre et le respect des

délais de mise en œuvre des mesures correctrices liées aux constats d’audit). Parmi
d’autres indicateurs couramment utilisés figurent le taux d’auditeurs internes certifiés,

115
5
le nombre d’années d’expérience en audit interne, le nombre d’heures de développe-

ment professionnel effectuées au cours de l’exercice.
À la suite d’une auto-évaluation périodique, le responsable de l’audit interne peut, le cas

échéant, élaborer un plan d’actions pour identifier les opportunités d’amélioration. Ce plan
devrait inclure des échéances pour les actions proposées.
Les résultats des auto-évaluations périodiques, qui indiquent le niveau de conformité

de l’audit interne aux Normes et au Code de déontologie, doivent être communiqués au
Conseil une fois celles-ci achevées, conformément à la Norme 1320. Une auto-évaluation
périodique effectuée peu de temps avant une évaluation externe peut contribuer à réduire
le temps et les efforts nécessaires pour mener à bien l’évaluation externe (cf. Norme 1312
– Évaluations externes).
Plusieurs éléments sont susceptibles d’indiquer la conformité avec la Norme 1311, y com-
pris tout élément prouvant que les activités de surveillance continue ont été réalisées sui-
vant le programme d’assurance et d’amélioration qualité de l’audit interne. Par exemple, des
listes de vérification complétées qui étayent les revues de documents de travail, les
résultats d’enquêtes et les indicateurs clés de performance concernant l’efficacité et
l’efficience de l’audit interne, et notamment, l’analyse du rapport entre nombre d’heures
prévisionnelles et réalisées. En outre, la conformité peut être démontrée par des
documents relatifs aux évaluations périodiques effectuées, y compris le périmètre de la
revue et du plan d’approche, les documents de travail et la communication. Enfin, les
présentations au Conseil et à la direction générale, les procès-verbaux de réunions et les
résultats de la surveillance continue et de l’auto-évaluation périodique – y compris les
plans d’actions correctives et les mesures mises en œuvre pour améliorer la conformité,
l’efficience et l’efficacité – peuvent être des indicateurs de la conformité.
Version 31/05/2017

116
6
Norme 1312 - Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un
évaluateur ou une équipe qualifiés, indépendants et extérieurs à l’organisation. Le
responsable de l’audit interne doit s’entretenir avec le Conseil au sujet :
• des modalités et de la fréquence de l’évaluation externe ;
• des qualifications de l’évaluateur ou de l’équipe d’évaluation externes ainsi que
de leur indépendance, y compris au regard de tout conflit d’intérêts potentiel.
Interprétation :
Les évaluations externes peuvent être effectuées par une évaluation entièrement
externalisée ou une auto-évaluation suivie d’une validation indépendante externe.
L’évaluateur externe doit statuer sur la conformité avec les Normes et le Code de
déontologie. L’évaluation externe peut également inclure des commentaires de portée
opérationnelle ou stratégique.
Un évaluateur ou une équipe d’évaluation qualifiés possèdent des compétences dans
deux domaines : la pratique professionnelle de l’audit interne et le processus
d’évaluation externe. Ces compétences peuvent être démontrées à travers une
combinaison d’expériences professionnelles et de connaissances théoriques.
L’expérience acquise dans des organisations de taille, de complexité, de secteur
d’activité, et de problématiques techniques similaires est à privilégier.
Dans le cadre d’une équipe d’évaluation, il n’est pas nécessaire que chaque membre de
l’équipe possède toutes les compétences requises ; c’est l’équipe dans son ensemble
qui est qualifiée. Le responsable de l’audit interne doit se servir de son jugement pro-
fessionnel pour apprécier si un évaluateur ou une équipe d’évaluation possèdent suf-
isamment de compétences pour pouvoir mener à bien la mission d’évaluation.
La personne ou l’équipe qui procèdent à l’évaluation doivent être indépendantes de
l’organisation dont la fonction d’audit interne fait partie et ne pas se trouver en situation
de conflit d’intérêts, réel ou perçu comme tel. Le responsable de l’audit devrait encou-
rager la surveillance de l’évaluation externe par le Conseil pour limiter les conflits d’in-
térêts perçus ou potentiels.
Version 31/05/2017

Guide de mise en œuvre 1312 / Évaluations externes
Préalables
Comme indiqué dans la présente norme, le responsable de l’audit interne est chargé de
s’assurer qu’une évaluation par un évaluateur ou une équipe d’évaluation indépendants
et extérieurs à l’organisation est réalisée au moins une fois tous les cinq ans. L’évaluation
externe est une exigence du programme d’assurance et d’amélioration qualité de l’audit
interne. Elle permet de vérifier que l’audit interne est conforme aux Normes internationales
pour la pratique professionnelle de l’audit interne (les Normes) et que les auditeurs
internes respectent le Code de déontologie de l’IIA. Il est donc essentiel que le
responsable de l’audit interne procède régulièrement à la revue du Cadre de référence
international des pratiques professionnelles (CRIPP) et qu’il soit avisé de tout changement
qui devrait être diffusé au sein de la fonction d’audit interne.
En général, le responsable de l’audit interne connait les différents types d’évaluations

externes et de ressources disponibles pour fournir ces services. Par ailleurs, le responsable
de l’audit interne est généralement au courant des politiques d’achat de l’organisation qui
pourrait concerner le recours à un prestataire externe. Le responsable de l’audit interne doit
par ailleurs connaître les exigences d’indépendance de l’évaluateur externe ou de l’équipe
d’évaluation et savoir dans quel contexte l’indépendance ou l’objectivité peuvent être com-
promises ou un conflit d’intérêts peut survenir.
Habituellement, le responsable de l’audit interne s’entretient avec la direction générale et le

Conseil au sujet de la fréquence et du type d’évaluation externe à effectuer. Ces échanges
permettent au responsable de l’audit interne d’informer les parties prenantes et de mieux
comprendre et apprécier les attentes de l’organisation.
Les Normes exigent que l’audit interne soit soumis à une évaluation externe au moins une fois
tous les cinq ans. Toutefois, en discutant de ces exigences avec la direction générale et le
Conseil, le responsable de l’audit interne peut déterminer qu’il est opportun de procéder à des
Version 31/05/2017
évaluations externes plus fréquentes. Plusieurs raisons peuvent justifier des évaluations plus
fréquentes, et notamment, des changements au niveau des dirigeants (par exemple,

118
2
au niveau de la direction générale ou du responsable de l’audit interne), des modifications

importantes des politiques ou procédures d’audit interne, la fusion de deux ou plusieurs
entités d’audit en une seule fonction d’audit interne, un taux de rotation important des col-
laborateurs. En outre, des questions liées au secteur d’activité ou à l’écosystème peuvent
justifier une revue plus fréquente.
Les évaluations externes permettent de vérifier si l’audit interne est en conformité avec les
Normes et si les auditeurs internes respectent le Code de déontologie. Comme il est indiqué
dans la Norme 1320 – Communication relative au programme d’assurance et
d’amélioration qualité – les résultats de l’évaluation externe, y compris la conclusion de
l’évaluateur ou de l’équipe d’évaluation sur la conformité, doivent être communiqués à la
direction générale et au Conseil dès l’achèvement de l’évaluation.
Deux approches
Les évaluations externes peuvent être réalisées en utilisant l’une des deux approches sui-
vantes : une évaluation entièrement externalisée ou une auto-évaluation suivie d’une vali-
dation indépendante externe. Une évaluation externe complète est effectuée par un éva-
luateur ou une équipe d’évaluation externes qualifiés et indépendants. L’équipe devrait être
composée de professionnels compétents et dirigée par un professionnel expérimenté. Le
périmètre d’une évaluation entièrement externalisée comprend généralement trois éléments
principaux :
• Le niveau de conformité avec les Normes et le Code de déontologie. Cet aspect peut
être évalué grâce à une revue de la charte, des plans, des politiques, des procédures
et des pratiques d’audit interne. Dans certains cas, la revue peut également inclure les
exigences légales et réglementaires applicables.
• L’efficacité et l’efficience de l’audit interne. Cet aspect peut être mesuré grâce à une
évaluation des processus et de structure de l’audit interne, y compris le programme
d’assurance et d’amélioration qualité, et une évaluation des connaissances, de l’expé-
rience et de l’expertise des auditeurs interne.
• La mesure dans laquelle l’audit interne répond aux attentes du Conseil, de la direction
Version 31/05/2017
générale et du management et apporte de la valeur ajoutée à l’organisation.

119
3
La deuxième approche pour répondre à l’exigence d’une évaluation externe est une
auto-évaluation suivie d’une validation indépendante externe. Ce type d’évaluation externe
est généralement effectuée par la fonction d’audit interne puis validée par un évaluateur
externe qualifié et indépendant. Le périmètre d’une auto-évaluation suivie d’une validation
indépendante couvre généralement les aspects suivants :
• Un processus d’auto-évaluation exhaustif et documenté, similaire au processus d’éva-

luation entièrement externalisé, au moins en ce qui concerne l’évaluation de la confor-
mité de l’audit interne avec les Normes et le Code de déontologie.
• Une validation sur site par un évaluateur externe qualifié et indépendant.
• Des diligences limitées dans d’autres domaines tels que l’analyse comparative,
la revue, la discussion et l’utilisation de pratiques de référence, et des entretiens avec
la direction générale et le management.
Qualifications de l’évaluateur externe

Quelle que soit l’approche d’évaluation externe privilégiée, il convient de sélectionner un
évaluateur externe ou une équipe d’évaluation externe qualifiée pour sa réalisation. Le res-
ponsable de l’audit interne consulte généralement la direction générale et le Conseil pour
choisir l’évaluateur ou l’équipe d’évaluation. Les évaluateurs ou les équipes d’évaluation
doivent être compétents dans deux principaux domaines : la pratique professionnelle de
l’audit interne (y compris une connaissance approfondie du Cadre de référence international
des pratiques professionnelles) et le processus d’évaluation externe. Parmi les qualifica-
tions et les compétences recherchées figurent généralement :
• la certification en tant que professionnel de l’audit interne (par exemple, le

CIA_ Certified Internal Auditor) ;
• la connaissance des pratiques de référence en audit interne ;
• une expérience suffisamment récente de la pratique de l’audit interne à un poste de

responsabilité justifiant une connaissance opérationnelle du cadre de référence des
pratiques professionnelles de l’audit interne et de son utilisation.
Version 31/05/2017

120
4
Les organisations peuvent demander des qualifications et des compétences supplémen-

taires aux responsables d’équipe d’évaluation et aux évaluateurs indépendants, notamment :
• un niveau supplémentaire de compétences et d’expérience acquis lors de précé-

dentes évaluations externes ;
• la participation aux séminaires de formation à l’évaluation de la qualité proposés par

l’IIA ou à une formation similaire ;
• une expérience en tant que responsable de l’audit interne ou manager d’audit interne ;
• une expertise technique et sectorielle pertinente.
Les personnes ayant une expertise dans d’autres domaines peuvent apporter leur soutien, selon
le cas. Par exemple, des spécialistes du management des risques, de l’audit informatique, de
l’échantillonnage statistique, des systèmes de suivi et de l’auto-évaluation des contrôles.
Le responsable de l’audit interne devrait déterminer les compétences souhaitées en

matière d’évaluation externe et se fonder sur son jugement professionnel pour
sélectionner l’évaluateur ou l’équipe d’évaluation. Par exemple, en fonction des besoins
de l’audit interne, le responsable de l’audit interne peut rechercher, pour leurs qualités
professionnelles particulières, des personnes ayant une expérience en audit interne au
sein d’une organisation dont la taille, la complexité et l’activité sont similaires. Il n’est pas
nécessaire que chaque personne faisant partie de l’équipe possède toutes les
compétences recherchées ; pour obtenir les meilleurs résultats, la qualification est
appréciée au niveau de l’ensemble de l’équipe.
Indépendance et objectivité de l’évaluateur

Avant de sélectionner un évaluateur externe ou une équipe d’évaluation, le responsable
de l’audit interne, la direction générale et le Conseil devraient examiner et discuter
différents facteurs liés à l’indépendance et à l’objectivité. Les évaluateurs externes, les
équipes d’évaluation et leurs organisations ne devraient pas se trouver en situation de
conflit d’intérêts réel, potentiel ou perçu comme tel, susceptible de porter atteinte à
l’objectivité. Les déficiences potentielles peuvent inclure les relations passées, présentes
ou futures avec l’organisation, ses collaborateurs ou ses activités d’audit interne (par
exemple, l’audit externe des états financiers qui utilise les travaux de l’audit interne, des
Version 31/05/2017
prestations de services pour l’audit interne, des relations personnelles, la participation

antérieure ou future à des évaluations internes de la qualité ou des missions de conseil

en matière de gouvernance, de management des risques, de communication financière, de

contrôle interne ou d’autres domaines connexes).
Dans les cas où les évaluateurs potentiels sont d’anciens collaborateurs de la fonction d’au-
dit interne de l’organisation, il faut tenir compte de la durée pendant laquelle l’évaluateur a
été indépendant (dans ce contexte, indépendant signifie ne pas être en position de conflit
d’intérêts réel ou perçu et ne pas faire partie ou être sous l’influence de l’organisation dont
la fonction d’audit interne fait partie).
Les collaborateurs d’autres fonctions de l’organisation, bien que ne faisant pas partie de
l’audit interne d’un point de vue organisationnel, ne sont pas considérés comme indépen-
dants aux fins d’une évaluation externe. Dans le secteur public, les fonctions d’audit interne
d’entités distinctes appartenant à la même administration ne sont pas considérées comme
indépendantes si elles sont rattachées au même responsable de l’audit interne. De même,
les employés d’une organisation apparentée (par exemple, une organisation mère, une
filiale du même groupe d’entités ou une entité exerçant régulièrement des tâches de surveil-
lance, de supervision ou d’assurance qualité pour l’organisation visée) ne sont pas consi-
dérés comme indépendants.
Les évaluations réciproques par les pairs entre deux organisations ne sont pas considérées
comme indépendantes. Cependant, les évaluations réciproques entre trois ou plus orga-
nisations pairs – des organisations appartenant au même secteur d’activité, association
régionale ou d’autre critère d’appartenance – sont réputées indépendantes. Il faut cepen-
dant veiller à ce que l’indépendance et l’objectivité ne soient pas altérées et que tous les
membres de l’équipe puissent exercer pleinement leurs responsabilités.
Le rapport de l’évaluateur externe est le document principal utilisé pour démontrer la

conformité avec la Norme 1312. Ce rapport comprend souvent des recommandations de
l’évaluateur externe et des plans d’actions de l’organisation pour améliorer la qualité,
l’efficacité et l’efficience de l’audit interne. Il peut donner de nouvelles idées ou moyens
Version 31/05/2017
permettant à l’audit interne de mieux répondre aux parties prenantes de l’organisation et

créer de la valeur ajoutée.
The
The Institute
Institute of
of Internal Auditors Global
Internal Auditors Global 122
6 www.globaliia.org www.theiia.org
Parmi les documents supplémentaires susceptibles de prouver la conformité figurent les

procès-verbaux des réunions du Conseil au cours desquelles les plans et les résultats
d’évaluations externes ont été discutés. Un rapport d’étude comparative et les cahiers des
charges peuvent démontrer la diligence raisonnable dont l’organisation fait preuve lors de la
sélection des évaluateurs externes.
Version 31/05/2017

123
7
Norme 1320 - Communication relative au programme

d’assurance et d’amélioration qualité
Le responsable de l’audit interne doit communiquer les résultats du programme d’as-

surance et d’amélioration qualité à la direction générale ainsi qu’au Conseil. Cette
communication devrait inclure :
• le périmètre et la fréquence des évaluations internes et externes ;

• les qualifications et l’indépendance du ou de(s) évaluateur(s) ou de
l’équipe d’évaluateurs y compris les conflits d’intérêts potentiels ;
• les conclusions des évaluateurs ;
• les plans d’actions correctives.
Interprétation :
La forme, le contenu ainsi que la fréquence des communications relatives aux
résultats du programme d’assurance et d’amélioration qualité sont définis lors de
discussions avec la direction générale et le Conseil, et tiennent compte des
responsabilités de la fonction d’audit interne et de celles du responsable de l’audit
interne comme définies dans la charte d’audit interne. Pour démontrer la
conformité au Code de déontologie et aux Normes, les résultats des évaluations
internes périodiques et des évaluations externes doivent être communiqués dès
l’achèvement de ces évaluations. Les résultats de la surveillance continue sont
quant à eux communiqués au moins une fois par an. Ces résultats incluent
l’appréciation de l’évaluateur ou de l’équipe d’évaluation sur le degré de conformité
de l’audit interne.
Version 31/05/2017

Guide de mise en œuvre 1320 / Communication relative au programme d’assurance
et d’amélioration qualité
Préalables
La Norme 1320 prévoit le minimum d’éléments que le responsable de l’audit interne doit
communiquer à la direction générale et au Conseil à propos du programme d’assurance et
d’amélioration qualité. L’examen des exigences relatives à chaque élément de la norme
peut aider le responsable de l’audit interne à se préparer à sa mise en œuvre.
Comme l’indique cette norme, le responsable de l’audit interne est chargé de la communi-
cation des résultats de l’ensemble du programme. Pour ce faire, le responsable de l’audit
interne doit comprendre les exigences du programme d’assurance et d’amélioration qualité
(cf. Norme 1300). En règle générale, le responsable de l’audit interne rencontre régu-
lièrement la direction générale et le Conseil pour comprendre et se mettre d’accord sur les
attentes concernant la communication relative à l’audit interne, y compris celle concernant
le programme d’assurance et d’amélioration qualité. Le responsable de l’audit interne tient
également compte des responsabilités liées à ce programme telles que décrites dans la
charte d’audit interne.
Le responsable de l’audit interne devrait être avisé des évaluations internes, y compris les
évaluations périodiques et la surveillance continue, ainsi que des évaluations externes
réalisées. À ce titre, le responsable de l’audit interne devrait connaître le niveau de
conformité de sa fonction aux Normes internationales pour la pratique professionnelle de
l’audit interne (les Normes) et au Code de déontologie de l’IIA.
Généralement, les détails concernant le programme d’assurance et d’amélioration quali-

té sont documentés dans les politiques et le manuel de procédure de l’audit interne (cf.
Norme 2040 – Règles et procédures) ainsi que dans la charte d’audit interne (cf.
Norme 1010 – Reconnaissance des dispositions obligatoires dans la charte d’audit
interne). Le responsable de l’audit interne peut commencer par analyser ces
renseignements pour comprendre les exigences en matière de communication sur le
Version 31/05/2017
programme d’assurance et d’amélioration qualité. Cette communication peut être

structurée autour des quatre éléments clés suivants :

• le périmètre et la fréquence des évaluations internes et externes ;
• les qualifications et l’indépendance des évaluateurs ;
• les conclusions des évaluateurs ;
• les plans d’actions correctives.
Le périmètre et la fréquence des évaluations internes et externes

Le périmètre et la fréquence des évaluations internes et externes doivent être discutées
avec le Conseil et la direction générale (cf. Norme 1311 – Évaluations internes et Norme
1312 – Évaluations externes). Le périmètre devrait tenir compte des responsabilités de
l’audit interne et de celles du responsable de l’audit interne, telles que prévues par la charte
d’audit interne. Le périmètre peut couvrir les attentes du Conseil et de la direction générale
concernant l’audit interne, ainsi que celles exprimées par les autres parties prenantes. Elle
peut également couvrir des pratiques d’audit interne évaluées par rapport aux
Normes, ainsi que les exigences réglementaires pouvant avoir une incidence sur l’audit
interne. La fréquence des évaluations externes varie en fonction de la taille et de la
maturité de la fonction d’audit interne.
Évaluations internes
Le responsable de l’audit interne devrait établir un dispositif pour communiquer les
résultats des évaluations internes au moins une fois par an afin d’améliorer la crédibilité et
l’objectivité de l’audit interne. Selon l’interprétation de la Norme 1320, les résultats des
évaluations internes périodiques devraient être communiqués dès l’achèvement de ces
évaluations, et les résultats de la surveillance continue devraient être communiqués au
moins une fois par an.
Les évaluations périodiques internes peuvent inclure une évaluation de la conformité de
l’audit interne avec les Normes pour étayer la déclaration de conformité de la fonction d’au-
dit interne (cf. Norme 1321 - Utilisation de la mention « conforme aux Normes inter-
nationales pour la pratique professionnelle de l’audit interne »). Les organisations d’une
taille plus importante peuvent effectuer des évaluations internes périodiques chaque année,
tandis que les fonctions d’audit interne des organisations d’une taille moins importante ou
moins matures peuvent les effectuer avec des intervalles plus longs (par exemple, tous les
deux ans). La fonction d’audit interne peut également effectuer une évaluation périodique
Version 31/05/2017
sur un rythme pluriannuel et rendre compte séparément des résultats des travaux effectués
au cours de chaque période.

La surveillance continue comprend généralement un reporting des indicateurs clés de per-

formance de l’audit interne. Le responsable de l’audit interne peut adresser un rapport an-
nuel à la direction générale et au Conseil sur les résultats de la surveillance continue et y
fait figurer toute recommandation d’amélioration.
En règle générale, les personnes chargées de la surveillance continue et des évaluations

internes périodiques communiquent les résultats directement au responsable de l’audit in-
terne. Dans les fonctions d’audit interne d’une taille moins importante, le responsable de
l’audit interne peut jouer un rôle plus direct dans le processus d’évaluation interne. Les
résultats des évaluations internes incluent, le cas échéant, des plans d’actions correctives
et le suivi de l’état d’avancement de leur mise en œuvre. Le responsable de l’audit interne
peut diffuser des rapports d’évaluation interne à diverses parties prenantes, y compris à la
direction générale, au Conseil et aux auditeurs externes.
Le Guide de mise en œuvre de la Norme 1311 fournit des indications complémentaires sur
la surveillance continue et les évaluations internes périodiques.
Évaluations externes
Le responsable de l’audit interne doit discuter de la fréquence des évaluations externes
avec la direction générale et le Conseil. Les Normes exigent une évaluation externe au
moins tous les cinq ans. Toutefois, en discutant de ces exigences avec la direction générale
et le Conseil, le responsable de l’audit interne peut déterminer qu’il est approprié de procé-
der à une évaluation externe plus fréquente. Cette option peut être retenue pour
différentes raisons, et notamment, des changements au niveau des dirigeants (par
exemple, au niveau de la direction générale ou du responsable de l’audit interne), des
modifications significatives des politiques ou des procédures d’audit interne, la fusion de
deux ou plusieurs entités d’audit en une seule fonction d’audit interne, ou un taux de
rotation important des collaborateurs. En outre, des questions propres au secteur
d’activité ou à l’écosystème peuvent justifier une revue plus fréquente.
Qualifications et indépendance des évaluateurs

Lors de la sélection d’un évaluateur externe ou d’une équipe d’évaluation, le responsable
Version 31/05/2017
de l’audit interne échange habituellement avec la direction générale et le Conseil sur le

thème des qualifications requises du candidat potentiel et des différents facteurs liés à l’in-

dépendance et à l’objectivité, y compris les conflits d’intérêts réels, potentiels ou perçus.

Par la suite, lors de la communication des résultats de l’évaluation externe, le responsable
de l’audit interne confirme généralement les qualifications et l’indépendance de l’évaluateur
externe ou de l’équipe d’évaluation. Tout conflit d’intérêts réel, potentiel ou perçu devrait être
signalé à la direction générale et au Conseil. Le Guide de mise en œuvre de la Norme 1312
fournit des indications complémentaires sur la qualification et l’indépendance des évalua-
teurs externes.
Les conclusions des évaluateurs

Les rapports d’évaluation externe comprennent l’opinion ou la conclusion sur les résultats
de l’évaluation externe. En plus des conclusions sur le niveau global de conformité de
l’audit interne avec les Normes, le rapport peut inclure une évaluation concernant chaque
norme et/ou série de normes. Le responsable de l’audit interne devrait expliquer la
cotation de la (des) conclusion(s) à la direction générale et au Conseil, ainsi que l’impact
de ces résultats. Ci-après, un exemple d’échelle de cotation qui peut être utilisée afin
d’illustrer le niveau de conformité :
• Généralement conforme - Il s’agit du niveau le plus élevé qui signifie que la fonc-
tion d’audit interne a une charte, des politiques et des processus, et que leur mise en
œuvre ainsi que leurs résultats sont jugés conformes aux Normes.
• Partiellement conforme - Les pratiques de l’audit interne comportent des écarts par
rapport aux Normes, mais ces lacunes n’empêchent pas la fonction de s’acquitter de
ses responsabilités.
• Non conforme - Les pratiques de l’audit interne comportent des écarts significatifs par
rapport aux Normes au point d’entraver ou d’empêcher la fonction d’audit interne de
s’acquitter de façon adéquate de ses responsabilités dans tous les domaines ou dans
ceux qui sont significatifs.
Plan d’actions correctives

Lors d’une évaluation externe, l’évaluateur peut formuler des recommandations pour traiter
des aspects qui ne sont pas conformes aux Normes, ainsi que des opportunités d’amélio-
Version 31/05/2017
ration. Le responsable de l’audit interne devrait communiquer à la direction générale et au

Conseil tous les plans d’actions en réponse aux recommandations de l’évaluation externe.

Le responsable de l’audit interne peut également envisager d’intégrer des recommanda-

tions et des plans d’actions liés à l’évaluation externe aux processus de suivi des constats
de l’audit interne (cf. Norme 2500 – Surveillance des actions de progrès). Après la mise en
œuvre des recommandations de l’évaluation externe, le responsable de l’audit interne
informe généralement le Conseil, soit dans le cadre du processus de suivi des missions de
l’audit interne, soit au titre d’un suivi distinct de l’évaluation interne (Norme 1311) dans le
cadre du programme d’assurance et d’amélioration qualité.
pris les procès-verbaux des réunions du Conseil ou d’autres réunions, qui font état des dis-
cussions avec la direction générale et le Conseil concernant le périmètre et la fréquence des
évaluations internes et externes. Les procès-verbaux des réunions du Conseil ou d’autres
réunions devraient également documenter les qualifications et l’indépendance de l’évalua-
teur ou de l’équipe d’évaluation externes. En outre, la documentation relative aux
achats peut indiquer le processus lié aux exigences d’appel d’offres.
D’autres documents peuvent indiquer la conformité avec la norme, en particulier ceux liés
à la communication concernant des évaluations périodiques internes et externes. La
communication du responsable de l’audit interne peut inclure une copie du rapport
d’évaluation externe. Ce rapport fournit généralement des éléments détaillés qui étayent
la conclusion de l’évaluateur et peut inclure une évaluation par rapport à chaque norme.
L’évaluateur externe peut faire une présentation à la direction générale et au Conseil, ou
le responsable de l’audit interne peut communiquer directement les résultats du
programme d’assurance et d’amélioration qualité.
Version 31/05/2017

Norme 1321 - Utilisation de la mention « conforme aux

Normes internationales pour la pratique professionnelle
de l’audit interne »
Indiquer que l’audit interne est conforme aux Normes internationales pour la pratique
professionnelle de l’audit interne est approprié seulement si, les résultats du pro-
gramme d’assurance et d’amélioration qualité le con irment.
Interprétation :
L’audit interne est en conformité avec le Code de déontologie et les Normes lorsqu’il
respecte ces exigences. Les résultats du programme d’assurance et d’amélioration
qualité incluent les résultats des évaluations internes et des évaluations externes.
Toute fonction d’audit interne disposera des résultats d’évaluations internes. Les fonc-
tions d’audit interne qui ont plus de cinq ans d’ancienneté disposeront également des
résultats de leurs évaluations externes.

Version 31/05/2017

Guide de mise en œuvre 1321 / Utilisation de la mention « conforme aux Normes
internationales pour la pratique professionnelle de
l’audit interne »
Préalables
Les évaluations internes et externes sont réalisées afin d’évaluer la fonction d’audit interne
et d’exprimer une opinion sur sa conformité avec les Normes internationales pour la pra-
tique professionnelle de l’audit interne (les Normes) et le respect du Code de déontologie
de l’IIA par les auditeurs internes. Elles peuvent également inclure des recommandations
d’amélioration.
Le responsable de l’audit interne devrait connaître les exigences d’un programme d’as-
surance et d’amélioration qualité et être avisé des résultats des évaluations internes et
externes. Le responsable de l’audit interne a généralement connaissance des attentes du
Conseil concernant l’utilisation de la mention « conforme aux Normes internationales pour
la pratique professionnelle de l’audit interne». Le responsable de l’audit interne peut discu-
ter régulièrement de cet usage avec le Conseil pour obtenir et maintenir une compréhension
des attentes en la matière.
Les auditeurs internes peuvent indiquer, par écrit ou verbalement, que l’audit interne est
conforme aux Normes si les résultats du programme d’assurance et d’amélioration qualité
qui comprend des évaluations tant internes qu’externes, permettent, conformément à la
Norme 1312, d’étayer une telle déclaration.
Lorsqu’une évaluation externe permet de valider la conformité avec les Normes, l’audit in-
terne peut continuer à utiliser cette mention – dans la mesure ou les évaluations internes
permettent de confirmer une telle déclaration – jusqu’à l’évaluation externe suivante.
Les scénarios énumérés ci-après permettent de démontrer l’utilisation correcte de la men-

tion de conformité :
• Si les résultats de l’évaluation interne en cours ou de l’évaluation externe la plus récente

ne confirment pas la conformité globale avec les Normes et le Code de déontologie de
l’IIA, l’audit interne doit cesser de déclarer que son fonctionnement est conforme.
Version 31/05/2017
• S’il existe depuis au moins cinq ans sans avoir effectué d’évaluation externe, l’audit
interne ne peut pas déclarer que son fonctionnement est conforme aux Normes.
The
The Institute
Institute of
of Internal Auditors Global
Internal Auditors Global 131
2 www.globaliia.org www.theiia.org
• Si l’audit interne a fait l’objet d’une évaluation externe au cours des cinq dernières
années, mais n’a pas effectué d’évaluation interne conformément au rythme communi-
qué au Conseil, le responsable de l’audit interne devra déterminer si le fonctionnement
est toujours conforme et si l’utilisation de la mention de conformité est appropriée en
attendant une validation par une évaluation interne.
• Une fonction d’audit interne de moins de cinq ans d’ancienneté peut indiquer un fonc-
tionnement conforme aux Normes seulement si une évaluation interne documentée
(c’est-à-dire, une auto-évaluation périodique) vient étayer cette conclusion.
• Si la dernière évaluation externe effectuée conformément à la Norme 1312 date de

plus de cinq ans, l’audit interne doit cesser d’indiquer que son fonctionnement est
toujours conforme jusqu’à ce qu’une évaluation externe soit réalisée et corrobore cette
déclaration.
• Si la conclusion générale d’une évaluation externe montre que l’audit interne ne fonc-
tionnait pas conformément aux Normes, la fonction d’audit interne doit immédiatement
cesser d’utiliser la mention de conformité aux Normes. L’utilisation de cette mention ne
pourra recommencer qu’après la remédiation de la non-conformité et la réalisation d’une
évaluation externe qui valide une évaluation exhaustive de conformité aux Normes.
Il est important de noter que les Normes sont fondées sur des principes. Il peut arriver qu’à
la suite de l’évaluation de la conformité avec les Normes, l’audit interne soit déclaré
partiel-lement conforme à une ou plusieurs normes. L’audit interne peut démontrer une
intention et un engagement clairs à respecter les Principes fondamentaux pour la
pratique professionnelle de l’audit interne, sur lesquels les Normes sont fondées, tout en
ayant encore des améliorations à faire pour être en conformité totale avec les Normes.
Dans ce cas, la fonction d’audit interne devrait analyser la conclusion de conformité
globale pour déterminer sa capacité à utiliser la mention de conformité.
Dans le cas où une mission donnée n’est pas en conformité avec les Normes, l’audit
interne peut être tenu de déclarer la non-conformité. Le responsable de l’audit interne est
chargé de la communication de tels cas de non-conformité. Le Guide de mise en œuvre
1322 fournit des indications complémentaires sur la non-conformité aux Normes.
Version 31/05/2017

pris les rapports des évaluations internes et externes dans lesquels l’évaluateur indique
que l’audit interne est conforme aux Normes. Les rapports de mission, la charte d’audit
interne, les dossiers du Conseil et les procès-verbaux des réunions, ainsi que d’autres
communications, peuvent également aider à démontrer la conformité avec cette norme.
Version 31/05/2017

Norme 1322 – Indication de non-conformité
Quand la non-conformité de l’audit interne avec le Code de déontologie ou les Normes

a une incidence sur le périmètre ou sur le fonctionnement de l’audit interne, le respon-
sable de l’audit interne doit informer la direction générale et le Conseil de cette non-
conformité et de ses conséquences.
Préalables
Le responsable de l’audit est chargé de s’assurer que l’audit interne fait l’objet d’une sur-
veillance continue, d’auto-évaluations périodiques et d’évaluations externes indépendantes,
conformément au programme d’assurance et d’amélioration qualité. Ces évaluations
internes et externes sont effectuées afin d’évaluer et d’exprimer un avis sur la conformité
de l’audit interne avec les Normes internationales pour la pratique professionnelle de l’audit
interne (les Normes) et le Code de déontologie de l’IIA. Le responsable de l’audit interne
devrait être avisé des résultats des évaluations internes et externes récentes.
La Norme 1322 s’applique dans les cas où le responsable de l’audit interne conclut que l’audit
interne n’est pas conforme aux Normes et au Code de déontologie et que la non-conformité
peut avoir un impact sur le périmètre ou le fonctionnement global de l’audit interne. Il est
important que le responsable de l’audit interne ait connaissance des dispositions obli-
Version 31/05/2017
gatoires du Cadre de référence international des pratiques professionnelles, de l’incidence

Guide de mise en œuvre 1322 / Indication de non-conformité
que les écarts éventuels de conformité pourraient avoir sur le périmètre de l’audit interne
et sur les attentes du Conseil et de la direction générale à propos de ce type de
conformité.
Les résultats des évaluations internes et externes et le niveau de conformité de l’audit in-
terne avec les Normes doivent être communiqués à la direction générale et au Conseil au
moins une fois par an. Ces évaluations peuvent révéler des atteintes à l’indépendance ou à
l’objectivité, des restrictions de périmètre, des limitations de ressources ou d’autres situations
qui peuvent affecter la capacité de la fonction d’audit interne à remplir ses responsabilités
envers les parties prenantes. Une telle non-conformité est généralement signalée au Conseil
lorsqu’elle est identifiée et est consignée dans les procès-verbaux des réunions.
Par exemple, une fonction d’audit interne ne faisant pas l’objet d’une évaluation externe au
moins une fois tous les cinq ans, n’est pas à même de déclarer sa conformité aux Normes
(cf. Guide de mise en œuvre 1321 – Utilisation de la mention « conforme aux Normes
internationales pour la pratique professionnelle de l’audit interne »). Dans ce cas, le
responsable de l’audit interne devra évaluer l’impact de cette non-conformité.
Parmi les exemples courants de non-conformité, notons notamment les cas :
• de l’auditeur interne affecté à une mission d’audit sans pour autant satisfaire aux exi-
gences d’objectivité individuelle (cf. Norme 1120) ;
• de la fonction d’audit interne qui lance une mission sans avoir les connaissances, les
compétences et l’expérience nécessaires pour s’acquitter de ses responsabilités (cf.
la Norme 1210) ;
• du responsable de l’audit interne qui n’a pas fondé la préparation du plan d’audit in-
terne sur une approche par les risques (cf. Norme 2010).
Dans les cas précités, le responsable de l’audit interne devra évaluer la non-conformité et
déterminer si celle-ci a un impact sur le périmètre ou le fonctionnement global de l’audit
Version 31/05/2017
interne. Il est également important que le responsable de l’audit interne examine si, et dans
quelle mesure, une situation de non-conformité peut affecter la capacité de l’audit interne à

135
2
Guide de mise en œuvre 1322 / Indication de non-conformité
assumer ses responsabilités professionnelles et/ou répondre aux attentes des parties pre-
nantes. Ces responsabilités peuvent inclure la capacité à fournir une assurance fiable dans
des domaines spécifiques au sein de l’organisation, à réaliser le plan d’audit et à prendre en
compte les domaines aux risques les plus élevés.
C’est à la suite de cet examen que le responsable de l’audit interne pourra informer la direc-
tion générale et le Conseil de la non-conformité et de son impact. Souvent, les déclarations
de cette nature impliquent une discussion avec la direction générale et une communication
lors d’une réunion du Conseil. Le responsable de l’audit interne peut également discuter de
la non-conformité lors des séances à huis clos avec le Conseil, des échanges en tête-à-tête
avec le président du Conseil ou grâce à d’autres méthodes appropriées.
Pour démontrer la conformité avec la Norme 1322, la fonction d’audit interne devrait
conserver la documentation relative à la survenance et à la nature de toute non-
conformité avec les Normes ou avec le Code de déontologie. Parmi d’autres éléments
susceptibles d’indiquer la conformité à la Norme figurent la documentation qui étaye la
détermination de l’impact global de la non-conformité, les procès-verbaux de réunions du
Conseil au cours desquelles la non-conformité de l’audit interne avec le Code de
déontologie ou les Normes a été signalée ou des notes de service ou des courriels
adressés à la direction générale et au Conseil qui abordent cette question. Il peut
également s’agir des résultats des évaluations internes ou externes, ainsi que toute
communication documentant l’absence de conformité et son impact sur le périmètre ou le
fonctionnement de l’audit interne.
Version 31/05/2017

136
3
Norme 2000 – Gestion de l’audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir
qu’elle apporte une valeur ajoutée à l’organisation.
Interprétation :
L’audit interne est géré efficacement quand :
• les objectifs et responsabilités définis dans la charte d’audit interne sont
atteints ;
• l’activité est exercée conformément aux Normes ;
• les membres de l’équipe d’audit respectent le Code de déontologie et les
Normes ;
• les tendances et les problématiques émergentes susceptibles d’avoir un impact
sur l’organisation sont prises en compte.
L’audit interne apporte de la valeur ajoutée à l’organisation ainsi qu’à ses

parties prenantes, lorsqu’il prend en compte la stratégie, les objectifs et les risques
de cette organisation, s’efforce de proposer des moyens d’améliorer les
processus de gouvernance, de management des risques et de contrôle, et
fournit avec objectivité une assurance pertinente.
1
Version 31/05/2017

Guide de mise en œuvre 2000 / Gestion de l'audit interne
Préalables
La Norme 2000 indique les critères que le responsable de l’audit interne doit a minina
satisfaire pour gérer cette activité. Passer en revue les différents éléments de l’interprétation
lui permettra de préparer la mise en œuvre de cette norme.
Comme le stipule cette Norme, le responsable de l’audit interne a la responsabilité d’assurer la

conformité globale de l’audit interne aux Normes et le respect, par chaque auditeur interne,
des Normes et du Code de déontologie. Il est donc essentiel qu’il consulte régulièrement le
Cadre international des pratiques professionnelles (CRIPP) afin d’en respecter
précisément les exigences.
La Norme 2000 précise les critères fondamentaux à satisfaire pour respecter le principe selon
lequel l’audit interne apporte de la valeur ajoutée à l’organisation. Le responsable de l’audit
interne peut commencer par revoir la mission et les responsabilités fixées conjointement avec
la direction générale et le Conseil dans la charte d’audit interne. En consultant l’organigramme
il pourra identifier les parties prenantes de l’organisation et comprendre sa structure et les
différents rattachements. L’examen du plan stratégique de l’organisation lui permettra de
mieux appréhender sa stratégie, ses objectifs et ses risques. Les risques à considérer devront
concerner les évolutions et les problématiques émergentes notamment celles qui sont liées au
secteur d’activité de l’organisation, à la profession d’audit interne elle-même, à la
réglementation ou encore au contexte politique et économique. Enfin, le responsable de l’audit
peut recueillir des informations complémentaires en discutant du plan stratégique avec la
direction générale et le Conseil.
Cette réflexion et cette analyse préalables fondent la capacité du responsable de l’audit

interne à gérer l’activité de manière à apporter une valeur ajoutée à l’organisation en
améliorant ses processus de gouvernance, de management des risques et de contrôle et
en lui fournissant une assurance pertinente.
Version 31/05/2017

Éléments à prendre en compte pour la mise en œuvre

À partir des informations recueillies, le responsable de l’audit interne élabore une stratégie et
une approche d’audit interne alignées sur les objectifs et les attentes des dirigeants de
l’organisation. En outre, comme indiqué dans la Norme 2010, il établit un plan d’audit interne
fondé sur une approche par les risques afin de définir les priorités de ses missions
d’assurance et de conseil. Pour cela, il prend en compte les points de vue de la direction
générale et du Conseil et s’appuie sur une évaluation annuelle et documentée des risques
(Norme 2010.A1).
Généralement, le responsable de l’audit interne définit dans le plan d’audit les éléments
suivants : le périmètre et les livrables, les ressources nécessaires à sa mise en œuvre, une
approche pour améliorer le fonctionnement de l’audit interne et évaluer sa performance ainsi
que l’état d’avancement du plan. Selon la Norme 2020, le responsable de l’audit interne doit
communiquer à la direction générale et au Conseil pour approbation son plan d’audit et ses
besoins en ressources ainsi que l'impact de toute limitation de ses ressources. Il doit
également signaler tout changement important susceptible d'intervenir dans le plan en cours
d'exercice.
La Norme 2030 précise que le responsable de l’audit interne doit aussi veiller à ce que les
ressources affectées à l’audit interne soient mises en œuvre de manière efficace pour réaliser
le plan d'audit approuvé. Pour mettre en œuvre une approche systématique et méthodique,
le responsable de l’audit interne s’appuie sur les dispositions obligatoires du CRIPP et établit
des règles et procédures d’audit interne (Norme 2040) souvent regroupées dans un manuel.
Cette documentation met à disposition des méthodes et des outils de formation destinés aux
auditeurs internes. Le responsable de l’audit interne peut leur demander d’attester par leur
signature qu’ils ont bien lu et compris les règles et procédures en question.
La Norme 2000 introduit l’obligation, pour le responsable de l’audit interne, de s’assurer que
l’activité apporte une valeur ajoutée à l’organisation en fournissant avec objectivité une
Version 31/05/2017

assurance pertinente et en proposant des améliorations des processus de gouvernance, de

management des risques et de contrôle. Les normes et les guides de mise en œuvre
de la série 2100 décrivent les exigences et les processus qui permettront à l’audit interne
d’atteindre ces objectifs.
Le responsable de l’audit interne assure une gestion efficace en veillant à la conformité de

l’audit interne aux dispositions obligatoires du Cadre de référence international des
pratiques professionnelles tant au niveau de chaque auditeur interne qu’au niveau de
l’activité dans son ensemble. Il est également tenu d’élaborer un programme d’assurance
et d’amélioration qualité (Norme 1300) et de mettre en œuvre des méthodes et des outils
spécifiques aux normes de la série 1200.
Le responsable de l’audit interne doit également déterminer si l’audit interne se conforme à la

Norme 2000. En règle générale, il développe des indicateurs pour évaluer l’efficacité et
l’efficience de l’audit interne. Pour cela, il dispose d’un certain nombre d’outils : enquêtes post-
audit auprès des clients, revue annuelle des performances de chaque auditeur interne, mise
en œuvre du programme d’assurance et d’amélioration qualité, étude comparative par rapport
à d’autres fonctions d’audit interne du même secteur (benchmarking).
Éléments à prendre en compte pour démontrer la conformité

Grâce aux résultats des enquêtes post-audit menées auprès des clients ainsi qu’à
d’autres sources, il est possible de vérifier si l’audit interne est géré de manière efficace et
s’il apporte une valeur ajoutée à l’organisation. Des évaluations internes et externes
permettent en outre de déterminer le niveau de conformité aux dispositions obligatoires du
Cadre de référence international des pratiques professionnelles y compris les indicateurs de
performance relatifs à la gestion de l’activité. Les résultats des études comparatives
sectorielles (benchmarking) peuvent également être précieux.
La Norme 2000, exige de démontrer la conformité aux dispositions obligatoires du Cadre de

référence international des pratiques professionnelles non seulement au niveau de l’activité
mais également au niveau de chaque auditeur interne. À cet égard, il peut être utile de
démontrer que les normes de la série 1200 sont respectées. Pour cela, les auditeurs
internes et le responsable de l’audit interne peuvent être soumis à l’évaluation de leur
Version 31/05/2017

superviseur et à une revue par les pairs s’appuyant sur des indicateurs de performance et
de conformité.
Enfin, le fait de démontrer la conformité aux normes de la série 2000 (Normes 2010 à 2070)
apporte des preuves supplémentaires de conformité à la Norme 2000.
Version 31/05/2017

Norme 2010 – Planification

Le responsable de l'audit interne doit établir un plan d’audit fondé sur une approche par
les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.
Interprétation :
Pour établir le plan d’audit fondé sur une approche par les risques, le responsable de
l’audit interne consulte la direction générale et le Conseil et prend connaissance de la
stratégie, des principaux objectifs opérationnels, des risques associés ainsi que des
processus de management des risques. Le responsable de l’audit interne doit, le cas
échéant, réviser et ajuster le plan afin de répondre aux changements dans les activités,
les risques, les opérations, les programmes, les systèmes et les contrôles de
l’organisation.
Préalables
Le plan d’audit interne vise à garantir que le périmètre de l’audit interne couvre de manière
adéquate les domaines les plus exposés aux principaux risques susceptibles d’empêcher
l’organisation d’atteindre ses objectifs. Selon la Norme 2010, le responsable de l’audit
interne doit élaborer ce plan en commençant par consulter la direction générale et le
Conseil, de façon à mieux comprendre la stratégie, les objectifs opérationnels, les risques
Version 31/05/2017

Guide de mise en œuvre 2010 / Planification
associés ainsi que les processus de management des risques. Aussi doit-il tenir compte de la
maturité de ces processus et notamment vérifier si l’organisation dispose d’un référentiel
pour évaluer, documenter et traiter les risques. Les organisations les moins matures auront
tendance à adopter une approche de management des risques moins formelle.
Au préalable, le responsable de l’audit interne procède généralement à la revue des résultats

des évaluations de risques réalisées par le management Il peut avoir recours à divers
méthodes (entretiens, enquêtes, réunions, ateliers, etc.) pour avoir des informations
complémentaires sur les risques auprès du management à différents niveaux de l’organisation,
du Conseil et des autres parties prenantes.

Le responsable de l’audit interne peut s’appuyer sur la revue des processus de
management des risques de l’organisation pour déterminer comment organiser ou
actualiser l’univers d’audit. Celui-ci correspond à l’ensemble des domaines de risque
susceptibles de faire l’objet d’une mission d’audit. L’univers d’audit comprend les projets et
initiatives en relation avec le plan stratégique de l’organisation. Il peut être structuré par
unité opérationnelle, par ligne de produits ou de services, par processus, par programme,
par système ou encore par catégorie de contrôle.
Le responsable de l’audit interne organise l’univers d’audit en hiérarchisant les risques

critiques et en les associant à des objectifs et des processus opérationnels spécifiques. Il
adopte une approche fondée sur les risques afin de prendre en compte les risques internes et
externes. Les risques internes peuvent affecter les principaux produits et services de
l’organisation, ainsi que les collaborateurs et les systèmes. Parmi les facteurs qui caractérisent
les risques internes figurent notamment l’évolution du niveau de risque depuis la dernière
mission, la qualité des dispositifs de contrôle. Les risques externes peuvent, quant à eux, être
liés aux concurrents, aux fournisseurs ou à d’autres considérations sectorielles. Parmi les
facteurs spécifiques des risques externes figurent notamment les évolutions législatives ou
Version 31/05/2017

réglementaires ainsi que d’autres éléments d’ordre politique et économique.
Pour s’assurer que l’univers d’audit couvre dans la mesure du possible, les principaux risques
de l’organisation, l’audit interne procède à la revue indépendante de ceux que la direction
générale a déjà identifiés afin de les confirmer. Selon la Norme 2010.A1, « le plan d’audit
interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une
fois par an. Les points de vue de la direction générale et du Conseil doivent être pris en
compte dans ce processus ». Comme le précise le Glossaire du Cadre de
référence international des pratiques professionnelles, les risques se mesurent en
termes de conséquences et de probabilité.
Pour élaborer le plan d’audit interne, le responsable de l’audit interne prend en compte les
demandes du Conseil et/ou de la direction générale. Il vérifie également si l’audit interne peut
s’appuyer sur les travaux d’autres prestataires internes et externes d’assurance
(cf. Norme 2050).
Une fois toutes ces informations recueillies et examinées, le responsable de l’audit

interne développe un plan d’audit interne qui intègre généralement les éléments suivants :
• une liste des missions d'audit proposées (en précisant leur nature : assurance ou
conseil) ;
• la raison pour laquelle chaque mission est proposée (par exemple, une cotation des
risques, le temps écoulé depuis la dernière mission, un changement dans le
management etc.) ;
• les objectifs et le périmètre de chaque mission ;
• une liste d'initiatives ou de projets dressée à partir de la stratégie de l'audit interne
mais sans lien direct avec une mission d'audit particulière.
Bien que les plans d’audit soient en principe annuels, une autre périodicité peut être
envisagée. L’audit interne peut par exemple développer un plan sur 12 mois qu’il réévaluera
chaque trimestre, ou établir un plan pluriannuel qu’il réévaluera tous les ans.
Le responsable de l’audit interne discute le plan d’audit interne avec le Conseil, la direction
générale et les autres parties prenantes afin, d’une part, d'harmoniser les priorités des
Version 31/05/2017

différentes parties prenantes et, d’autre part, de relever les domaines de risque qui ne seraient
pas couverts. Cet échange peut notamment être l’occasion pour le responsable de l’audit
interne d’examiner les rôles et les responsabilités du Conseil et de la direction générale
en matière de management des risques, ainsi que les normes relatives à
l’indépendance et à l’objectivité de l’audit interne (Normes 1100 à 1130.C2). Le
responsable de l’audit interne prend en compte les contributions des parties prenantes
avant de finaliser le plan d’audit interne.
Le plan d'audit interne doit être suffisamment flexible pour que le responsable de l’audit interne
puisse le réviser et y apporter les ajustements nécessaires en cas de changements dans les
activités, les risques, les opérations, les programmes, les systèmes et les dispositifs de
contrôle de l’organisation. Selon la Norme 2020, tout changement important doit être soumis à
l’examen et à l’approbation du Conseil et de la direction générale.

Le plan d’audit interne documenté et l’évaluation des risques sur laquelle il repose constituent
des éléments probants qui attestent que la Norme 2010 est respectée. Il en va de même pour
les procès-verbaux des réunions au cours desquelles le responsable de l’audit interne, le
Conseil et la direction générale ont examiné l’univers d’audit et l’évaluation des risques. En
outre, les comptes-rendus peuvent documenter les échanges avec des membres du
management à différents niveaux de l’organisation.
Version 31/05/2017

Norme 2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil
son plan d'audit et ses besoins en ressources, pour examen et approbation, ainsi que
tout changement important susceptible d'intervenir en cours d'exercice. Le responsable
de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.
Préalables
Avant de communiquer à la direction générale et au Conseil le plan d’audit, les besoins en
ressources et l’impact de toute limitation de ressources, le responsable de l'audit interne
détermine les besoins à partir des priorités identifiées par une approche fondée sur les risques
(cf. Norme 2010). Les ressources peuvent être communiquées en termes de collaborateurs
(nombre d'heures travaillées ou compétences), de technologies (techniques et outils d'audit),
de calendrier (disponibilité des ressources) ou de budget. En règle générale, une partie des
ressources est réservée pour faire face aux éventuelles modifications du plan d'audit telles que
des risques imprévus susceptibles de nuire à l'organisation et des demandes de missions de
conseil émanant de la direction générale et/ou du Conseil. Ainsi, une nouvelle mission d'audit
interne peut être nécessaire lorsque de nouveaux risques apparaissent après une cession ou
une fusion, dans un contexte d'instabilité politique ou en cas d’évolution réglementaire.
Version 31/05/2017

Guide de mise en œuvre 2020 / Communication et approbation
Le responsable de l'audit interne, le Conseil et la direction générale peuvent convenir en

amont des caractéristiques d'un changement suffisamment significatif pour réexaminer le plan,
et les procédures pour communiquer de tels changements. Il peut être utile de consigner ces
critères dans la charte d'audit interne ou dans tout autre document.

Le responsable de l'audit interne détaille les différentes missions qui composent le plan d'audit
interne, puis évalue la nature et la quantité des ressources nécessaires à la réalisation de
chacune d’entre elle en s'appuyant sur le retour d’expérience d’un projet donné ou par
comparaison avec des situations similaires. Il peut comparer les ressources nécessaires à la
réalisation des priorités du plan à celles disponibles pour mettre en évidence d’éventuels
écarts ou pour mesurer l'impact de toute limitation des ressources.
Le responsable de l'audit interne rencontre les cadres dirigeants pour recueillir leurs avis à
propos du projet de plan d'audit interne avant de le soumettre à l'approbation du Conseil. Ces
entretiens sont l'occasion pour le responsable de l'audit interne de prendre en compte les
questions soulevées par les cadres dirigeants, d'intégrer le cas échéant leur retour
d'expérience et d'obtenir leur soutien. Ce processus peut permettre de collecter des
informations complémentaires sur le calendrier proposé et sur la disponibilité des ressources.
Il peut conduire à des modifications qui affectent le périmètre de la mission. Les points de vue
recueillis par le responsable de l'audit interne contribuent à déterminer s’il faut procéder à un
ajustement du plan d'audit interne avant de le soumettre à l'approbation du Conseil.
En règle générale, le responsable de l'audit interne présente le plan d'audit interne au Conseil
à l'occasion d'une réunion à laquelle la direction générale peut prendre part. Le projet de plan
d'audit interne prévoit notamment :
• une liste des missions d'audit proposées (précisant leur nature : assurance ou
conseil) ;
• la raison pour laquelle chaque mission est proposée (par exemple, une cotation des
Version 31/05/2017

risques, le temps écoulé depuis la dernière mission, un changement dans

le management, etc.) ;
• les objectifs et le périmètre de chaque mission ;
• une liste d'initiatives ou de projets dressée à partir de la stratégie de l'audit interne
mais sans lien direct avec une mission d'audit particulière.
Une limitation des ressources a forcément un impact sur les priorités du plan d'audit interne.
Par exemple, si les ressources s'avèrent insuffisantes pour mener à bien l'ensemble des
missions proposées dans le plan, certaines missions pourront être reportées et certains
risques ne seront pas pris en charge. Pendant la présentation au Conseil, le responsable de
l'audit interne discute du plan d'audit interne et de l'évaluation des risques sur laquelle il se
fonde, en précisant quels risques seront pris en charge et quels risques ne le seront pas faute
de ressources suffisantes. Les administrateurs peuvent discuter de ces informations et
formuler des recommandations avant d'approuver le plan d'audit interne définitif.
Le plan d'audit interne doit être mis en œuvre avec suffisamment de flexibilité pour que le
responsable de l’audit interne puisse y apporter les ajustements nécessaires en cas de
changements dans les activités, les risques, les opérations, les programmes, les systèmes et
dispositifs de contrôle de l’organisation. Toutefois, le responsable de l'audit interne doit
analyser les modifications significatives du plan d'audit, leurs motifs et leur impact potentiel
avec le Conseil et la direction générale pour obtenir leur approbation. Des réunions régulières
avec le Conseil (tous les trois ou six mois) donnent l’opportunité de réviser et d'ajuster le plan
d'audit interne.

Le responsable de l'audit interne peut démontrer si l’audit interne se conforme à la
Norme 2020 en apportant la preuve que le plan d'audit interne a bien été communiqué aux
personnes concernées. De même, la conformité peut être attestée par une copie des
documents ayant été utilisés lors des réunions avec le Conseil, y compris le plan d'audit
interne tel que proposé pour révision et approbation. Les entretiens avec la direction générale
Version 31/05/2017

peuvent être documentés par des mémos, des e-mails ou des notes prises aux cours du
processus d'évaluation des risques effectué par l'audit interne. Les procès-verbaux des
réunions du Conseil consignent les discussions et les approbations du plan d'audit interne, les
changements survenus en cours d’exercice et/ou les impacts de toute limitation des
ressources.
Version 31/05/2017

Norme 2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à l’audit
interne soient adéquates, suffisantes et mises en œuvre de manière efficace pour
réaliser le plan d'audit approuvé.
Interprétation :
On entend par ressources adéquates, la combinaison de connaissances, les savoir-faire

et autres compétences nécessaires à la réalisation du plan d’audit. On entend par
ressources suffisantes, la quantité de ressources nécessaires à la réalisation du plan
d’audit. Les ressources sont mises en œuvre efficacement quand elles sont utilisées de
manière à optimiser la réalisation du plan d’audit.
Préalables
Pendant les phases d'établissement du plan d'audit interne (Norme 2010) et de révision avec
le Conseil et la direction générale (Norme 2020), le responsable de l'audit interne identifie et
discute des ressources nécessaires pour réaliser les priorités du plan. En règle générale, pour
mettre en œuvre la Norme 2030, le responsable de l'audit interne commence par analyser
Version 31/05/2017

Guide de mise en œuvre 2030 / Gestion des ressources
précisément les ressources disponibles par rapport au plan d'audit interne approuvé par le
Conseil.
Le responsable de l'audit interne recense le nombre de collaborateurs de l’équipe d’audit

interne et le nombre d'heures de travail disponibles pour la réalisation du plan, compte tenu
des contraintes de calendrier de l'organisation. Ce décompte d’heures se fait en
déduisant des éléments comme les congés payés et les périodes consacrées à la formation
ou aux tâches administratives. Pour obtenir une vision globale des connaissances,
qualifications et autres compétences collectives, le responsable de l'audit interne peut se
référer à une évaluation formalisée des compétences, aux évaluations de performance des
collaborateurs ou aux enquêtes réalisées à l'issue des missions d'audit.
Le responsable de l'audit interne peut également prendre en compte le budget approuvé et

examiner les fonds disponibles pour des formations, des technologies ou les ressources
humaines complémentaires nécessaires pour mener à bien le plan.

Lors de l'allocation de ressources spécifiques aux missions identifiées dans le plan d'audit
interne approuvé, le responsable de l'audit interne veille à l'adéquation des ressources
disponibles avec les qualifications spécifiques ou le calendrier nécessaires à la réalisation des
missions. Au cours de ce processus, le responsable de l'audit interne s'efforce de combler les
écarts qui ont pu être identifiés.
Pour résoudre les lacunes de connaissances, de savoir-faire et de compétences, le

responsable de l’audit interne peut proposer des formations aux auditeurs en poste, demander
à un expert de l'organisation de faire office d'auditeur invité, recruter du personnel
supplémentaire, faire appel à un prestataire externe. Ces solutions ou un programme de
mobilité transitoire vers l’audit peuvent également être mobilisés lorsque les effectifs sont
insuffisants pour une réalisation efficace et efficiente des missions.
Version 31/05/2017

Guide de mise en œuvre 2030 / Gestion des ressources
Lors de l'établissement du calendrier des missions, le responsable d'audit interne prend en

considération le calendrier de l'organisation, le planning de chaque auditeur interne et la
disponibilité des entités à auditer. Ainsi, si l'entité à auditer n'est pas disponible ou est soumise
à certaines contraintes au cours d'une période donnée, en raison des particularités de son
activité par exemple, la mission pourra être programmée en dehors de cette période.
Puisque le responsable de l'audit interne doit rendre compte de l'impact de la limitation des
ressources (Norme 2020) et du niveau de réalisation de son plan (Norme 2060), il est
important qu’il évalue en permanence l'adéquation globale des ressources. Afin d'être en
mesure d'affirmer que les ressources sont adaptées, suffisantes et correctement déployées, le
responsable de l'audit interne met en place des indicateurs de performance de l'audit interne. Il
demande également un retour d'expérience aux clients de l'audit interne.

La documentation permettant de vérifier la conformité à la Norme 2030 peut notamment être
constituée du plan d'audit interne, qui contient le calendrier prévisionnel des missions d'audit
et les ressources allouées. De plus, pour attester d’un déploiement effectif des ressources,
une comparaison des heures budgétisées et des heures réellement effectuées peut être
réalisée et archivée. La plupart du temps, les résultats des évaluations clients concernant les
performances de l'audit interne et des auditeurs internes figurent dans les dossiers des
missions, les enquêtes réalisées à l'issue des missions et les rapports d'activité ou
communication annuelles.
Version 31/05/2017

Norme 2040 – Règles et procédures

Le responsable de l'audit interne doit établir les règles et procédures pour guider l'audit
interne.
Interprétation :
La forme et le contenu des règles et procédures dépendent de la taille, de la
manière dont est structuré l’audit interne et de la complexité de ses travaux.
Préalables
Pour établir les règles et les procédures qui régissent l'audit interne, le responsable de l'audit
interne tient compte de plusieurs facteurs. En premier lieu, il s'assure que les règles et
procédures de l’audit interne correspondent aux dispositions obligatoires du Cadre de
référence internationale des pratiques professionnelles (CRIPP). De plus, l'alignement avec la
charte d'audit interne contribue à s’assurer de la prise en compte des attentes des parties
prenantes.
Le responsable de l'audit interne peut commencer à concevoir des règles et procédures en

réunissant des informations, des exemples et des modèles tels que ceux disponibles auprès
Version 31/05/2017

Guide de mise en œuvre 2040 / Règles et procédures
de l'IIA. Ces modèles sont à adapter à l'organisation et aux besoins propres à chaque
fonction d'audit interne.
Il est important que le responsable de l'audit interne veille à prendre en compte les stratégies,
les politiques et procédures de l'organisation. Il s’interrogera notamment sur le rôle éventuel de
la direction concernant la révision et/ou l’approbation des règles et procédures de l'audit
interne.

La mise en œuvre de la Norme 2040 par le responsable de l'audit interne dépendra en grande
partie de la structure, de la maturité et de la complexité de l'organisation et de l'audit interne.
En effet, une fonction d'audit interne mature et de grande taille peut s'appuyer sur un manuel
d'audit interne formalisant les règles et procédures. Dans une organisation plus petite ou
moins mature, les règles et procédures peuvent ne pas figurer dans un seul document ou bien
elles peuvent être directement intégrées dans un logiciel de gestion d'audit.
Les thèmes suivants sont souvent inclus dans un manuel d'audit interne ou formalisés
autrement pour servir de cadre aux activités d'audit interne :
• Règles d'audit interne

o Finalité et responsabilités de l'audit interne
o Adhésion aux dispositions obligatoires du Cadre de référence internationale
des pratiques professionnelles
o Indépendance et objectivité
o Déontologie
o Protection des informations confidentielles
o Conservation des dossiers
• Procédures d'audit interne
o Préparation d'un plan d'audit fondé sur une approche par les risques
o Planification d'une mission et préparation du programme de travail de la
mission
o Réalisation des missions d'audit
Version 31/05/2017

o Documentation des missions d'audit

o Communication des résultats
o Processus de suivi des recommandations
• Programme d'assurance et d'amélioration qualité
• Gestion administrative
o Formation et certification
o Exigences de développement professionnel (formation continue, groupe de
travail, conférence, atelier…)
o Évaluation des performances
Pour s'assurer que les auditeurs internes sont correctement informés des règles et
procédures, le responsable de l'audit interne peut proposer différents documents, des supports
de formation ou un manuel complet, et organiser des sessions de formation pour passer en
revue ces informations. Le responsable de l'audit interne peut demander aux auditeurs
internes de signer des attestations reconnaissant qu'ils ont lu et compris les règles et
procédures.
Les règles et procédures de l'audit interne devraient être révisées régulièrement par le
responsable de l'audit interne ou par une personne qui lui est rattaché et est en charge des
procédures d'audit interne et des problématiques émergentes. Ces révisions peuvent faire
partie des évaluations internes (Norme 1311) et de l'évaluation externe qui a lieu au moins
tous les 5 ans (Norme 1312).
Des propositions de changements peuvent résulter du programme d’assurance et

d’amélioration qualité, du retour d'expérience des auditeurs internes ou des entités auditées
(par exemple, via une enquête de satisfaction client). Toute modification de procédure doit être
communiquée par écrit et/ou discutée au cours des réunions de l'équipe d'audit interne
pour garantir la bonne compréhension de ces changements. Des formations peuvent
également être organisées (par exemple, pour illustrer l’application des nouvelles procédures).
Version 31/05/2017


La formalisation des règles et procédures atteste de la conformité à la Norme 2040. Les
documents prouvant que les règles et procédures ont été explicitement communiquées aux
auditeurs internes peuvent prendre la forme d'ordre du jour et de procès-verbaux des réunions
de l'équipe d'audit interne, de courriers électroniques, d'attestations, de programme de
formation ou de tout autre document du même ordre.
Version 31/05/2017

Norme 2050 – Coordination et utilisation d’autres travaux

Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable
de l'audit interne devrait partager des informations, coordonner les activités, et envisager
d’utiliser les travaux des autres prestataires internes et externes d'assurance et de
conseil.
Interprétation :
Dans le cadre de la coordination des activités, le responsable de l'audit interne peut
utiliser les travaux d’autres prestataires d'assurance et de conseil. Un processus
cohérent pour déterminer le cadre d’une telle utilisation devrait être défini, et le
responsable de l'audit devrait prendre en considération les compétences, l'objectivité et
la conscience professionnelle de ces prestataires. Le responsable de l'audit interne
devrait également avoir une compréhension précise du périmètre d’intervention, des
objectifs et des résultats des travaux réalisés par les autres prestataires d'assurance et
de conseil. Même quand des travaux d’autres prestataires sont utilisés, le responsable
de l’audit interne a toujours le devoir d’étayer de manière adéquate les conclusions et les
opinions de l’audit interne et d’en rendre compte.

Version 31/05/2017

Guide de mise en œuvre 2050 / Coordination et utilisation d’autres travaux
Préalables
Le rôle des prestataires d’assurance et de conseil varie d’une organisation à l’autre. Pour être
à même de coordonner leurs travaux, le responsable de l’audit interne identifie donc le rôle de
chaque prestataire en examinant l’organigramme de l’organisation ainsi que les ordres du jour
et les procès-verbaux des réunions du Conseil. Il distingue généralement les prestataires
internes des prestataires externes.
• Les prestataires internes correspondent aux directions fonctionnelles qui relèvent de

la direction générale ou qui y sont rattachées. Leurs domaines de compétences sont
les suivants : questions environnementales, contrôle financier, hygiène et sécurité,
systèmes d’information, affaires juridiques, management des risques, conformité ou
assurance qualité. Il s’agit de la deuxième ligne de maîtrise selon le modèle établi
par l’IIA.
• Les prestataires externes peuvent rendre compte à la direction générale, à des
parties prenantes extérieures ou au responsable de l’audit interne.
Après avoir identifié les différents prestataires, le responsable de l’audit interne tient compte
des limites liées à la politique de confidentialité de l’organisation, concernant la nature et la
quantité d’informations qu’il est possible de partager surtout quand il s’agit de prestataires
externes.

Le responsable de l’audit interne rencontre chacun des prestataires afin de recueillir
suffisamment d’informations pour coordonner les activités d’assurance et de conseil de
l’organisation. Tout en respectant les limites exigées par la politique de confidentialité de
l’organisation, les différentes parties partagent des informations sur les objectifs, le périmètre
et le calendrier des revues, les évaluations et les missions à venir, les résultats des
précédentes missions, et les travaux des uns et des autres.
Version 31/05/2017

Le processus de coordination des activités d’assurance varie d’une organisation à l’autre.

Dans les organisations de taille restreinte, ce processus peut être informel, tandis que dans les
organisations de taille importante ou soumises à une forte réglementation la coordination peut
être formelle et complexe.
Pour faciliter la coordination des activités d’assurance, il est possible de créer une
cartographie des principales catégories de risques associées aux prestataires de services
d’assurance compétents. Cette cartographie complète permet d’évaluer le niveau d’assurance
fourni pour chaque catégorie de risque. Grâce à elle, le responsable de l’audit interne est en
mesure d’identifier les écarts et les doubles emplois dans les activités d’assurance, et ainsi de
déterminer si chaque domaine de risque est suffisamment couvert. Les résultats peuvent être
examinés avec les autres prestataires d’assurance afin que les différentes parties conviennent
de la manière de coordonner leurs activités pour éviter les doubles emplois et optimiser
l’efficacité et l’efficience de la couverture.
Le modèle d’assurance combiné (combined assurance) constitue une autre approche : l’audit
interne peut coordonner ses travaux avec ceux de fonctions de la deuxième ligne de maîtrise
(telles que la fonction conformité) afin d’adapter ses missions et d’en réduire la fréquence et la
redondance.
Voici quelques exemples de mesures de coordination :
• Synchroniser la nature, l’étendue et le calendrier des travaux planifiés.

• Veiller à comprendre la terminologie, les techniques et les méthodes des uns et des
autres.
• Echanger les programmes, documents et rapports de travail.
• Utiliser les travaux des uns et des autres pour éviter les doubles emplois.
• Se réunir régulièrement pour déterminer s'il est nécessaire d’ajuster le calendrier des
travaux planifiés au vu des résultats des travaux déjà réalisés.
Le responsable de l’audit interne peut décider d’utiliser les travaux d’autres prestataires pour
différentes raisons : évaluer des domaines pour lesquels l’audit interne ne possède pas
l’expertise nécessaire, pour étendre la couverture des risques au-delà du plan d’audit interne.
Version 31/05/2017

Dans tous les cas, il reste pleinement responsable des conclusions et des opinions de l’audit
interne. Il doit donc impérativement établir un processus cohérent et un ensemble de critères
pour déterminer si l’audit interne peut utiliser les travaux de tel ou tel prestataire. Dans le cadre
de ce processus, il peut :
• Évaluer l’objectivité du prestataire considéré en vérifiant s’il a fait état de conflits

d’intérêts ou est susceptible de le faire.
• Évaluer l’indépendance du prestataire en examinant ses rattachements et leurs
conséquences.
• Confirmer le niveau de compétence du prestataire en vérifiant si son expérience
professionnelle, ses qualifications, ses certifications et ses affiliations sont
pertinentes et à jour.
• Évaluer la conscience professionnelle en observant les pratiques professionnelles du
prestataire, en particulier ses méthodes de travail et le caractère approprié de la
planification, de la supervision, de la documentation et de la revue de ses travaux.
Le responsable de l’audit interne cherche également à mieux comprendre le périmètre, les

objectifs et les résultats des travaux réalisés par le prestataire afin d’évaluer dans quelle
mesure ils sont exploitables. En règle générale, il vérifie si les constats du prestataire sont
raisonnables et fondés sur des preuves d’audit suffisantes, fiables et pertinentes. Il détermine
si d’autres tâches ou tests sont nécessaires pour obtenir des preuves suffisantes qui étayent
ou augmentent le niveau de confiance. Le cas échéant, l’audit interne peut tester à nouveau
les résultats du prestataire.

Pour démontrer la conformité à la Norme 2050, il est possible de s’appuyer sur les
communications relatives aux rôles et aux responsabilités de chacun en matière d’assurance
et de conseil. Celles-ci peuvent être formalisées dans les notes prises au cours des réunions
avec les différents prestataires ou encore dans les procès-verbaux des réunions avec le
Conseil et la direction générale. La documentation du responsable de l’audit interne relative au
Version 31/05/2017

processus et aux critères appliqués pour déterminer si l’audit interne peut exploiter les travaux
d’autres prestataires peut également servir d’élément probant. Pour démontrer la conformité
aux exigences de coordination des activités, il est possible d’utiliser des cartographies
spécifiques et/ou des plans d’audit interne combinés qui permettent d’identifier la répartition
des responsabilités de chaque prestataire d’assurance ou de conseil par domaine.
Version 31/05/2017

Norme 2060 – Communication à la direction générale et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la
direction générale et au Conseil des missions, des pouvoirs et des responsabilités
de l'audit interne, du niveau de réalisation du plan d’audit ainsi que de la conformité
avec le Code de déontologie et les Normes. Il doit notamment rendre compte :
• des risques significatifs, y compris les risques de fraude, et des contrôles
correspondants ;
• des sujets relatifs à la gouvernance et ;
• de tout autre problème nécessitant l’attention de la direction générale et/ou du
Conseil.
Interprétation :
La fréquence et le contenu de la communication sont déterminés de manière concertée
par le responsable de l’audit interne, la direction générale et le Conseil. Ils dépendent de
l’importance des informations à communiquer et de l’urgence des actions correctives à
entreprendre par la direction générale et/ou le Conseil. La communication et les rapports
du responsable de l’audit interne à la direction générale et au Conseil doivent inclure des
informations concernant :
• la charte d’audit interne ;
• l’indépendance de l’audit interne ;
• le plan d’audit et son état d’avancement ;
• les ressources requises ;
• les résultats des activités d’audit ;
• la conformité avec le Code de déontologie et les Normes et le plan d’actions
prévu en cas de non-conformités significatives ;
• les actions du management face à des risques qui, selon le jugement
professionnel du responsable de l’audit interne, peuvent s’avérer
inacceptables pour l’organisation.
Ces informations et d’autres exigences concernant la communication du responsable
de l’audit interne sont mentionnées dans d’autres Normes.

Version 31/05/2017

Guide de mise en œuvre 2060 / Communication à la direction générale et au Conseil
Préalables
Communiquer de manière efficace avec la direction générale et le Conseil constitue une
obligation essentielle du responsable de l’audit interne. La Norme 2060 regroupe les
principales exigences de communication mentionnées dans les différentes Normes.
Pour s’y conformer, le responsable de l’audit interne cherche généralement à comprendre
les attentes de la direction générale et du Conseil telles qu’elles peuvent être définies dans
la charte du comité d'audit. En règle générale, ces trois parties prenantes déterminent
de manière concertée la fréquence et le calendrier de reporting les mieux adaptés pour
l’organisation, ainsi que l’importance et l’urgence des diverses informations d’audit. Il peut
également leur être utile de prédéfinir les modalités de communication par le responsable
de l’audit interne des risques à traiter en urgence ou des problèmes de contrôle ainsi
que les mesures de remédiation que la direction générale et le Conseil devront prendre.
Par ailleurs, le responsable de l’audit interne peut juger opportun d’établir ou de revoir :
• la charte d'audit interne, qui précise la mission, les pouvoirs et les responsabilités de
cette activité ;
• le plan d’audit interne et les indicateurs de performance qui permettent d’évaluer son
état d’avancement ;
• le programme d’assurance et d’amélioration qualité, qui permet d’évaluer la
conformité de l’audit interne avec les dispositions obligatoires du Cadre de référence
international des pratiques professionnelles (CRIPP) ;
• les processus d’identification des risques significatifs et des contrôles
correspondants.

Si la Norme 2060 autorise une certaine flexibilité dans la fréquence et le contenu des rapports,
elle précise toutefois que ces éléments dépendent de l’importance des informations à
communiquer et de l’urgence des actions correctives devant être entreprises par la direction
Version 31/05/2017

générale et/ou le Conseil. Par ailleurs des exigences spécifiques en termes de fréquence
sont prévues dans certaines normes. Par exemple, certaines informations – telles que le
niveau d’indépendance de l’audit interne au sein de l’organisation (Norme 1110) ou
encore les résultats du processus de surveillance continue de sa performance (Norme
1320) – doivent faire l’objet d’une communication annuelle, au minimum.
Pour veiller en permanence à communiquer de manière efficace et cohérente avec la
direction générale et le Conseil, le responsable de l’audit interne pourra recenser toutes les
exigences de communication mentionnées dans les Normes notamment sur les sujets suivants :
• la charte d’audit interne ;
• l’indépendance de l’audit interne dans l’organisation ;
• le plan d’audit interne, ressources requises et état d’avancement ;
• les résultats des activités d’audit ;
• le programme d'assurance et d'amélioration qualité ;
• la conformité avec le Code de déontologie et les Normes ;
• les risques significatifs, les contrôles correspondants ainsi que l'acceptation des
risques par le management.
Cette liste pourrait inclure un calendrier de communication et des rappels concernant les
exigences d’approbation. Pour garantir une communication régulière, les rapports du
responsable de l’audit interne devraient être inscrits comme point permanent à l’ordre du jour
des réunions avec le Conseil.
La charte d’audit interne

Selon la Norme 1000, la mission, les pouvoirs et les responsabilités de l'audit interne doivent
être formellement définis dans la charte d’audit interne. Il incombe au responsable de l’audit
interne de revoir périodiquement cette charte et de la soumettre à l’approbation de la direction
générale et du Conseil. La mission de l’audit interne et les dispositions obligatoires du Cadre
de référence international des pratiques professionnelles, telles que reconnues dans la
charte d’audit interne, devraient également faire l’objet d’un examen selon la Norme
1010 - Reconnaissance des dispositions obligatoires dans la charte d'audit interne.
L’indépendance de l’audit interne dans l’organisation

Selon la Norme 1110, l’indépendance de l’audit interne dans l’organisation doit chaque année
Version 31/05/2017

être confirmée au Conseil. Il doit en outre être tenu informé de toute ingérence subie par l’audit
interne lors de la définition de son champ d'intervention, de la réalisation des travaux ou de la
communication des résultats, ainsi que des conséquences de telles ingérences
(Norme 1110.A1). Enfin, un rattachement favorisant l’indépendance est crucial pour que,
conformément à la Norme 1111, le responsable de l’audit interne puisse communiquer
directement avec le Conseil.
Le plan d’audit interne, ressources requises et état d’avancement

La Norme 2020 et les lignes directrices de mise en œuvre correspondantes précisent
comment communiquer sur le plan d’audit interne et les ressources nécessaires. La
Norme 2060 requiert en outre que le responsable de l’audit interne rende compte de
l’avancement du plan d’audit interne. Ce faisant, il peut mettre en avant la capacité de l’audit
interne à préserver et créer de la valeur, et communiquer sur la mise en œuvre des
recommandations. Pour évaluer la performance de leur activité, bon nombre de responsables
de l’audit interne s’appuient sur des indicateurs clés de performance tels que le pourcentage
de réalisation du plan d’audit, le pourcentage d’acceptation ou de mise en œuvre des
recommandations d’audit, l’état d’avancement des actions correctives prises par le
mangement, ou encore le délai moyen de diffusion des rapports. Enfin, les réunions du
Conseil sont l’occasion de faire le point sur les demandes spéciales émises par le Conseil et/
ou la direction générale.
Les résultats des missions d’audit

Les normes de la série 2400 couvrent les exigences de communication relatives aux résultats
des missions d’audit. Ces exigences ont trait notamment à la nature et à la qualité des
informations à communiquer, ainsi qu’à la procédure à suivre en cas d’erreurs et d’omissions
ou en cas de non-conformité avec le Code de déontologie ou les Normes lorsque celle-ci a
une incidence sur une mission particulière. La Norme 2440 définit les obligations du
responsable de l’audit interne concernant le rapport définitif d’une mission, et la Norme 2450
précise les critères à utiliser pour formuler une opinion globale.
Le programme d'assurance et d'amélioration qualité

Les normes de la série 1300 exigent que le responsable de l’audit interne élabore et tienne à
Version 31/05/2017

jour un programme d'assurance et d'amélioration qualité intégrant des évaluations internes et

externes. La Norme 1320 précise les informations que le responsable de l’audit interne doit
communiquer à la direction générale et au Conseil dès l’achèvement des évaluations. Les
résultats du processus de surveillance continue de la performance de l’audit interne – qui font
partie intégrante du processus d’évaluation interne – doivent quant à eux faire l’objet d’une
communication annuelle, au minimum.
Concernant les évaluations externes de l’audit interne, qui doivent être réalisées au moins tous
les cinq ans, la Norme 1312 - Évaluations externes, exige du responsable de l’audit interne
qu’il s'entretienne avec le Conseil au sujet des qualifications de l'évaluateur ou de
l'équipe d'évaluation externes ainsi que de leur indépendance, y compris au regard de
tout conflit d'intérêt potentiel. Le responsable de l’audit interne devrait encourager le Conseil
à surveiller les évaluations externes afin de réduire les conflits d’intérêts potentiels ou avérés.
La conformité avec le Code de déontologie et les Normes

La Norme 1320 et les lignes directrices de mise en œuvre correspondantes précisent les
modalités de communication relatives à la conformité de l’audit interne au Code de
déontologie et aux Normes. Selon la Norme 1322, « quand la non-conformité de l’audit interne
avec le Code de Déontologie ou les Normes a une incidence sur le périmètre ou sur le
fonctionnement de l'audit interne, le responsable de l’audit interne doit informer la direction
générale et le Conseil de cette non-conformité et de ses conséquences ». Cette norme décrit
également les modalités de communication des cas de non-conformité. La Norme 2431
précise quelles informations doivent être communiquées lorsqu’un cas de non-conformité a
une incidence sur une mission particulière. Enfin, la Norme 2060 requiert que le responsable
de l'audit interne communique le plan d’action prévu en cas de non-conformités significatives.
Les risques significatifs et les contrôles correspondants ainsi que

l'acceptation des risques par le management
Les communications du responsable de l’audit interne ont pour ﬁnalité première d’apporter une
assurance et des conseils à la direction générale et au Conseil en ce qui concerne les
processus de gouvernance (Norme 2110), de management des risques (Norme 2120) et de
contrôle (Norme 2130) de l'organisation. La mise en œuvre des normes de la série 2100
permet de mieux comprendre ces processus. La Norme 2060 exige que le responsable
Version 31/05/2017

de l’audit interne signale les risques significatifs et les contrôles correspondants susceptibles
d’affecter l’organisation et de l’empêcher d’atteindre ses objectifs. Les problèmes significatifs
sont ceux qui requièrent l’attention de la direction générale et du Conseil. Ils
peuvent avoir trait à des conflits d’intérêts, des faiblesses de contrôle, des erreurs, des
fraudes, des actes illégaux, ou encore à des questions d’efficacité et
d’efficience. Si le responsable de l’audit interne estime que la direction générale a
accepté un niveau de risque qui pourrait s’avérer inacceptable pour l’organisation, il
devrait en discuter avec elle. S’ils ne parviennent pas à s’entendre, la Norme 2600
requiert que le responsable de l’audit interne informe le Conseil. Lorsque la situation ne
peut pas attendre la prochaine réunion du Conseil (un cas de fraude majeur par
exemple), le responsable de l’audit interne devrait en faire part au plus tôt.

Les échanges entre le responsable de l’audit interne, la direction générale et le Conseil –
concernant la charte d’audit interne, l’état d’avancement du plan d’audit interne, les risques
significatifs et les contrôles correspondants – peuvent être documentés dans les ordres du jour
et les procès-verbaux des réunions, ainsi que dans les rapports et les présentations diffusés. Il
est possible de démontrer la conformité à la Norme 2060 grâce aux procès-verbaux
des réunions ad hoc, aux rapports et aux autres communications transmises par voie
électronique. Les résultats des enquêtes menées par la direction générale et le Conseil ainsi
que ceux des évaluations de performance du responsable de l’audit interne peuvent attester
de la qualité et de l’efficacité de ses communications au regard de cette norme. Le
responsable de l’audit interne peut enfin préciser la fréquence des rapports d'activité ou
des communications ainsi que les exigences d’approbation.
Version 31/05/2017

Norme 2070 - Responsabilité de l’organisation en cas

de recours à un prestataire externe pour ses activités
d’audit interne
Lorsque l’audit interne est réalisé par un prestataire de service externe, ce dernier
doit avertir l’organisation qu’elle reste responsable du maintien de l’efficacité de cette
activité.
Interprétation :
Cette responsabilité est démontrée par le programme d’assurance et d’amélioration
qualité, lequel évalue la conformité avec le Code de déontologie et les Normes.
Préalables
Quand un prestataire externe est utilisé par une organisation pour assurer sa fonction d’au-
dit interne, il est important que ce prestataire comprenne bien les normes de la série 1300 et
avertisse l’organisation qu’elle reste responsable du maintien d’un programme d’assurance
et d’amélioration qualité qui couvre tous les aspects de l’audit interne. Le prestataire externe
devra s’assurer que ce programme couvre tous les aspects relatifs aux activités et à la ges-
tion de l’audit interne, conformément aux dispositions obligatoires du Cadre de référence
Version 31/05/2017
international des pratiques professionnelles et aux meilleures pratiques professionnelles de

Guide de mise en œuvre 2070 / Responsabilité de l’organisation en cas de recours
à un prestataire externe pour ses activités d’audit
interne
l’audit interne. Le programme d’assurance et d’amélioration qualité statue sur la qualité de

l’audit interne et de ses missions dans l’organisation, et peut donner lieu à des recomman-
dations pour les améliorer de façon continue. Ce programme doit comporter une surveil-
lance continue, des auto-évaluations périodiques et des évaluations externes menées par
un tiers indépendant et compétent pour étayer le respect des Normes internationales pour
la pratique professionnelle de l’audit interne (les Normes) et du Code de déontologie de l’IIA.
Les guides de mise en œuvre des normes de la série 1300 donnent davantage d’informa-
tions sur les exigences du programme d’assurance et d’amélioration qualité, notamment en
matière d’évaluations internes et externes, de communication des résultats à la direction
générale et au Conseil, et d’utilisation de la mention « conforme aux Normes internationales
pour la pratique professionnelle de l’audit interne ».
Quand une organisation recourt à un prestataire externe pour son audit interne, elle ne
s’exonère pas pour autant de sa responsabilité de maintenir l’efficacité de cette activité.
Ainsi, même si l’audit interne est externalisé, l’organisation conserve la responsabilité de
s’assurer que l’audit interne fonctionne de manière efficace et efficiente et conformément
aux Normes, et que chaque auditeur interne respecte les Normes et le Code de déontologie.
Un programme d’assurance et d’amélioration qualité, tel que requis par la Norme 1300,
comporte des évaluations tant internes qu’externes. Quand une organisation recourt à un
prestataire externe en tant que responsable de l’audit interne, ce prestataire doit avertir
l’organisation qu’elle a la responsabilité de maintenir l’efficacité de cette activité, ce qui sup-
pose notamment de s’assurer que le programme comporte des évaluations tant internes
qu’externes, conformément aux Normes.
Le responsable de l’audit interne (ou le prestataire externe engagé pour assumer cette fonc-
tion) doit s’assurer que l’organisation est avertie des responsabilités qui sont les siennes en
matière d’assurance et d’amélioration qualité. Généralement, un contrat (ou une lettre de
mission) entre l’organisation et le prestataire externe précise les responsabilités de ce der-
Version 31/05/2017
nier et les livrables relatifs au programme d’assurance et d’amélioration qualité. Un presta-

taire externe engagé en tant que responsable de l’audit interne et chargé de la fonction d’au-

interne
dit interne externalisée par l’organisation peut également discuter avec la direction générale
et le Conseil des responsabilités de l’organisation ainsi que de la nature et des exigences
d’un programme d’assurance et d’amélioration qualité. Ces exigences sont énoncées dans
les normes de la série 1300.
• La Norme 1300 : Programme d’assurance et d’amélioration qualité, explique que

le responsable de l’audit interne doit concevoir et tenir à jour un tel programme en
couvrant tous les aspects de l’audit interne. Lorsqu’un prestataire externe intervient en
tant que responsable de l’audit interne, ce prestataire peut mettre en place et suivre le
programme si cela fait partie de l’accord contractuel. Toutefois, l’organisation qui fait
appel à lui conserve la responsabilité ultime de la qualité de l’audit interne.
• La Norme 1310 : Exigences du programme d’assurance et d’amélioration qualité,

stipule que ce programme doit comporter des évaluations tant internes qu’externes.
• La Norme 1311 : Évaluations internes, stipule que les évaluations internes obli-
gatoires doivent comporter une surveillance continue et des auto-évaluations pério-
diques. Lorsqu’une fonction d’audit interne est totalement sous-traitée à un presta-
taire externe, la surveillance continue et les auto-évaluations périodiques peuvent être
effectuées par le prestataire externe, conformément au contrat.
• La Norme 1312 : Évaluations externes, indique les exigences en la matière, notam-

ment en ce qui concerne leur forme et leur fréquence (au moins tous les cinq ans),
ainsi que les critères de qualification et d’indépendance requis de l’évaluateur ou de
l’équipe d’évaluation externes. Il est important de souligner que lorsque l’intégralité
des activités d’audit interne est sous-traitée à un prestataire externe, l’étendue des
évaluations externes correspond seulement aux travaux réalisés pour l’organisation
ayant engagé le prestataire. De plus, l’organisation devra s’assurer que l’évaluateur ou
l’équipe d’évaluation externes sélectionnés pour réaliser l’évaluation externe répondent
bien aux exigences d’indépendance.
• La Norme 1320 : Communication relative au programme d’assurance et d’amé-

lioration qualité, précise que le responsable de l’audit interne est chargé de commu-
niquer les résultats du programme à la direction générale et au Conseil. Un prestataire
Version 31/05/2017
externe engagé en tant que responsable de l’audit interne et chargé de la fonction

d’audit interne externalisée par l’organisation rencontre généralement la direction

interne
générale et le Conseil pour discuter des exigences et des attentes en matière de com-
munication.
• La Norme 1321 : Utilisation de la mention « conforme aux Normes internationales

pour la pratique professionnelle de l’audit interne » indique que l’audit interne ne
peut communiquer (par écrit ou verbalement) la conformité aux Normes que si les
résultats du programme d’assurance et d’amélioration qualité (comprenant des
évaluations internes et externes) étayent cette communication.
• La Norme 1322 : Indication de non-conformité requiert que le responsable de l’audit

interne (ou le prestataire externe engagé pour assurer les fonctions de responsable
de l’audit interne) informe la direction générale et le Conseil des cas où l’audit interne
n’est pas conforme aux Normes ou au Code de déontologie. Il précise également la
manière dont cette non-conformité a un impact sur les objectifs généraux ou le fonc-
tionnement de l’audit interne.
Plusieurs types de documents peuvent indiquer la conformité à la Norme 2070. En premier

lieu, le contrat (ou la lettre de mission) entre l’organisation et le prestataire externe peut
constituer une preuve que l’organisation assume ses responsabilités concernant le main-
tien d’un programme d’assurance et d’amélioration qualité. Les deux principaux éléments
démontrant que l’organisation assume effectivement ses responsabilités dans ce domaine
sont le programme formalisé et les résultats des évaluations internes et externes. En ce
qui concerne les évaluations internes, la documentation est généralement composée des
résultats des activités de surveillance continue, ainsi que des constats, des plans d’actions
correctives et de leur mise en œuvre à la suite des évaluations internes périodiques desti-
nées à améliorer la conformité aux dispositions obligatoires du Cadre de référence des
pra-tiques professionnelles. De plus, tout document relatif aux mesures prises pour
améliorer l’efficience et l’efficacité de l’audit interne peut contribuer à prouver que la norme
a bien été respectée. Concernant les évaluations externes, la documentation fournie par
Version 31/05/2017
l’évaluateur ou par l’équipe d’évaluation externes, ou la validation écrite d’une auto-

évaluation par un tiers indépendant peuvent servir à indiquer la conformité.

interne
Les ordres du jour et les procès-verbaux des réunions avec la direction générale et le Conseil
peuvent indiquer que le prestataire externe a fait part à l’organisation des responsabilités
qui lui incombent concernant le maintien d’un audit interne efficace. Les comptes-rendus
de réunions peuvent aussi prouver que le responsable de l’audit interne a communiqué
les résultats du programme d’assurance et d’amélioration qualité comme requis par les
Normes. Les preuves de cette communication peuvent également être fournies sous forme
d’annotations dans les dossiers ou d’autres documents écrits.
Version 31/05/2017

Norme 2100 – Nature du travail
L’audit interne doit évaluer les processus de gouvernance de l’organisation, de mana-

gement des risques et de contrôle, et contribuer à leur amélioration sur la base d’une
approche systématique, méthodique et fondée sur une approche par les risques. La
crédibilité et la valeur de l’audit interne sont renforcées lorsque les auditeurs
internes sont proactifs, que leurs évaluations offrent de nouveaux points de vue
et prennent en considération les impacts futurs.
Préalables
Respecter la Norme 2100 requiert une compréhension approfondie des concepts

de gouvernance, de management des risques et de contrôle, telles que définis dans
les Normes internationales pour la pratique professionnelle de l’audit interne, ainsi que
des normes spécifiques les concernant : Norme 2110 - Gouvernance, Norme
2120 - Management des risques, et Norme 2130 - Contrôle. Il est également important
de bien comprendre les objectifs de l’organisation.
Une fois ces objectifs cernés, le responsable de l’audit interne s’entretient généralement avec
la direction générale et le Conseil pour comprendre les rôles et les responsabilités de chaque
partie prenante en matière de gouvernance, de management des risques et de contrôle.
Version 31/05/2017
Habituellement, le Conseil est chargé d’orienter les processus de gouvernance, et la

Guide de mise en œuvre 2100 / Nature du travail
direction générale a le devoir de rendre compte du pilotage des processus de contrôle et

de management des risques.
Les auditeurs internes doivent comprendre les activités de l’organisation pour réaliser
des évaluations valables. Ils peuvent s’appuyer sur des référentiels reconnus en
matière de gouvernance, de management des risques et de contrôle pour orienter leur
évaluation. De plus, les auditeurs internes peuvent s’appuyer sur leurs connaissances,
leur expérience et les meilleures pratiques pour souligner de façon proactive les
faiblesses observées et contribuer à des améliorations par leurs recommandations.
Pour aider les auditeurs internes à comprendre la stratégie et les risques de l’organisation,
le responsable de l’audit interne passe généralement en revue les chartes, les ordres du
jour et les procès-verbaux du Conseil et de ses comités spécialisés, ainsi que le plan stra-
tégique de l’organisation. Le responsable de l’audit interne étudiera également la mission,
les principaux objectifs et les risques majeurs de l’organisation ainsi que les principaux
dispositifs de contrôle visant à ramener ces risques à un niveau acceptable. Cet examen
donnera à l’équipe d’audit interne un aperçu des définitions, des référentiels, des modèles
et des processus de gouvernance, de management des risques et de contrôle utilisés par
l’organisation. Les auditeurs internes gagneraient à comprendre les principaux rôles relatifs
à ces trois processus dans l’organisation, notamment le rôle du Président du Conseil, du
directeur général, des membres de la direction générale en charge des finances, de la
déontologie, des risques, de la conformité, des ressources humaines, des systèmes
d’information, ou d’autres rôles.
Pour plus d’informations sur les processus de gouvernance, de management des risques
et de contrôle, veuillez consulter les guides de mise œuvre des Normes 2110, 2120, et
2130.
Pour commencer à mettre en œuvre cette norme, le responsable de l’audit interne s’entre-
tient généralement avec le Conseil et la direction générale sur les exigences de la norme,
Version 31/05/2017
les différents rôles et responsabilités, et les meilleures stratégies à adopter pour que
l’audit interne évalue et contribue avec efficience et efficacité à la gouvernance, au
management des risques et au contrôle.

The Institute of Internal Auditors Global 174
2
Le responsable de l’audit interne peut préciser dans la charte d’audit interne les attentes
en termes de rôles, de responsabilités et de devoir de rendre compte du Conseil, de la
direction générale et de la fonction d’audit interne. Il s’agit de préserver l’indépendance de
l’audit interne en réitérant la responsabilité et le devoir de rendre compte de la direction
générale et du Conseil en matière de gouvernance, de management des risques et de
contrôle, l’audit interne étant chargé de fournir une assurance et des conseils objectifs sur
ces trois processus.
Pour concevoir une stratégie appropriée d’évaluation des processus de gouvernance, de
management des risques et de contrôle, le responsable de l’audit interne tient
généralement compte de leur niveau de maturité, ainsi que de la culture de l’organisation
et de la séniorité des collaborateurs qui ont la responsabilité de ces processus. Le
responsable de l’audit interne évalue ensuite les risques liés à ces trois processus. Pour
orienter cette évaluation, le responsable de l’audit interne peut s’appuyer sur les
référentiels adoptés par la direction générale (par exemple, les cadres de référence en
matière de contrôle interne et de management des risques du COSO - Committee of
Sponsoring Organizations of the Treadway Commission, le Rapport King sur la
gouvernance, ou l’ISO 31000). Pendant l’évaluation, le responsable de l’audit interne
transmet des documents à la direction générale et s’entretient avec ses membres au sujet
des observations et des conclusions importantes. Le responsable de l’audit interne émet
également des recommandations pour renforcer les processus et peut faire remonter des
observations significatives au Conseil.
Si aucun cadre défini n’a été adopté pour donner des orientations concernant les
processus de gouvernance, de management des risques et de contrôle de l’organisation,
le responsable de l’audit interne pourra envisager de recommander un cadre de référence
approprié pour guider la direction générale dans sa recherche d’amélioration de ces
processus.
Parmi les documents qui peuvent démontrer la conformité à la norme, figure notamment la
charte d’audit interne qui documente les rôles et les responsabilités de l’audit interne en
matière de gouvernance, de management des risques et de contrôle. En outre, la conformité
Version 31/05/2017
peut être prouvée par le plan d’audit interne ou par les comptes rendus de réunions au cours

175
3
desquelles les éléments de la norme ont été discutés entre le responsable de l’audit interne,
le Conseil et la direction générale. Les plans de mission peuvent témoigner de
l’approche méthodique, systématique et fondée sur une approche par les risques, et les
rapports de mission peuvent démontrer les résultats pertinents et la valeur ajoutée
obtenus.
D’autres preuves de conformité sont indiquées dans les guides de mise en œuvre des
Normes 2110, 2120, et 2130.
Version 31/05/2017

176
4
Norme 2110 – Gouvernance
L’audit interne doit évaluer et formuler des recommandations appropriées en vue

d’améliorer les processus de gouvernance de l’organisation pour :
• les prises de décisions stratégiques et opérationnelles ;
• la surveillance des processus de management des risques et de contrôle ;
• la promotion des règles d’éthique et des valeurs appropriées au sein de l’orga-

nisation ;
• une gestion efficace des performances de l’organisation, assortie d’une obliga-

tion de rendre compte ;
• la communication aux services concernés des informations relatives aux risques

et aux contrôles ;
• la coordination des activités et la communication des informations entre le

Conseil, les auditeurs externes, les auditeurs internes, les autres prestataires
d’assurance, et le management.

Version 31/05/2017

Guide de mise en œuvre 2110 / Gouvernance
Préalables
Pour respecter cette norme, le responsable de l’audit interne et les auditeurs internes
cherchent en premier lieu à comprendre le concept de gouvernance et les caractéristiques
des processus classiques de gouvernance. Ils sont également tenus d’examiner la définition
du terme «gouvernance» dans le glossaire des Normes internationales pour la pratique
professionnelle de l’audit interne, et de se familiariser avec les référentiels et les modèles,
mondialement reconnus en matière de gouvernance (comme le cadre de référence du COSO
- Committee of Sponsoring Organizations of the Treadway Commission ou l’ISO 31000).
Les référentiels, modèles et règles de gouvernance varient selon les organisations et les
juridictions. La manière dont une organisation conçoit et met en œuvre les principes d’une
gouvernance efficace dépend aussi de facteurs comme sa taille, sa complexité, son cycle
de vie, sa maturité, la structure de son actionnariat, et les obligations légales auxquelles
elle est soumise. L’approche du responsable de l’audit interne en matière d’évaluation de
la gouvernance et de recommandations variera en fonction du référentiel ou du modèle
utilisé par l’organisation.
Le responsable de l’audit interne se demande ensuite si le plan d’audit interne recouvre les
processus de gouvernance de l’organisation et les risques qui leur sont associés. La
gouvernance n’est pas constituée d’une série de processus et de structures indépendants.
En effet, les processus de gouvernance, de management des risques et de contrôle sont
liés. Par exemple, dans le cadre d’une gouvernance efficace, les risques seront pris en
compte lors de la définition de la stratégie. De même, le management des risques s’appuie
sur une gouvernance efficace (exemplarité au plus haut niveau, appétence pour le risque,
seuil de tolérance au risque et culture du risque ainsi que la surveillance du management
des risques). Dans le même esprit, une gouvernance efficace s’appuie sur des dispositifs
de contrôle interne et sur une communication de leur efficacité au Conseil.
Le responsable de l’audit interne peut passer en revue la charte du Conseil et de ses

comités spécialisés, ainsi que les ordres du jour et les procès-verbaux de réunions, pour
avoir une idée du rôle joué par le Conseil dans la gouvernance de l’organisation, surtout en
ce qui concerne les prises de décisions stratégiques et opérationnelles. Le responsable de
Version 31/05/2017
l’audit interne peut également s’entretenir avec d’autres acteurs clés de la gouvernance (par

178
2
exemple le Président du Conseil, le principal dirigeant élu ou nommé d’une entité du secteur
public, le responsable de la déontologie, le responsable des ressources humaines, l’auditeur
externe, le responsable de la conformité, le responsable du management des risques, etc.)
pour mieux comprendre les processus spécifiques à l’organisation, et les prestations
d’assurance déjà en place. Si l’organisation est régulée, le responsable de l’audit interne
pourra examiner les éventuels problèmes de gouvernance soulevés par le ou les régulateurs.
Il est fondamental de bien comprendre la gouvernance pour pouvoir discuter avec le

Conseil et la direction générale sur les sujets suivants :
• la définition de la gouvernance et la nature des processus de gouvernance au sein de

l’organisation ;
• les exigences de la Norme 2110 ;
• le rôle de l’audit interne ;
• les éventuels changements dans l’approche et le plan de l’audit interne susceptibles

d’améliorer sa conformité à la norme.
Ces discussions permettront de s’accorder avec le Conseil et la direction générale sur ce

qui constitue la gouvernance et les attentes à cet égard. Ainsi, une approche et un plan
d’audit interne appropriés pourront être mis en œuvre.
Les processus de gouvernance sont pris en compte dans le cadre de l’évaluation des risques
par l’audit interne, et lors de l’établissement du plan d’audit. Généralement, le responsable
de l’audit interne identifie les processus de gouvernance de l’organisation les plus risqués
qui sont pris en compte dans les missions d’assurance et de conseil prévues dans le plan
d’audit. De plus, la Norme 2110 définit la responsabilité spécifique de l’audit interne dans
l’évaluation des processus de gouvernance de l’organisation et dans la contribution à leur
amélioration par des recommandations appropriées concernant:
• les prises de décisions stratégiques et opérationnelles : l’audit interne peut ana-

Version 31/05/2017
lyser de précédents rapports d’audit ainsi que les procès-verbaux et les procédures
du Conseil, ou des documents relatifs à la gouvernance qui pourront lui permettre de

179
3
comprendre la manière dont les décisions sont discutées et finalement prises. Ce type
d’analyse révèle en général si des processus de prise de décision cohérents et effec-
tifs ont été déployés. En outre, s’entretenir avec les directeurs des différents services
peut indiquer quels processus ont conduit à telle ou telle décision stratégique ou opé-
rationnelle.
• la surveillance des processus de management des risques et de contrôle : l’audit

interne passe généralement en revue le processus d’évaluation annuelle des risques.
L’audit interne peut également examiner les procès-verbaux de réunions au cours
desquelles il a été question de stratégie de management des risques, ainsi que les
évaluations des risques précédentes, s’entretenir avec les principaux responsables du
management des risques tels que les responsables de la conformité, des risques et
des finances. Les renseignements obtenus peuvent être comparés à des éléments de
référence et aux tendances du secteur pour s’assurer que tous les risques significatifs
ont bien été envisagés.
• la promotion des règles d’éthique et des valeurs appropriées au sein de l’orga-

nisation : elle se fait en interne et auprès des partenaires externes. Dans ce cadre,
l’audit interne examine les objectifs, les programmes et les activités définies par l’or-
ganisation en la matière. Cela peut concerner les déclarations relatives à la mission et
aux valeurs de l’organisation, un code de conduite, les processus de recrutement et de
formation, une politique anti-fraude et de lancement d’alerte, ainsi que des dispositifs
d’alerte et d’investigation. Les enquêtes et les entretiens peuvent servir à évaluer les
efforts déployés par l’organisation pour la sensibilisation à ses règles éthiques et à ses
valeurs.
• une gestion efficace des performances de l’organisation, assortie d’une obli-

gation de rendre compte : l’audit interne peut passer en revue les politiques et les
processus de l’organisation relatifs à la rémunération du personnel, à la fixation des
objectifs et à l’évaluation des performances. L’audit interne peut également examiner
d’autres paramètres (comme les indicateurs-clés de performance) et les programmes
d’incitation (par exemple les primes) pour déterminer s’ils sont correctement conçus
et mis en œuvre pour prévenir ou détecter un comportement inacceptable ou une
Version 31/05/2017
prise de risque excessive et pour soutenir des actions correspondant aux objectifs
stratégiques de l’organisation.

180
4
• la communication aux services concernés des informations relatives aux risques

et aux contrôles : l’audit interne peut consulter des rapports internes, des bulletins
d’information, des notes de service et des courriers électroniques sur le sujet, et les
procès-verbaux des réunions internes pour déterminer si ces informations sont com-
plètes, exactes, diffusées en temps opportun. Les enquêtes et les entretiens peuvent
servir à évaluer la compréhension qu’ont les collaborateurs de leurs responsabilités
relatives aux processus de management des risques et de contrôle, et des répercus-
sions sur l’organisation si ces responsabilités ne sont pas assumées. En général, lors
des missions d’assurance et de conseil, l’audit interne évalue également la manière
dont circulent les informations relatives aux risques et aux contrôles dans le domaine
audité.
• la coordination des activités et la communication des informations entre le

Conseil, les auditeurs externes, les auditeurs internes, les autres prestataires
d’assurance, et le management : l’audit interne peut s’intéresser aux réunions de ces
différents intervenants (par exemple le Conseil, le comité d’audit et le comité des
comptes) et déterminer leur fréquence. Les membres de la fonction d’audit interne
peuvent assister aux réunions en tant que participants ou en tant qu’observateurs, et
ils peuvent analyser les procès-verbaux de réunions, les programmes de travail et
les rapports échangés entre ces acteurs pour voir comment ils coordonnent leurs
activités et communiquent.
Les auditeurs internes peuvent intervenir sous différentes casquettes pour évaluer les pra-
tiques de gouvernance et recommander des améliorations. Ils peuvent évaluer de manière
indépendante et objective la conception et l’efficacité des processus de gouvernance au
sein de l’organisation. En plus (ou au lieu) de fournir une assurance, les auditeurs internes
peuvent choisir de donner des conseils. Cette approche peut être privilégiée, plus particuliè-
rement lorsque les problèmes sont identifiés ou que le processus de gouvernance est peu
mature. Qu’il donne des conseils ou une assurance, le responsable de l’audit interne peut
décider de recourir à des méthodes de contrôle en continu, en envoyant par exemple des
auditeurs internes, en tant qu’observateurs, dans les réunions des instances en charge de
la gouvernance pour y apporter des conseils au fur et à mesure. En général, ce n’est pas
Version 31/05/2017
une mission unique d’audit de la gouvernance qui est effectuée. L’audit interne évalue plutôt

181
5
les processus de gouvernance en se fondant sur les informations obtenues, au fil du temps,
lors de diverses missions d’audit.
Si une évaluation globale de la gouvernance est appropriée, elle devra prendre en compte :
• les résultats des missions d’audit des processus de gouvernance spécifiques précé-
demment mentionnés ;
• les problèmes de gouvernance relevés dans le cadre de missions qui n’étaient pas
spécialement centrées sur la gouvernance, comme les missions concernant :
o la planification stratégique,
o les processus de management des risques,
o l’efficacité et l’efficience opérationnelle,
o le contrôle interne relatif à la communication financière,
o les risques liés aux systèmes d’information, à la fraude, et à d’autres domaines,
o la conformité aux lois et règlements applicables ;
• les résultats des évaluations par le management (par exemple, les inspections de
conformité, audits qualité, auto-évaluations des contrôles) ;
• le travail de prestataires d’assurance externes (par exemple, des enquêteurs

judiciaires, des contrôleurs des finances publiques, des cabinets d'audit externe) et
des régulateurs ;
• le travail de prestataires d’assurance internes ou de fonctions de la seconde ligne de

maîtrise (par exemple santé et sécurité, conformité, qualité) ;
• d’autres informations sur les questions de gouvernance, comme des incidents nui-
sibles suscitant l’amélioration des processus de gouvernance.
Pendant les phases de planification, de réalisation et de communication de la mission, les

auditeurs internes examinent la nature et les répercussions potentielles des résultats et
s’assurent que des communications appropriées sont effectuées auprès du Conseil d’Admi-
nistration et de la direction générale.
Version 31/05/2017

182
6
La conformité à la Norme 2110 peut être documentée à l’aide de rapports d’audit interne
distincts sur chaque processus de gouvernance ou d’un rapport global sur la gouvernance
comprenant des évaluations résultant de missions d’assurance ou de conseil. Le
procès-verbal d’une réunion du Conseil au cours de laquelle le responsable de l’audit
interne a présenté l’évaluation globale des pratiques de gouvernance par l’audit interne
peut également faire partie de cette documentation. Des documents concernant les
réunions du Conseil peuvent prouver que les administrateurs étaient correctement
informés des programmes de rémunération et des systèmes d’incitation, et qu’ils
surveillaient les performances des dirigeants. Des attestations de prise de connaissance,
signées par les collaborateurs et par les partenaires de l’organisation, montrent les efforts
déployés pour la sensibilisation aux règles d’éthique et aux valeurs qu’elle promeut.
Version 31/05/2017

183
7
Norme 2120 – Management des risques
L’audit interne doit évaluer l’efficacité des processus de management des risques et
contribuer à leur amélioration.
Interprétation :
Déterminer si les processus de management des risques sont efficaces relève
du jugement professionnel des auditeurs internes. Pour cela ils évaluent si :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;

• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en adéqua-
tion avec l’appétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en temps
opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hié-
rarchie et au Conseil d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations
issues de différentes missions.
Une vision consolidée des résultats de ces missions permet une compréhension
du processus de management des risques de l’organisation et de son efficacité.
La surveillance du processus de management des risques est effectuée au moyen
d’activités courantes de management, d’évaluations distinctes ou par ces deux
moyens.

Version 31/05/2017

Guide de mise en œuvre 2120 / Management des risques
Préalables
cherchent en premier lieu à comprendre l’appétence pour le risque de l’organisation, ses
missions et ses objectifs. Il est également important d’avoir une compréhension complète
de la stratégie de l’organisation et des risques identifiés par le management.
Les risques peuvent être de nature financière, opérationnelle, légale, réglementaire, ou

stratégique. La définition du management des risques dans le glossaire des Normes inter-
nationales pour la pratique professionnelle de l’audit interne est également prise en consi-
dération, de même que les référentiels et les modèles internationaux de management des
risques. De plus, le Guide de mise en œuvre 2100 - Nature du travail peut être utile pour
saisir les fondements indispensables de la mise en œuvre de la Norme 2120.
Cette norme charge l’audit interne de l’évaluation de l’efficacité des processus de manage-
ment des risques, les auditeurs internes devront donc comprendre le contexte de manage-
ment des risques de l’organisation, et les mesures correctives qui ont été mises en place
pour traiter les risques. En préalable à la mise en œuvre de la Norme 2120, il est
important de savoir de quelle manière l’organisation identifie, évalue et surveille les
risques.
Dans son évaluation des risques, l’audit interne prendra en compte la taille de l’organisa-
tion, sa complexité, son cycle de vie, sa maturité, la structure de son actionnariat et son
environnement légal et concurrentiel. Des changements récents dans l’environnement
de l’organisation (par exemple de nouvelles réglementations, un nouveau manager, une
nouvelle structure organisationnelle, de nouveaux processus et de nouveaux produits)
peuvent avoir engendré de nouveaux risques. Le responsable de l’audit interne pourra
également examiner la maturité des pratiques de management des risques de
l’organisation et déterminer dans quelle mesure l’audit interne pourra s’appuyer sur
l’évaluation des risques réalisée par le management.
Enfin, l’audit interne devra avoir établi un processus d’audit (planification, réalisation et
communication) des problèmes de management des risques. Les auditeurs internes
Version 31/05/2017
évalueront également le management des risques au cours des missions d’assurance et

de conseil d’un domaine ou d’un processus donné.

185
2
À travers la mise en œuvre de la Norme 2120, le responsable de l’audit interne et l’en-

semble de l’équipe d’audit interne démontreront in fine leur compréhension des processus
de management des risques et chercheront des occasions pour les améliorer. En s’entre-
tenant avec la direction générale et le Conseil, le responsable de l’audit interne examinera
l’appétence pour le risque, le seuil de tolérance au risque, et la culture du risque de
l’organisation. L’audit interne devra alerter le management des nouveaux risques et des
risques qui n’ont pas été correctement maîtrisés, proposer des recommandations et des
plans d’actions pour répondre de manière appropriée aux risques (par exemple les
accepter, les exploiter, les transférer, les maîtriser ou les éviter). De plus, l’audit interne
devra obtenir une information suffisante pour évaluer l’efficacité des processus de
management des risques de l’organisation.
En analysant le plan stratégique, le business plan et les politiques de l’organisation et en

discutant avec le Conseil et la direction générale, le responsable de l’audit interne peut se
faire un point de vue lui permettant d’évaluer l’alignement des objectifs stratégiques de
l’organisation avec sa mission, sa vision, son appétence pour le risque. Des entretiens
avec le management intermédiaire peuvent apporter des éléments supplémentaires à
propos de cet alignement au niveau des unités opérationnelles.
Les auditeurs internes examineront attentivement la façon dont l’organisation identifie et

traite les risques, et dont elle détermine les risques acceptables. En général, l’audit interne
évalue les responsabilités et les processus relatifs aux risques du Conseil ainsi que
les principaux rôles en matière de management des risques. A cette fin, les auditeurs
internes pourront passer en revue les évaluations des risques récemment effectuées et les
communications y afférentes par la direction générale, les auditeurs externes, les
régulateurs et d’autres sources.
En outre, l’audit interne conduit généralement ses propres évaluations des risques. Des
discussions avec la direction générale et le Conseil et un examen des politiques et des
procès-verbaux de l’organisation révéleront généralement son appétence pour le risque, et
permettront au responsable de l’audit interne et à la fonction d’audit interne de recommander
Version 31/05/2017
des modalités de traitement de ces risques. L’audit interne peut envisager de recourir

186
3
à un référentiel de management des risques ou de contrôle qui existe déjà) pur contribuer
à l’identification des risques (par exemple, les référentiels du COSO -
Committee of Sponsoring Organizations of the Treadway Commission ou l’ISO 31000).
Pour rester au fait de l’exposition à des risques potentiels et pour s’informer des
opportunités éventuelles, l’audit interne pourra également faire des recherches sur les
nouvelles évolutions et sur les nouvelles tendances sectorielles, ainsi que sur les
processus de surveillance, d’évaluation et de traitement des risques et des opportunités.
En suivant cette approche, les auditeurs internes peuvent effectuer, de manière
indépendante, des analyses d’écart afin de déterminer si les risques significatifs sont
adéquatement identifiés et évalués, de même l’audit interne est alors en mesure de
vérifier le processus d’évaluation des risques par le management. Lors de la revue des
processus de management des risques, il est important que les auditeurs internes
identifient les risques ainsi que les modalités de traitement y afférent et en discutent. Par
exemple, si le management choisit d’accepter un risque, le responsable de l’audit interne
devra déterminer si cette décision est appropriée, en fonction de l’appétence pour le
risque ou de la stratégie de management des risques de l’organisation. Si le responsable
de l’audit interne conclut que le management a accepté un niveau de risque qui pourrait
s’avérer inacceptable pour l’organisation, le responsable de l’audit interne doit en discuter
avec la direction générale et éventuellement en référer au Conseil, conformément à la
Norme 2600 - Communication relative à l’acceptation des risques. Si le management
choisit d’employer une stratégie de maîtrise des risques, l’audit interne pourra, le cas
échéant, évaluer l’adéquation et la rapidité des mesures de remédiation prises. Cet
objectif peut être atteint par l’examen de la conception des dispositifs de contrôle et des
tests des procédures de contrôle et de surveillance.
Pour évaluer si les informations pertinentes concernant les risques sont
effectivement captées et communiquées en temps opportun dans l’organisation, les
auditeurs internes peuvent s’entretenir avec des collaborateurs à différents niveaux et
déterminer si les objectifs, les risques significatifs et l’appétence pour le risque de
l’organisation sont suffisamment expliqués et compris dans l’organisation. En général,
l’audit interne évalue également l’adéquation et la rapidité de la communication par le
management des résultats du management des risques. L’audit interne peut analyser des
procès-verbaux de réunions du Conseil pour déterminer si les risques significatifs sont
communiqués en temps opportun au Conseil et s’il s’assure effectivement que la direction
Version 31/05/2017
générale les traite de manière appropriée.

187
4
In fine, l’audit interne devra prendre les mesures nécessaires pour s’assurer que ses
propres risques, tels que les défaillances d’audit, la fausse assurance et les risques de
réputation, sont gérés. De même, toutes les mesures correctrices devraient également
être suivies.
Parmi les documents qui peuvent démontrer la conformité à la Norme 2120, il y a notam-
ment la Charte d’audit interne qui formalise les rôles et responsabilités de l’audit interne
relatifs au management des risques, ainsi que le plan d’audit interne. La conformité
peut également être prouvée grâce au contenu des procès-verbaux de réunions entre le
responsable de l’audit interne, le Conseil et le direction générale au cours desquelles il a
été question de certains aspects de cette norme (tels que les recommandations de l’audit
interne en matière de management des risques), ou de réunions entre l’audit interne et les
comités, les groupes de travail et les principaux dirigeants concernés.
Les évaluations des risques réalisées par l’audit interne et les plans d’action pour le traite-
ment des risques démontrent sa contribution à l’évaluation et à l’amélioration des
processus de management des risques.
Version 31/05/2017

188
5
Norme 2130 – Contrôle
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié

en évaluant son efficacité ainsi que son efficience et en encourageant son améliora-
tion continue.
Préalables
cherchent en premier lieu à comprendre le concept de contrôle et les caractéristiques des
processus classiques de contrôle. Ils prennent également en considération la définition du
terme « contrôle », dans le glossaire des Normes internationales pour la pratique profes-
sionnelle de l’audit interne, ainsi que le Guide de mise en œuvre 2100 - Nature du travail.
En s’entretenant avec la direction générale et le Conseil, le responsable de l’audit interne
pourra analyser l’appétence pour le risque, le seuil de tolérance au risque et la culture du
risque de l’organisation. Il est important que les auditeurs internes comprennent les risques
significatifs qui pourraient entraver la capacité de l’organisation à atteindre les objectifs
fixés, et les dispositifs de contrôle qui ont été mis en œuvre pour ramener les risques à un
niveau acceptable.
Version 31/05/2017

Guide de mise en œuvre 2130 / Contrôle
Les auditeurs internes peuvent juger utile d’analyser les résultats de précédentes évalua-
tions des principaux dispositifs de contrôle et des plans d’actions y afférents ainsi que les
impacts potentiels de modifications récemment apportées dans l’organisation qui
pourraient engendrer de nouveaux risques. Les auditeurs internes peuvent envisager
de consulter le service juridique de l’organisation, le responsable de la conformité et
d’autres acteurs concernés par les lois et règlements que l’organisation doit respecter.
Une compréhension de la manière dont l’organisation reste informée de l’évolution de la
réglementation et s’as-sure de s’y conformer est utile pour l’audit interne.
Il est important que les auditeurs internes aient une compréhension approfondie du réfé-
rentiel(s) de contrôle adopté(s) de façon formelle ou informelle par l’organisation, et se
familiarisent avec des référentiels de contrôle complets et mondialement reconnus comme
le Référentiel intégré de contrôle interne, publié par le COSO - Committee of
Sponsoring Organizations of the Treadway Commission. Bien que les composantes, les
processus et l’attribution des responsabilités relatifs aux dispositifs de contrôle soient
semblables dans les différents référentiels, la terminologie employée peut varier.
Les auditeurs internes devraient également comprendre les responsabilités relatives au

maintien de dispositifs de contrôle efficaces. Habituellement, la direction générale surveille
la mise en place, la gestion, et l’évaluation du système de contrôle. Les managers sont
généralement responsables de l’évaluation des contrôles dans leur domaine respectif.
L’audit interne fournit divers niveaux d’assurance relatifs à l’efficacité des processus de
contrôle existants. La répartition des responsabilités peut être indiquée dans une politique
de contrôle de l’organisation.
In fine, l’audit interne devra disposer d ’un processus d ’audit ( planification, réalisation et
communication) des problématiques de contrôle.
En mettant en œuvre cette norme, le responsable de l’audit interne et l’ensemble de son

équipe doivent finalement faire preuve d’une bonne compréhension des processus de
Version 31/05/2017
contrôle de l’organisation, alerter le management sur les problématiques de contrôle, pro-

poser des recommandations et des plans d’actions pour mettre en place et surveiller les

190
2
mesures correctrices. L’audit interne devra obtenir une information suffisante pour évaluer
l’efficacité des processus de contrôle de l’organisation.
Les dispositifs de contrôle sont destinés à réduire les risques au niveau de l’entité, au niveau
des fonctions et au niveau des opérations. Une évaluation compétente de l’efficacité des
contrôles est réalisée au regard des risques susceptibles d’empêcher l’atteinte des objectifs
fixés à chaque niveau. Une matrice des risques et des contrôles peut aider l’auditeur interne
à mener plus facilement ces évaluations. Ce type de matrice peut aider l’audit interne à :
• identifier les objectifs, et les risques pouvant empêcher de les atteindre ;
• déterminer l’importance des risques, en prenant en considération leur impact et leur

probabilité ;
• déterminer les modalités adéquates de traitement des risques significatifs (les accep-
ter, les exploiter, les transférer, les maîtriser ou les éviter) ;
• déterminer les contrôles clés utilisés par le management pour traiter les risques ;
• évaluer l’adéquation de la conception des contrôles afin de déterminer s’il serait appro-
prié d’en tester l’efficacité ;
• tester les contrôles dont la conception a été jugée adéquate et déterminer s’ils fonc-
tionnent comme prévu.
En utilisant une matrice des risques et des contrôles, l’audit interne peut juger utile de
s’entretenir avec le management, d’analyser les plans, les politiques et les processus de
l’organisation, d’utiliser des tests de cheminement, des enquêtes, de soumettre des ques-
tionnaires de contrôle interne et des diagrammes de flux pour obtenir des informations sur
l’adéquation de la conception des contrôles, et de recourir à des inspections, des confirma-
tions, des audits en continu et des analyses de données pour tester l’efficacité des contrôles.
Pour évaluer l’efficacité des contrôles, l’audit interne détermine généralement si le manage-
ment mesure et surveille les coûts et les bénéfices des contrôles. Cela peut consister à se
demander si les ressources utilisées pour le dispositif de contrôle n’excèdent pas les
bénéfices et s’il ne génère pas de difficultés opérationnelles significatives (comme des
erreurs, des retards, ou la duplication des efforts).
Version 31/05/2017
Il peut également être utile, pour les auditeurs internes, d’évaluer si le niveau de contrôle
est approprié au regard du risque à maîtriser. Pour visualiser cette relation et déterminer le

191
3
caractère significatif du risque au regard de l’efficacité du contrôle, de nombreux auditeurs

internes se servent d’une cartographie des risques et des contrôles.
Pour promouvoir l’amélioration continue de dispositifs de contrôle efficaces, l’audit interne

fournit généralement à la direction générale et au Conseil une évaluation globale ou conso-
lide les évaluations résultant de différentes missions d’audit spécifiques. Le responsable
de l’audit interne peut recommander la mise en place d’un cadre de référence s’il n’en
existe pas déjà un. En outre, les auditeurs internes peuvent faire des recommandations
pour améliorer l’environnement de contrôle (par exemple, l’exemplarité au plus haut niveau
qui promeut une culture du comportement éthique et une tolérance minimale au risque de
non-conformité).
Parmi les actions supplémentaires que l’audit interne peut réaliser pour promouvoir l’amé-
lioration de l’efficacité des dispositifs de contrôle, figurent notamment :
• les formations sur les processus de contrôle et d’auto-évaluation ;
• l’animation de sessions d’évaluation des contrôles (ou des risques et des contrôles)
pour le management ;
• l’aide apportée au management dans l’établissement d’une structure logique de docu-

mentation, d’analyse et d’évaluation de la conception et de la mise en œuvre des
contrôles dans l’organisation ;
• la contribution au développement d’un processus d’identification, d’évaluation et de

remédiation des défaillances de contrôle ;
• l’aide apportée au management dans la veille concernant les sujets émergents, les lois
et règlements relatifs aux exigences de contrôle ;
• le suivi des évolutions technologiques susceptibles de faciliter l’efficacité et l’efficience

des contrôles.
Version 31/05/2017

192
4
Les documents qui peuvent démontrer la conformité à la Norme 2130 comprennent

notam-ment l’évaluation et les tests de contrôles réalisés par l’audit interne. Il s’agit
généralement des papiers de travail des auditeurs internes tels que :
• les procès-verbaux des réunions avec les parties prenantes concernées au cours des-
quelles il a été question des dispositifs de contrôle ;
• des matrices et des cartographies des risques et des contrôles ;
• des commentaires sur les tests de cheminement ;
• les résultats des enquêtes et des entretiens avec le management ;
• les résultats des tests de contrôles.
La conformité peut également être démontrée à travers des plans et des rapports de mis-
sion, le suivi de problématiques soulevées dans les rapports d’audit et/ou dans une évalua-
tion globale des dispositifs de contrôle. Si le management maintient une série de procédures
adéquates de fonctionnement et de contrôle pour indiquer aux collaborateurs les contrôles
attendus, cela peut aussi être une preuve de conformité. L’amélioration continue peut être
prouvée par une mise à jour régulière des procédures normalisées de fonctionnement et de
contrôle destinée à refléter l’environnement évolutif.
Version 31/05/2017

193
5
Norme 2200 – Planification de la mission
Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission.
Ce plan de mission précise les objectifs, le périmètre d’intervention, le calendrier de la
mission, ainsi que les ressources allouées. Ce plan doit prendre en considération la
stratégie, les objectifs et les risques de l’organisation pertinents au regard de la mis-
sion.
Préalables
La planification de la mission est essentielle dans un processus d’audit interne efficace. Elle
est non seulement au cœur de la Norme 2200, mais également d’autres normes de cette
série.
Lors de la planification d’une mission d’audit, les auditeurs internes commencent généra-
lement par prendre connaissance du plan annuel d’audit interne et des discussions qui ont
conduit à sa définition (cf. Guide de mise en œuvre 2010 – Planification). Ils s’intéressent
également aux changements significatifs au sein de l’organisation depuis que la mission
d’audit a été inscrite au plan annuel d’audit interne. Les auditeurs internes cherchent éga-
lement à comprendre comment la stratégie, les objectifs et les risques de
Version 31/05/2017
l’organisation influencent la mission d’audit interne.

Guide de mise en œuvre 2200 / Planification de la mission
Il est important que les auditeurs internes comprennent le processus de planification de

la mission utilisé par la fonction d’audit interne. Ce processus est souvent décrit dans le
manuel des règles et procédures de l’audit interne. Les auditeurs internes cherchent éga-
lement à cerner le périmètre de la mission ainsi que les attentes des parties prenantes et
à intégrer les précédentes missions d’audit (internes ou externes) ou revues de conformité
réalisées dans le domaine audité. En outre, les auditeurs internes s’imprègnent de la stra-
tégie, des objectifs et des risques liés à la fonction, au domaine ou au processus audités.
Ils pourront envisager de vérifier si le management a procédé à une évaluation des risques
dans le domaine audité et, le cas échéant, prendre connaissance de l’opinion du manage-
ment issue de cette auto-évaluation ainsi que des risques ou des dispositifs de contrôle
correspondant au domaine à auditer.
Les auditeurs internes devront envisager les ressources nécessaires à la mission (cf. Guide
de mise en œuvre 2030 – Gestion des ressources) et déterminer les modalités d’utilisation
efficace de ces ressources.
Les Guides de mise en œuvre des Normes 2201 – Considérations relatives à la planifica-
tion, 2210 – Objectifs de la mission, 2220 – Périmètre d’intervention de la mission, 2230 –
Ressources affectées à la mission et 2240 – Programme de travail de la mission, proposent
des indications complémentaires à propos de la planification de la mission.
Dans la mise en œuvre de la Norme 2200, il est important que les auditeurs internes iden-
tifient les objectifs de la mission comme élément essentiel de sa planification. À ce titre,
les auditeurs internes devront analyser les évaluations récentes des risques réalisées par
le management ainsi que celle effectuée par la fonction d’audit interne dans le cadre de sa
planification annuelle. En effet, les objectifs de la mission sont liés aux risques du domaine
audité. Les évaluations des risques réalisées dans le cadre de missions antérieures et les
rapports de ces missions sont également à prendre en compte. Une fois que les objectifs
ont été établis à partir des risques identifiés, le périmètre d’intervention de la mission pourra
être défini.
Version 31/05/2017

195
2
Afin de définir les objectifs de la mission, les auditeurs internes identifient généralement les
informations nécessaires dans le cadre du périmètre d’intervention. Ils communiquent au
management ce périmètre pour lui permettre de se préparer en conséquence. Les audi-
teurs internes échangent également avec le management et les personnes clés du domaine
audité pour s’assurer de leur disponibilité en amont de la mission.
Tout au long de la planification, les auditeurs internes conservent généralement la trace des
discussions et conclusions des réunions dans les documents de travail de la mission. Pen-
dant la planification, les auditeurs internes définissent le niveau de formalisation et la docu-
mentation nécessaires. Le manuel des règles et procédures de l’audit interne peut spécifier
les étapes de la formalisation et prévoir des modèles adaptés.
A ce stade, les auditeurs internes peuvent commencer à élaborer le programme de travail

de la mission, et envisager les budgets, la logistique et le format de la communication finale
de la mission. Le responsable de l’audit interne décide généralement des modalités, des
échéances et des destinataires de la communication des résultats (cf. Norme 2440 – Dif-
fusion des résultats). Il décide également du niveau de supervision directe des auditeurs
internes, conformément au plan de la mission (cf. Norme 2340 – Supervision de la mission).
La dernière étape de la planification avant la phase de réalisation des travaux sur le terrain
consiste à obtenir l’approbation du programme de travail de la mission par l’encadrement de
l’audit interne. Toutefois, lorsque des nouvelles informations sont recueillies sur le terrain,
le plan et le programme de travail de la mission peuvent être réajustés. Ces changements
devront être soumis à l’approbation de l’encadrement de l’audit interne.
Les documents permettant de démontrer la conformité avec la Norme 2200 incluent un plan de
mission formalisé reprenant les éléments pris en compte lors de la planification, le périmètre
d’intervention, les objectifs, l’allocation des ressources de la mission et le programme de travail
approuvé. Un manuel des règles et procédures de l’audit interne peut inclure des modèles
approuvés de documents concernant la planification de la mission. La documentation peut être
constituée de notes prises dans le cadre des réunions de planification précédant la mission,
Version 31/05/2017

196
3
comme les procès-verbaux, la liste des participants, le calendrier de la mission, les

ressources disponibles et d’autres éléments clés. Les indications de cette nature sont
généralement documentées dans les documents de travail de la mission.
Par ailleurs, des communications avec le client de la mission concernant la mission à venir,
ses objectifs et son périmètre, peuvent servir à démontrer la conformité. Tout document issu
d’une réunion de lancement après l’élaboration du programme de travail peut également
servir à prouver la conformité avec la Norme 2200.
Les Guides de mise en œuvre des Normes 2201 – Considérations relatives à la planification,
2210 – Objectifs de la mission, 2220 – Périmètre d’intervention de la mission, 2230 – Res-
sources affectées à la mission et de 2240 – Programme de travail de la mission proposent
des éléments probants supplémentaires de conformité.
Version 31/05/2017

197
4
Norme 2201 – Considérations relatives à la planification
Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
• la stratégie, les objectifs de l’activité auditée et la manière dont elle pilote sa per-
formance ;
• les risques significatifs liés aux objectifs de l’activité, à ses ressources et à ses
opérations, ainsi que les moyens par lesquels l’impact potentiel des risques est
maintenu à un niveau acceptable ;
• la pertinence et l’efficacité des processus de gouvernance, de management des

risques et de contrôle de l’activité, en référence à un cadre ou un modèle appro-
prié ;
• les opportunités d’améliorer de manière significative les processus de gouver-

nance, de management des risques et de contrôle de l’activité.
Préalables
Les auditeurs internes doivent soigneusement planifier les missions afin d’atteindre effica-
cement les buts et objectifs établis dans le plan annuel d’audit interne et de respecter les
règles et procédures de l’audit interne. Généralement, la planification de la mission débute
par une revue de la documentation relative au plan annuel d’audit interne.
Version 31/05/2017

Guide de mise en œuvre 2201 / Considérations relatives à la planification
Les auditeurs internes peuvent planifier efficacement une mission s’ils ont compris la mission,
la vision, les objectifs, les risques, l’appétence pour le risque, l’environnement de contrôle,
la structure de gouvernance et le processus de management des risques du domaine ou
processus audité. A cette fin, une enquête préliminaire pourra s’avérer utile.
Le développement d’une matrice de risques et de contrôles – ou la révision de la matrice

existante – est une pratique habituelle pour identifier les risques pouvant avoir un impact
sur les objectifs, les ressources, et/ou les activités du domaine ou du processus audité.
La matrice de risques et de contrôles peut donner des informations essentielles sur les
principaux risques identifiés et les dispositifs de maîtrise concernés. Elle permet égale-
ment d’identifier les objectifs clés des sous-processus au sein du domaine ou du processus
audité.
Pendant la planification de la mission, les auditeurs internes rassemblent des informations

concernant les règles et procédures de l’audité et cherchent à comprendre les systèmes
d’information employés. Ils définissent également les sources, les types d’informations utili-
sées dans le processus audité et leur fiabilité ainsi que celles qui serviront comme élément
probant. Les auditeurs internes obtiennent et analysent les résultats des travaux d’autres
prestataires d’assurance internes ou externes et/ou, le cas échéant, les résultats de mis-
sions antérieures réalisées dans le domaine ou le processus audité.
Il est important que les auditeurs internes déterminent si de nouveaux processus ou situa-
tions ont entraîné une évolution des risques. Par ailleurs, les auditeurs internes ont intérêt
à identifier les éléments préliminaires et les informations nécessaires, y compris les compé-
tences en audit interne requises pour réaliser efficacement la mission.
Pour la mise en œuvre de la Norme 2201, il est important que les auditeurs internes identi-
fient, comprennent et documentent la mission, les objectifs stratégiques, les buts, les indi-
cateurs clés de performance, les risques et les dispositifs de contrôle du domaine ou pro-
cessus audité. Généralement, les auditeurs internes évaluent si les risques sont gérés à un
Version 31/05/2017
niveau acceptable grâce aux processus de gouvernance, de management des risques et

de contrôle.

199
2

Les Normes International Audit-100-199

Transféré par

Droits d'auteur :

Formats disponibles

Les Normes International Audit-100-199

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Les Normes International Audit-100-199

Transféré par

Droits d'auteur :

Formats disponibles

Guide de mise en œuvre 1230 / Formation professionnelle continue

les observations des superviseurs ou des pairs concernant de nouvelles compétences, ou

The Institute of Internal Auditors Global

Norme 1300 - Programme d’assurance et d’amélioration

Le responsable de l’audit interne doit concevoir et tenir à jour un programme d’assu-

• la conformité de l’audit interne avec les Normes ;

• le respect du Code de déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’audit

Normes applicables au 1er janvier 2017

The Institute of Internal Auditors Global 1 www.globaliia.org www.theiia.org

La Norme 1300 charge le responsable de l’audit interne du développement et de la mise en

Le programme d’assurance et d’amélioration qualité est conçu pour permettre l’évaluation

• mieux cerner les attentes relatives à l’audit interne,

• discuter de l’importance des Normes et du programme d’assurance et d’amélioration

• encourager le Conseil à apporter son soutien en la matière.

En général, le responsable de l’audit interne procède à une analyse comparative en trou-

The Institute of Internal Auditors Global

Eléments à prendre en compte pour la mise en œuvre

Conformément aux exigences de la Norme 1300, le responsable de l’audit interne élabore

Le responsable de l’audit interne évalue périodiquement le programme et, le cas échéant, le

• Évaluations internes (Norme 1311)

• Évaluations externes (Norme 1312)

• Communication des résultats du programme (Norme 1320)

• Utilisation appropriée de la mention de conformité (Norme 1321)

• Indication de non-conformité (Norme 1322)

The Institute of Internal Auditors Global

Le responsable de l’audit interne devrait établir une surveillance continue et veiller à la

Des auto-évaluations périodiques sont effectuées pour vérifier que la surveillance

Le Guide de mise en œuvre de la Norme 1311 fournit des indications complémentaires

indépendant ou une équipe d’évaluation externe à l’organisation, a pour but de vérifier si

The Institute of Internal Auditors Global

Communication des résultats du programme d’assurance et d’amélioration

• Le périmètre et la fréquence des évaluations internes et externes.

• Les qualifications et l’indépendance du (des) évaluateur(s) ou de l’équipe d’évaluation.

• Les conclusions des évaluateurs.

Le guide de mise en œuvre de la Norme 1320 comporte des indications complémentaires

Utilisation appropriée de la mention de conformité aux Normes

The Institute of Internal Auditors Global

Eléments à prendre en compte pour démontrer la conformité

De multiples activités et documents sont susceptibles de démontrer la conformité à la

The Institute of Internal Auditors Global

Norme 1310 – Exigences du programme d’assurance et

Le programme d’assurance et d’amélioration qualité doit comporter des évaluations

Normes applicables au 1er janvier 2017

d’identifier des pistes d’amélioration. Le programme d’assurance et d’amélioration qualité

The Institute of Internal Auditors Global 1 www.globaliia.org www.theiia.org

The Institute of Internal Auditors Global 107 www.globaliia.org www.theiia.org

Eléments à prendre en compte pour la mise en œuvre

La Norme 1310 exige d’inclure dans le programme d’assurance et d’amélioration qualité

Le responsable de l’audit interne devrait instituer une surveillance continue et s’assurer

Des auto-évaluations périodiques sont effectuées pour confirmer que la surveillance

Normes et le Code de déontologie, l’audit interne se conforme également à la Définition de

Outre les évaluations internes, le responsable de l’audit interne est chargé de

Eléments à prendre en compte pour démontrer la conformité

Plusieurs éléments sont susceptibles d’indiquer la conformité à la Norme 1310, y compris

The Institute of Internal Auditors Global 109 www.globaliia.org www.theiia.org

The Institute of Internal Auditors Global 110 www.globaliia.org www.theiia.org

Norme 1311 - Évaluations internes

Les évaluations internes doivent comporter :

• une surveillance continue de la performance de l’audit interne ;