transposition des normes professionnelles de l’audit ... · remerciements l’ifaci tient tout...

L’IFACI est affilié àThe Institute of Internal Auditors

Edition spéciale

CollectivitésTerritoriales

Inclus : Définition de l’audit interne Code de Déontologie Normes internationales

Transposition desNormes Professionnelles

de l’Audit Interneet bonnes pratiques

Copyright © 2009 by the Institute of Internal Auditors Research Foundation (IIARF), 247 Maitland Avenue, Altamonte Springs,

Florida 32701-4201. Tous droits de reproduction réservés.

Copyright © IFACI, 98 bis, boulevard Haussmann, 75008 Paris. Tous droits de reproduction en français réservés.

Avril 2011

ISBN : 978-2-915042-30-6

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits,

ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque

procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Réal

isatio

n :

e

bzon

e co

mm

unic

atio

n (w

ww

.ebz

one.

fr) -

Impr

essio

n : I

mpr

imer

ie C

ompé

dit B

eaur

egar

d

3© IFACI - avril 2011

Sommaire

Remerciements .................................................................................................................................................... 4

Préambule .............................................................................................................................................................. 5

Dispositions obligatoires .................................................................................................................................. 9

Définition adaptée de l’audit interne ................................................................................................................ 11

Code de Déontologie adapté ................................................................................................................................ 13

Normes internationales .............................................................................................................................................. 19

Introduction .............................................................................................................................................................. 21

Normes de qualification .................................................................................................................................... 23

Normes de fonctionnement ........................................................................................................................... 37

Glossaire ...................................................................................................................................................................... 59

4 © IFACI - avril 2011

Remerciements

L’IFACI tient tout particulièrement à remercier les membres du groupe professionnel « Collectivités territo-riales » qui ont contribué à la production de ce cahier :

Rédaction :- Jean-Baptiste GAMAS, Consultant, Président du Groupe- Xavier PEYRONNET, Administrateur Territorial HC, Inspection Générale, Conseil Régional Ile-de-France- Hervé SADOUL, Inspecteur Général, Conseil Général du Pas-de-Calais- Yannis WENDLING, Directeur de l’Audit Interne, Conseil Général de Seine-Saint-Denis

Consultation :- Isabelle DUCHEFDELAVILLE, Inspectrice Générale, Ville de Paris- Danièle LAMARQUE, Directrice des Relations internationales, des affaires européennes et de la francophonie,

Cour des Comptes- Jean-Marc LE GALL, Directeur Général Adjoint, Conseil Général de Seine-Saint-Denis- Marie-Ange du MESNIL du BUISSON, Directrice Générale de l’Inspection Générale, Ville de Paris- Sophie PENVERN, Auditrice Interne, Conseil Général de l’Essonne- Angélique SLOAN, Directeur Adjoint de la Délégation Evaluation des Politiques et Audit, Conseil Général

des Hauts-de-Seine- Julie SMITH, Directeur de la Délégation Evaluation des Politiques et Audit, Conseil Général des Hauts-de-

Seine- Carine VIGNA-LOBIA, Chef du Centre Audit Interne, Communauté Urbaine de Bordeaux

Mise en forme :- Julie FERRE, Chargée de projets recherche, IFACI

Le Groupe Professionnel « Collectivités territoriales » remercie les membres du groupe professionnel « Admi-nistrations de l’Etat » dont les travaux sur la transposition du CRIPP aux administrations de l’Etat ont servi debase à la transposition des Normes aux collectivités territoriales.

Philippe MOCQUARDSecrétaire Général

L


Préambule

Les collectivités territoriales s’administrentlibrement par des conseils élus au suffrageuniversel, responsables de leurs politiqueslocales. Elles se sont vues confier des respon-sabilités de plus en plus importantes depuisles lois fondatrices de la décentralisation du 2mars 1982, des 7 et 22 juillet 1983 jusqu’à celledu 13 août 20041.

L’obligation qui leur est imposée de voter leursbudgets en équilibre et de financer par desressources propres le remboursement de leurdette les a conduit très tôt à développer desdispositifs de contrôle interne et de maîtrisedes activités dans un souci de bonne gestiondes deniers publics. Elles sont, en outre,soumises à divers contrôles destinés à assurerle respect des exigences de rigueur et detransparence de la gestion publique locale :contrôle de légalité exercé par les représen-tants de l’Etat, contrôle budgétaire et degestion effectués par les Chambres régionalesdes comptes, contrôle juridictionnel par lesjuridictions administratives. De nouvellesdispositions légales et réglementaires sontintervenues pour concrétiser ces exigencesde rigueur et de transparence que ce soit ausein du code général des collectivités territo-riales ou au sein des nouvelles instructionscomptables financières. Ces dispositionsconstituent un socle sur lequel il est possiblede s’appuyer pour disposer d’un référentiel decontrôle interne et de management desrisques.

Le développement et la professionnalisationde la fonction d’audit est une démarcherécente au sein des collectivités territoriales,elle répond au besoin de consolidation dessystèmes de contrôle interne et de manage-ment des risques. Face à des marges demanœuvre financières réduites et à unedemande sociale sans cesse croissante, lesgrandes collectivités (départements, régions,communautés urbaines et grandes villesessentiellement) ont renforcé leurs dispositifsde contrôle interne et ce avant tout pourmoderniser leur administration et limiter leursrisques juridiques et financiers.

Le développement des directions d’auditinterne et des inspections générales appelleaujourd’hui la formalisation de leurs règles defonctionnement et méthodes d’intervention.Il est apparu que les normes internationalesde l’audit interne, établies par l’IIA (The Insti-tute of Internal Auditors) et diffusées par l’IFACIen France, pouvaient être une référence utilepour améliorer leurs pratiques en vue degarantir la qualité des missions qui leur sontconfiées.

L’IFACI a mis en place un groupe de travailpluraliste, composé de praticiens des servicesde l’Etat et des collectivités ainsi que d’experts,avec pour objectif de transposer les normesprofessionnelles de l’audit interne en tenantcompte des particularités des collectivitésterritoriales.

Préambule

1 Loi du 2 mars 1982 relative aux droits et libertés des communes, des départements et des régions - Lois des 7 et 22 juillet 1983 relatives à la répartitiondes compétences entre les communes, les départements, les régions et l’Etat - Loi du 13 août 2004 relative aux libertés et responsabilités locales.


Ce travail a notamment permis de mettre enévidence que les pratiques de l’audit internedans le secteur public évoluent rapidementet se rapprochent de celles observées dans lesecteur privé et dans certains établissementset administrations de l’Etat où les normesprofessionnelles internationales de l’IIA/IFACIsont déjà mises en œuvre. Ce constat peutpermettre aux collectivités territoriales deprendre la mesure de l’utilité possible de toutou partie de ces normes en fonction de leurspropres projets et, le cas échéant, d’organiserleur mise en œuvre complète.

Certaines normes nécessitent cependant desadaptations mineures, de langage le plussouvent, qui ont fait l’objet de commentaireset d’observations pratiques. Quatre thèmesdoivent préalablement être précisés dans lecadre de ce préambule.

1. La gouvernance des collectivités territo-riales présente des particularités :

Dans les collectivités territoriales, le respon-sable de l’Exécutif (Maire ou Président)préside également l’assemblée délibéranteoù siègent notamment les autresmembres de l’Exécutif. Les Exécutifs locauxexercent leurs responsabilités en s’ap-puyant sur une organisation administrativeà la tête de laquelle ils placent un comitéde direction présidé par un directeur géné-ral des services, de sorte que les instances« conseil d’administration » et « comitéd’audit », telles qu’elles sont comprisesusuellement, sont difficilement transposa-bles. Ce mode de gouvernance, applicabledans les collectivités teritoriales, permetd’assurer un équilibre entre les responsabi-lités politiques et managériales de l’Exécu-

tif, chargé à la fois d’assurer le bon fonc-tionnement des services et de proposer àl’assemblée délibérante les orientationspolitiques.

La transposition des normes internatio-nales aux collectivités territoriales a conduità remplacer le terme « gouvernementd’entreprise» par « gouvernance » et lestermes « direction générale et conseil » par« l’Exécutif et le Conseil ». En pratique, lesmissions de l’Exécutif décrites dans lesnormes sont en tout ou en partie délé-guées au directeur général des services ouau secrétaire général. Le Conseil étant uneinstance de gouvernance telle que l’assem-blée délibérante ou le comité d’auditlorsqu’il existe.

Il est à noter que le positionnement duservice d’audit interne fait également l’ob-jet d’une particularité. Si dans le secteurprivé, l’audit interne est en principe claire-ment rattaché à la direction générale etentretient des relations étroites et régu-lières avec le comité d’audit, dans lescollectivités, le service d’audit interne oul’inspection générale sont le plus souventrattachés directement soit au président dela collectivité, soit au directeur général desservices.

De même, le terme « client », qui peut faireréférence à une relation marchande, a étéremplacé par « commanditaire ».

2. La planification annuelle des auditsfondée sur une cartographie générale desrisques est encore une pratique rare dansles collectivités locales. Toutefois, cetteapproche tend à se développer du fait de


plusieurs éléments favorables :

La nécessité de prévenir et maîtriser lesrisques les plus sensibles1 est unecomposante de plus en plus incontour-nable du pilotage managérial desservices opérationnels. Le cadre régle-mentaire et législatif impose, en outre, lamise en œuvre de plans de préventiondes risques particuliers.

L’Exécutif a pris conscience de la néces-sité d’identifier et de prévenir les risquesliés aux actions qui sont mises en œuvrepar l’administration sur la base des orien-tations stratégiques et politiques définiespar les élus.

L’examen des observations et jugementsémis par les chambres régionales descomptes et autres organismes decontrôle externes sur le fonctionnementde l’administration2 orientent et incitentl’Exécutif à adopter des plans d’auditfondés sur une analyse préalable desrisques. Par exemple, les chambres régio-nales des comptes recommandentnotamment dans leurs rapports d’obser-vations de bâtir une programmationannuelle (voire pluriannuelle) des auditsà partir d’une analyse des risquescouvrant les champs significatifs de l’ac-tivité des collectivités territoriales.

Enfin, l’établissement d‘une cartographiedes risques dans le respect des normesprofessionnelles reconnues apparaît

comme un moyen efficace pour parta-ger et consolider des pratiquescommunes en matière de contrôleinterne.

3. La notion de « valeur ajoutée » doit êtreprécisée dans l’environnement des collec-tivités territoriales. Plutôt que le résultatd’un calcul économique (détermination dela valeur marchande d’un bien), elle signifiela recherche d’un meilleur service rendu àl’usager au moindre coût pour le contri-buable. La « valeur ajoutée » sera comprisecomme le résultat de la recherche de laperformance de l’action publique.

Dans un objectif d’amélioration constantede l’action publique, l’audit interne doitpermettre aux autorités territoriales d’éva-luer l’efficacité (rapport entre les objectifset les résultats obtenus) et l’efficience(rapport entre les résultats et les moyensdéployés) de l’administration. L’auditinterne participe à la préservation de lavaleur ajoutée du service rendu au publicen détectant les causes des dysfonctionne-ments ou déficiences constatés et enproposant les améliorations utiles pourrenforcer l’efficacité des services et écono-miser les moyens.

4. Le Code de Déontologie associé auxnormes internationales a pour but depromouvoir une exigence éthique au seinde la profession de l’audit interne. Cepen-dant, s’agissant de la fonction publiqueterritoriale, cette exigence est régie par un

Préambule

1 Les risques les plus sensibles se trouvent dans les domaines juridiques, financiers, de l’urbanisme et de l’environnement, de la sécurité des personneset des moyens, ainsi que ceux liés aux marchés publics, aux délégations de service public et aux subventions.2 En plus des chambres régionales des comptes, les organismes de contrôle externes sont les juridictions, préfectures, inspections générales de l’Etat,instances européennes.


cadre statutaire qui fixe les obligations etles droits des agents1. A ces règles statu-taires viennent s‘ajouter le principe dusecret professionnel édicté par le codepénal et plusieurs textes régissant certainesprofessions ou métiers de la fonctionpublique territoriale.

Ainsi, conformément à leurs obligationsstatutaires, les fonctionnaires territoriaux,et a fortiori ceux qui sont membres d’unemission d’inspection ou d’un service d’au-dit, doivent faire preuve d’impartialité, deneutralité, de désintéressement, de discré-tion et de réserve. Ces principes sont toutà fait cohérents avec ceux du Code deDéontologie.

1 Lois du 13 juillet 1983 portant droits et obligations des fonctionnaires et du 26 janvier 1984 relative à la fonction publique territoriale.

DiSPoSiTionS obLigaToiRES


Dispositions obligatoires


Définition adaptée de l’audit interne

L'audit interne est une activité indépendante et objective qui contribue à donner à une collec-tivité territoriale une assurance sur le degré de maîtrise de ses opérations et lui apporte sesconseils pour améliorer son fonctionnement. Il contribue à lui apporter de la valeur ajoutée.

Il aide cette collectivité à atteindre ses objectifs en évaluant, par une approche systématiqueet méthodique, ses processus de management des risques, de contrôle, et de gouvernance,et en faisant des propositions pour renforcer leur efficacité.


Les processus à prendre en considération sont délimités selon le positionnement du service d'audit. Il peut s'agir de proces-sus définis au niveau d’une collectivité territoriale et des établissements publics locaux. Quel que soit le niveau retenu, ilest indispensable d'identifier le responsable du pilotage de chaque processus.

L'utilisation des outils appropriés tels que la cartographie des risques est un facteur clé de succès pour aider la collectivitéà atteindre ses objectifs.

Le risque correspond à un événement qui est susceptible d'empêcher la réalisation d'un objectif opérationnel, de conformitéou financier. Le champ des risques ne se limite pas à la seule dimension comptable et financière ; il peut s’étendre audomaine juridique et à l’image de la collectivité.

Les activités de contrôle, très présentes dans l'administration, sont formalisées à partir des textes législatifs et réglemen-taires. Cependant, il convient de préciser que le processus de contrôle mentionné dans la définition va au-delà des activitésde contrôle et de leur formalisation ; il s'agit d'un "dispositif de contrôle interne" intégrant également les activités d'or-ganisation, d'analyse des risques, de diffusion d'information et de pilotage.

La notion de valeur ajoutée n'est pas directement transposable aux collectivités territoriales . Elle sera comprise commele résultat de la recherche de la performance de l’action publique. L'objectif de l'audit interne est d'améliorer l'efficacité,l'efficience et la performance des entités auxquelles il est rattaché.

En pratique


Code de Déontologie adapté

Pourquoi un Code de Déontologie ?

Pourquoi donc les Normes n’aplaniraient-elles pas toutes les difficultés auxquelles l’auditeur interne peut se trouver

confronté, en indiquant de manière systématique, la bonne conduite à adopter ? Cette question est légitime et appelle

des réponses qui permettent de préciser la raison d’être du Code de Déontologie :

Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte parti-

culier qui est le leur. Les lois nationales, les règlements et les risques propres aux différents secteurs économiques,

les formes juridiques des organisations et leurs modalités de fonctionnement, et le rôle finalement dévolu à l’audit

interne, créent des situations particulières ; un développement trop extensif de normes tendrait à ramener systé-

matiquement la diversité de la réalité à une situation type. Dans ces conditions, le Code de Déontologie de la profes-

sion identifie des valeurs essentielles qui ne nient par l’originalité de chaque situation. Il guide la réflexion de chaque

auditeur interne et fournit la trame du Code de Déontologie à mettre en place dans chaque service d’audit interne.

Expliciter et illustrer les notions d’indépendance et d’objectivité, ces préalables sont indispensables à la

qualité de l’évaluation effectuée par l’auditeur interne. Il est essentiel que ces deux notions, que l’auditeur doit

respecter, soient définies avec clarté et précision : ainsi pourra-t-il choisir la démarche appropriée face à des situations

délicates. En effet, l’auditeur interne et notamment le responsable de l’audit interne, se trouvent fréquemment

confrontés au jeu naturel des influences de toutes natures, qui peuvent parfois les mettre à l’épreuve de situations

personnelles moralement difficiles et confuses. Le Code de Déontologie rappelle les principes fondamentaux suscep-

tibles d’éviter ou de clarifier les situations impropres à l’exercice d’un jugement professionnel serein. Ils permettent

d’obtenir les conseils d’un supérieur hiérarchique et de déterminer, en son âme et conscience, la démarche qu’il

convient de suivre en cas de situation délicate.

Témoigner du niveau élevé d’intégrité de l’audit interne : Il est important et utile que chacun sache que

l’auditeur interne s’efforce de toujours agir avec honnêteté et rigueur. L’existence d’un Code de Déontologie de l’audit

interne, signé par les auditeurs internes et annexé à la charte d’audit interne constitue, à notre sens, le témoignage

d’un engagement favorisant un climat d’honnêteté et d’intégrité.

Contribuer à la qualité des résultats de l’audit en rappelant l’exigence de confidentialité et de compé-

tence. En effet, la confiance accrue des audités permet un meilleur travail.

Préambule de l’iFaCi



Introduction

Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au seinde la profession d’audit interne.


L'audit interne est une activité indépendante et objective qui contribue àdonner à une collectivité territoriale une assurance sur le degré demaîtrise de ses opérations et lui apporte ses conseils pour améliorer sonfonctionnement. Il contribue à lui apporter de la valeur ajoutée.

Il aide cette collectivité à atteindre ses objectifs en évaluant, par uneapproche systématique et méthodique, ses processus de managementdes risques, de contrôle, et de gouvernance, et en faisant des propositionspour renforcer leur efficacité.

Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective surles processus de gouvernance, de management des risques, et de contrôle, il était nécessaire quela profession se dote d’un tel code.

Le Code de Déontologie va au-delà de la définition de l’audit interne et inclut deux composantesessentielles :

1. des principes fondamentaux pertinents pour la profession et pour la pratique de l’auditinterne ;

2. des règles de conduite décrivant les normes de comportement attendues des auditeursinternes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentauxet ont pour but de guider la conduite éthique des auditeurs internes.

On désigne par « auditeurs internes » toutes les personnes proposant des services entrant dans lecadre de la définition de l’audit interne, les membres de l'Institut, les titulaires de certificationprofessionnelles de l'IIA.

Champ d’application et caractère obligatoire

Le Code de Déontologie s'applique aux personnes et aux entités qui fournissent des services d'au-dit interne. Toute violation du Code de Déontologie par des membres de l'Institut, des titulaires de certifica-tions professionnelles de l'IIA ou des candidats à celles-ci, fera l'objet d’un examen et sera traitéeen accord avec les statuts de l'Institut et ses directives administratives. Le fait qu'un comportement


donné ne figure pas dans les règles de conduite ne l'empêche pas d'être inacceptable ou désho-norant et peut donc entraîner une action disciplinaire à l'encontre de la personne qui s'en estrendu coupable sans préjudice des mesures qui peuvent être prises par les autorités adminis-tratives et juridictionnelles.

Principes fondamentaux

Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentauxsuivants :

1. IntégritéL’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées àleur jugement.

2. ObjectivitéLes auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,évaluant et communiquant les informations relatives à l’activité ou au processus examiné.Les auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne selaissent pas influencer dans leur jugement par leurs propres intérêts ou par autrui.

3. ConfidentialitéLes auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ilsne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligationlégale ou professionnelle ne les oblige à le faire.

4. CompétenceLes auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériencesrequis pour la réalisation de leurs travaux.

Le principe de confidentialité est encadré par les dispositions particulières du secteur public (obligation de réserve,discrétion professionnelle, besoin d'en connaître, etc.).

En pratique

La diversité des recrutements et des parcours professionnels des membres des équipes d'audit peuvent permettre une bonnemaîtrise des enjeux et des problématiques à auditer. Cette réalité n'exclut pas la nécessité de programmes de formationadéquats pour s'assurer que la méthodologie et les compétences en audit interne sont acquises.

En pratique


16

Règles de conduite

1. Intégrité

Les auditeurs internes :

1.1. doivent accomplir leur mission avec honnêteté, diligence et responsabilité ;

1.2. doivent respecter la loi et faire les révélations requises par les lois et les règles de la profes-sion ;

1.3. ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans desactes déshonorants pour la profession d’audit interne ou leur collectivité territoriale ;

1.4. doivent respecter les objectifs éthiques et légitimes de leur collectivité territoriale etcontribuer à leur réalisation.

2. Objectivité


2.1. ne doivent pas prendre part à des activités ou établir des relations qui pourraient compro-mettre ou risquer de compromettre le caractère impartial de leur jugement. Ce principevaut également pour les activités ou relations d'affaires qui pourraient entrer en conflitavec les intérêts de leur collectivité territoriale ;

2.2. ne doivent rien accepter qui pourrait compromettre leur jugement professionnel ;

2.3. doivent révéler tous les faits matériels dont ils ont connaissance et qui, s'ils n'étaient pasrévélés, auraient pour conséquence de fausser le rapport sur les activités examinées.

© IFACI - avril 2011

Par exemple, selon l'article 40 du Code de la procédure pénale : « toute autorité constituée, tout officier public oufonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'endonner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procèsverbaux et actes qui y sont relatifs ».

En pratique

C'est en interne, et essentiellement dans le cadre du rapport d'audit, que des faits matériels doivent être révélés. Il convienttoutefois d'être bien conscient que des informations délicates, destinées a priori à l’Exécutif, sont susceptibles d'être connuesà l'extérieur de la collectivité. C'est ainsi que les rapports d'audit interne peuvent être communiqués à la justice. Il convient donc de présenter les faits dont ont eu connaissance les auditeurs internes avec discernement, prudence etcirconspection.

En pratique


3. Confidentialité


3.1. doivent utiliser avec prudence et protéger les informations recueillies dans le cadre deleurs activités ;

3.2. ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d'unemanière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifséthiques et légitimes de leur collectivité territoriale.

4. Compétence


4.1. ne doivent s'engager que dans des travaux pour lesquels ils ont les connaissances, lesavoir-faire et l'expérience nécessaires ;

4.2. doivent réaliser leur travaux d'audit interne dans le respect des normes internationalespour la pratique professionnelle de l'audit interne ;

4.3. doivent toujours s'efforcer d'améliorer leur compétence, l'efficacité et la qualité de leurtravaux.


Il est important de préciser que la confidentialité et les règles de conduite afférentes s’appliquent à toute personneproposant des services entrant dans la définition de l'audit interne. Le responsable de l'audit interne, dans le cas où il sous-traite une mission à l'extérieur du service d'audit interne ou de la collectivité, doit veiller à ce qu'une clause de cet ordre soitintégrée dans le contrat de prestation. Alors même qu'ils relèvent de règles de confidentialité et de secret professionnel extrêmement strictes (cf. articles 413-10 et413-11 du Code pénal), y compris en interne, des éléments liés, par exemple, aux libertés publiques ou à la vie privéepeuvent être inclus dans une mission d'audit.

En pratique

Est assimilable à un « bénéfice personnel », le bénéfice procuré à un tiers ainsi que d’une manière générale l'utilisation parl’auditeur interne : les auditeurs internes doivent respecter la valeur et la propriété des informations qu’ils reçoivent.

En pratique

noRmES inTERnaTionaLES


normes internationales


introductionL’audit interne est exercé dans différents environnements juridiques et culturels ainsi que dansdes organisations dont l'objet, la taille, la complexité et la structure sont divers. Il peut être en outreexercé par des professionnels de l'audit, internes ou externes à l'organisation.Comme ces différences peuvent avoir une influence sur les pratiques des auditeurs dans chaqueenvironnement, il est recommandé de se conformer aux Normes internationales pour la pratiqueprofessionnelle de l'audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs internes etl’audit interne s'acquittent de leurs responsabilités.Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne derespecter certaines dispositions des Normes, il est nécessaire d’en respecter les autres dispositionset de procéder à une communication appropriée.

Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence,les communications de l’audit interne peuvent, le cas échéant, citer l’utilisation d’autres normes.S’il y a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes etl’audit interne doivent se conformer aux Normes et peuvent respecter les autres dispositions sicelles-ci sont plus exigeantes.

Les Normes ont pour objet :1. de définir les principes fondamentaux de la pratique de l'audit interne ;2. de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d’in-

tervention l'audit interne à valeur ajoutée ;3. d'établir les critères d'appréciation du fonctionnement de l'audit interne ;4. de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes sont des principes fondamentaux qui doivent se décliner intégralement et sont consti-tuées : de déclarations sur les conditions fondamentales pour la pratique professionnelle de l’audit

interne et pour l’évaluation de sa performance. d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.

Les Normes utilisent des termes ayant un sens spécifique qui est précisé dans le Glossaire. En parti-culier les Normes utilisent le mot doit pour spécifier une exigence impérative et le mot devraitlorsque le respect de la disposition est recommandé sauf si, en faisant preuve de jugement profes-sionnel, des adaptations sont justifiées par les circonstances.

Il est indispensable de prendre en considération les déclarations et les interprétations ainsi queles significations spécifiques du Glossaire pour comprendre et appliquer correctement les Normes.

normes internationales

Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement et desNormes de Mise en Œuvre. Les Normes de Qualification énoncent les caractéristiques que doiventprésenter les organisations et les personnes accomplissant des missions d'audit interne. LesNormes de Fonctionnement décrivent la nature des missions d'audit interne et définissent descritères de qualité permettant de mesurer la performance des services fournis. Les Normes deQualification et les Normes de Fonctionnement s’appliquent à tous les services d’audit. Les Normesde Mise en Œuvre précisent les Normes de Qualification et les Normes de Fonctionnement enindiquant les exigences applicables dans les activités d’assurance (A) ou de conseil (C).

Dans le cadre de missions d'assurance, l'auditeur interne procède à une évaluation objective envue de formuler en toute indépendance une opinion ou des conclusions sur une entité, une opéra-tion, une fonction, un processus, un système ou tout autre sujet. L’auditeur interne détermine lanature et l'étendue des investigations. Les missions comportent généralement trois types d'inter-venants : (1) la personne ou le groupe directement impliqué dans l’entité, l’opération, la fonction,le processus, le système ou le sujet examiné – autrement dit le pilote du processus, (2) la personneou le groupe réalisant l'évaluation – l'auditeur interne, et (3) la personne ou le groupe qui utiliseles résultats de l'évaluation – l'utilisateur.

Les missions de conseil sont généralement entreprises à la demande d'un commanditaire. Leurnature et leur périmètre font l'objet d'un accord avec ce dernier. Elles comportent généralementdeux intervenants : (1) la personne ou le groupe qui fournit les conseils – en l'occurrence l'auditeurinterne, et (2) la personne ou le groupe donneur d'ordre auquel ils sont destinés – le commandi-taire. Lors de la réalisation de missions de conseil, l'auditeur interne doit faire preuve d'objectivitéet n'assumer aucune fonction de management liée à l’objet de la mission.

La revue et la mise à jour des Normes sont un processus continu. « The Internal Audit StandardsBoard » mène une large consultation et des discussions avant de publier les Normes. Pour cela,des avant-projets sont soumis au plan international pour commentaires publics. Ils sont consulta-bles sur le site internet de l'IIA et sont distribués à tous les instituts affiliés. L’adaptation de cesnormes pour les collectivités territoriales résulte d’un travail réalisé au sein d’un groupe derecherche de l’IFACI.

Les suggestions et commentaires concernant le présent document sont à adresser à :

IFACI, Institut affilié à l’IIA98 bis, boulevard Haussmann

75008 PARIS


© IFACI - avril 2011 23

noRmES DE

quaLiFiCaTion

normes de qualification

25




Rédaction adaptée de la norme 1000 – mission, pouvoirs et responsabi-lités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définisdans un document communément appelé « charte d’audit interne ». Ce texte définit la poli-tique générale de la fonction d’audit interne en veillant à sa cohérence avec la définition del’audit interne, le Code de Déontologie ainsi qu’avec les Normes. Le responsable de l’audit internedoit revoir périodiquement la charte d’audit interne et soumettre les ajustements nécessaires àl’acceptation de l’Exécutif et du Conseil.

Rédaction adaptée de l’Interprétation :La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-sabilités de cette activité. La charte définit la position de l'audit interne dans la collectivité territoriale,[...] autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation desmissions; définit le champ des activités d'audit interne.L’approbation finale de la charte d’audit interne relève de la responsabilité de l’Exécutif et du Conseil.

Rédaction adaptée de la Norme 1000.A1 – La nature des missions d'assuranceréalisées pour la collectivité territoriale doit être définie dans la charte d'audit interne.S'il est prévu d'effectuer des missions d'assurance à l'extérieur de la collectivité terri-toriale, leur nature doit être également définie dans la charte d'audit interne.

1000.C1 – La nature des missions de conseil doit être définie dans la charte d'auditinterne.

La charte est le nom communément utilisé pour désigner le texte de référence qui définit la fonction d’audit interne sur unpérimètre donné. Ce texte fixe le cadre général de l’activité d’audit en cohérence avec le projet stratégique de l’Exécutif et duConseil.La révision périodique de la charte ne s’impose que si l’organisation de la collectivité a évolué ou si le projet stratégiquequ’elle met en œuvre a connu une évolution importante remettant en cause les fondements du texte.

En pratique


Rédaction adaptée de la norme 1010 – Reconnaissance de la définition de l’auditinterne, du Code de Déontologie ainsi que des normes dans la charte d'auditinterne.

La définition de l’audit interne, le Code de Déontologie et les Normes ont vocation à êtrereconnus dans la charte d'audit interne, afin d’inciter à la professionnalisation de la fonc-tion.Le responsable de l’audit interne devrait présenter la définition de l’audit interne, le Codede Déontologie ainsi que les Normes à l’Exécutif et au Conseil.

1100 – indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avecobjectivité.

Rédaction adaptée de l’Interprétation :L’indépendance est la capacité de l’audit interne à assumer, de manière impartiale, ses responsabilités.Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, leresponsable de l’audit interne doit avoir un accès direct et non restreint à l’Exécutif et au Conseil[...].L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leurs missionsde telle sorte qu’ils soient certains de la qualité de leurs travaux [...]. L’objectivité implique que lesauditeurs internes ne subordonnent pas leur propre jugement à celui d’autres personnes. Commepour l’indépendance, les atteintes à l’objectivité doivent être appréciées au niveau de :

l’auditeur interne ; la conduite de la mission ; l’audit interne et de son positionnement dans la collectivité territoriale.

La définition de l'audit interne, le Code de Déontologie et les Normes ont fait leur preuve dans les différents contextes oùl'audit interne est pratiqué. Ils constituent le niveau minimal de professionnalisme requis par le présent référentiel debonnes pratiques.

En pratique

Au niveau individuel, l’objectivité de l’auditeur interne consiste à pouvoir émettre une opinion libre et motivée sur tous lesaspects de ses travaux, sans être influencé par le jugement émis par d’autres personnes, en dehors du service d’auditinterne, ni par son responsable ou d’autres auditeurs internes.L’objectivité découle, en partie, de l’approche systématique et méthodique prévue dans la définition de l’audit interne.

En pratique

27



Rédaction adaptée de la norme 1110 – indépendance dans la collectivité territo-riale

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein dela collectivité territoriale pour permettre au service d’audit interne d’exercer ses respon-sabilités.Le responsable de l’audit interne peut confirmer annuellement à l’Exécutif et au Conseil,l’indépendance de l’audit interne au sein de la collectivité territoriale.

Rédaction adaptée de l’Interprétation :L’indépendance au sein de la collectivité territoriale est atteinte lorsque le responsable d’auditrapporte fonctionnellement au Comité d’audit, lorsqu’il existe, ou à défaut à d’autres instancesde gouvernance qui :

approuvent la charte d’audit interne ; approuvent le plan d’audit interne fondé sur l’approche par les risques ; sont destinataires des informations adressées par le responsable d’audit relatives à la réalisa-

tion du plan d’audit ou de tout autre sujet afférent à l’audit interne ; approuvent les décisions liées à la nomination et à la révocation du responsable de l’audit

interne ; demandent des informations au management et au responsable de l’audit interne pour déter-

miner l’adéquation du périmètre et des ressources de l’audit interne.

1110.A1 – L'audit interne ne doit subir aucune ingérence lors de la définition deson champ d'intervention, de la réalisation du travail et de la communication desrésultats.

Conformément à la prise de position de l’IFACI sur l’urbanisme du contrôle interne, il est recommandé : que l’audit interne soit rattaché au plus haut niveau de la collectivité afin de conforter l’objectivité de ses démarches

et d’affirmer l’indépendance dont il a besoin pour exercer ses activités, idéalement au niveau de l’Exécutif; qu’un lien étroit et continu soit établi avec le comité d’audit, lorsqu’il existe, à défaut avec d’autres instances de

gouvernance pour :- permettre à ce dernier de bénéficier d’une vision de synthèse sur le dispositif de contrôle interne et obtenir des

réponses directes et précises sur certains de ses éléments clés ;- garantir l’indépendance de l’audit interne.

En pratique

Le risque d’ingérence doit faire l’objet d’échanges du responsable de l'audit interne avec l’Exécutif et le Conseil.Les règles de communication des travaux d’audit doivent être adaptées au type de mission.

En pratique


Rédaction adaptée de la norme 1111 – Relation directe avec les instances degouvernance

Le responsable de l’audit interne doit pouvoir communiquer et dialoguer directement avecle Comité d’audit, lorsqu’il existe, ou à défaut à d’autres instances de gouvernance.

1120 – objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, etéviter tout conflit d'intérêt.

Interprétation :Est considérée comme un conflit d’intérêt, une situation dans laquelle un auditeur interne, qui jouitd’une position de confiance, a un intérêt personnel ou professionnel venant en concurrence avec sesdevoirs et responsabilités. De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilitésde façon impartiale. Un conflit d’intérêt peut exister même si aucun acte contraire à l’éthique oumalhonnête n’a été commis. Un conflit d’intérêt peut créer une situation susceptible d’entamer laconfiance en l’auditeur interne, au service d’audit interne et en la profession. Un conflit d’intérêt peutcompromettre la capacité d’un individu à conduire ses activités et exercer ses responsabilités demanière objective.

1130 – atteinte à l'indépendance ou à l'objectivité

Si l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faitsou même en apparence, les parties concernées doivent en être informées de manièreprécise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépen-dance.

Les collectivités territoriales sont encouragées à créer leur comité d’audit ou équivalent.Le responsable de l’audit interne doit instaurer des relations régulières avec cette instance. Il organise une communicationadaptée à leurs besoins et aux exigences de sa mission. Il démontre, notamment lors de réunions d’échanges directs, lacontribution de l’audit interne à l’exercice de leurs responsabilités.

En pratique

Si la connaissance des Normes est indispensable pour mettre en œuvre une approche méthodique, il est égalementnécessaire de mobiliser d’autres compétences en termes de savoir-être et de savoir-faire (connaissance des métiers del’organisation, de sa culture, etc.) pour renforcer l’objectivité et l’indépendance des auditeurs internes.La collectivité peut définir un emploi fonctionnel pour le responsable de l’équipe d’audit et ainsi garantir son rattachementau plus haut niveau de la collectivité.

En pratique


Rédaction adaptée de l’Interprétation :Parmi les atteintes à l'indépendance du service d’audit interne et à l'objectivité individuelle, peuventfigurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accèsaux dossiers, aux personnes et aux biens, ainsi que les limitations de ressources telles que des limita-tions financières.L’identification des parties qui devraient être informées d’une atteinte à l'objectivité et à l'indépen-dance dépend d’une part des attentes de l’Exécutif et du Conseil telles que décrites dans la charted'audit interne, en termes de responsabilités de l’audit interne et du responsable de l’audit interne, etd’autre part de la nature de cette atteinte.

Rédaction adaptée de la Norme 1130.A1 – Les auditeurs internes doivent s'abs-tenir d'auditer des opérations particulières dont ils étaient auparavant responsables.L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une missiond'assurance pour une activité dont il a eu la responsabilité au cours des trois annéesprécédentes.

Rédaction adaptée de la Norme 1130.A2 – Les missions d'assurance concernantdes fonctions dont le responsable de l'audit a la charge doivent être réalisées parun autre service relevant directement de l’Exécutif ou par un organisme exté-rieur.

1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions deconseil liées à des opérations dont ils ont été auparavant responsables.

Rédaction adaptée de la Norme 1130.C2 – Si l'indépendance ou l'objectivité desauditeurs internes sont susceptibles d'être compromises lors des missions de conseilqui leur sont proposées, ils doivent en informer le responsable de l’audit interne etle commanditaire avant de les accepter.


Il est considéré que l’objectivité est assurée au-delà d’une période de trois ans. Cette durée peut être réduite en fonction dessujets traités et sur décision du responsable de l’audit interne.Si l’indépendance ou l’objectivité d’un auditeur interne est susceptible d’être compromise, il doit en informer le responsablede l’audit interne.

En pratique

Il n’est pas souhaitable qu’une mission concernant les autres fonctions du responsable de l’audit interne puisse être réaliséepar le service d’audit interne, même avec la supervision d’une personne n’appartenant pas à l’équipe d’audit interne.

En pratique

1200 – Compétence et conscience professionnelle

Les missions doivent être conduites avec compétence et conscience professionnelle.

1210 – Compétence

Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autrescompétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’auditinterne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et lesautres compétences nécessaires à l'exercice de ses responsabilités.

Interprétation :Les connaissances, le savoir-faire et les autres compétences sont une expression générique utiliséepour décrire la capacité professionnelle dont les auditeurs internes doivent disposer pour pouvoirexercer efficacement leurs responsabilités professionnelles. Les auditeurs internes sont encouragésà démontrer leurs compétences en obtenant des certifications et qualifications professionnellesappropriées telles que le CIA (Certified Internal Auditor) et tout autre diplôme promu par l’IIA ou pard’autres organisations professionnelles appropriées.

1210.A1 – Le responsable de l'audit interne doit obtenir l'avis et l'assistance depersonnes qualifiées si les auditeurs internes ne possèdent pas les connaissances,le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout oupartie de leur mission.


Chaque collectivité créant un service d'audit interne doit définir les compétences et le savoir-faire nécessaires à l'exercice desfonctions d'auditeur interne et aider ses équipes à les acquérir. Cela nécessite de responsabiliser le service d’audit interne surle recrutement de ses membres mais aussi sur la conception et la gestion de son plan de formation.Chaque auditeur interne, pris individuellement, n’a pas besoin d’avoir toutes les connaissances nécessaires à la conduite dela mission. Ces compétences doivent être disponibles collectivement. Qu’il s’agisse de missions d’assurance ou de conseil,c’est au responsable de l’audit interne de veiller à ce que la constitution de l’équipe soit cohérente avec les objectifs de lamission.

En pratique

En évaluant le contrôle interne, les auditeurs internes doivent tous avoir à l'esprit le risque de fraude. Ils l’intègrent dans leurévaluation comme un risque opérationnel parmi d'autres. (cf. Norme 2120.A2)

En pratique

1210.A2 – Les auditeurs internes doivent posséder des connaissances suffisantespour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation.Toutefois, ils ne sont pas censés posséder l'expertise d'une personne dont la respon-sabilité première est la détection et l'investigation des fraudes.

1210.A3 – Les auditeurs internes doivent posséder une connaissance suffisante desprincipaux risques et contrôles relatifs aux technologies de l'information, et des tech-niques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre destravaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pascensés posséder l'expertise d'un auditeur dont la responsabilité première est l'auditinformatique.

1210.C1 – Le responsable de l'audit interne doit décliner une mission de conseilou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internes nepossèdent pas les connaissances, le savoir-faire et les autres compétences néces-saires pour s'acquitter de tout ou partie de la mission.

1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'onpeut attendre d'un auditeur interne raisonnablement averti et compétent. La conscienceprofessionnelle n'implique pas l'infaillibilité.

Rédaction adaptée de la Norme 1220.A1 – Les auditeurs internes doivent appor-ter tout le soin nécessaire à leur pratique professionnelle en prenant en considéra-tion les éléments suivants :

l'étendue du travail nécessaire pour atteindre les objectifs de la mission ; la complexité relative, la matérialité ou le caractère significatif des domaines

auxquels sont appliquées les procédures propres aux missions d'assurance ; l’adéquation et l'efficacité des processus de gouvernance, de management

des risques et de contrôle ; la probabilité d'erreurs significatives, de fraudes ou de non-conformité ; le coût de la mise en place des contrôles par rapport aux avantages escomp-

tés.

1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeurinterne doit envisager l'utilisation de techniques informatiques d’audit et d’analysedes données.

31



1220.A3 – Les auditeurs internes doivent exercer une vigilance particulière à l'égarddes risques significatifs susceptibles d'affecter les objectifs, les opérations ou lesressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sont menéesavec la conscience professionnelle requise, ne garantissent pas que tous les risquessignificatifs seront détectés.

Rédaction adaptée de la Norme 1220.C1 – Les auditeurs internes doivent appor-ter à une mission de conseil toute leur conscience professionnelle, en prenant enconsidération les éléments suivants :

les besoins et attentes des commanditaires, y compris sur la nature, le calen-drier et la communication des résultats de la mission ;

la complexité de celle-ci et l'étendue du travail nécessaire pour atteindre lesobjectifs fixés ;

son coût par rapport aux avantages escomptés.

1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compé-tences par une formation professionnelle continue.

1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amé-lioration qualité portant sur tous les aspects de l'audit interne.

Interprétation : Un programme d'assurance et d'amélioration qualité est conçu de façon à évaluer :

la conformité de l’audit interne avec la définition de l’audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’auditinterne et d’identifier toutes opportunités d’amélioration.


Les principes évoqués dans les Normes professionnelles relatives au « programmes d'assurance et d'amélioration qualité »permettant de s'assurer de la conformité de l'activité d'audit interne au présent référentiel.

En pratique

33



1310 – Exigences du programme d'assurance et d'amélioration qualité

Le programme d'assurance et d'amélioration qualité doit comporter des évaluations tantinternes qu’externes.

Rédaction adaptée de la norme 1311 – Évaluations internes

Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes

de la collectivité territoriale possédant une connaissance suffisante des pratiquesd'audit interne.

Interprétation :La surveillance continue fait partie intégrante de la supervision quotidienne, de la revue et du suivide l’activité d’audit interne. La surveillance continue est intégrée dans les procédures et les pratiquescourantes de gestion du service d’audit interne. Ce contrôle utilise les processus, les outils et les infor-mations nécessaires à l’évaluation du service d’audit interne en termes de conformité à la définitionde l’audit interne, au Code de Déontologie et aux Normes. Les revues périodiques sont conduites pour évaluer également la conformité du service d’audit interneà la définition de l’audit interne, au Code de Déontologie et aux Normes. Une connaissance suffisante des pratiques d’audit interne suppose au moins la compréhension del’ensemble des éléments du cadre de référence international des pratiques professionnelles.

Rédaction adaptée de la norme 1312 – Évaluations externes

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateurou une équipe qualifiés, indépendants et extérieurs à la collectivité territoriale. Le respon-sable de l'audit interne doit s'entretenir avec l’Exécutif et le Conseil au sujet :

du besoin d'augmenter la fréquence de ces évaluations externes ; des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de

leur indépendance y compris au regard de tout conflit d'intérêt potentiel.

Rédaction adaptée de l’Interprétation :Un évaluateur ou une équipe d’évaluateurs qualifiés possèdent des compétences dans deuxdomaines : la pratique professionnelle de l’audit interne et le processus d’évaluation externe. Cescompétences peuvent être démontrées à travers une combinaison d’expériences professionnelles etde connaissances théoriques.L’expérience acquise dans des organisations de taille, de complexité, de secteur d’activité ou d’indus-trie, et de problématiques techniques similaires est à privilégier.Le responsable de l’audit interne doit se servir de son jugement professionnel pour apprécier si unévaluateur ou une équipe d’évaluation possède suffisamment de compétences pour pouvoir mener

à bien la mission d’évaluation.La personne ou l’équipe qui procède à l’évaluation doit être indépendante de la collectivité territo-riale dont le service d’audit interne fait partie et ne pas se trouver en situation de conflit d’intérêt réelou apparent.

Rédaction adaptée de la norme 1320 – Rapports relatifs au programme d'assu-rance et d'amélioration qualité

Le responsable de l'audit interne doit communiquer les résultats du programme d'assu-rance et d'amélioration qualité à l’Exécutif et au Conseil.

Rédaction adaptée de l’Interprétation : La forme, le contenu ainsi que la fréquence des communications relatives aux résultats duprogramme d'assurance et d'amélioration qualité sont définis lors de discussions avec l’Exécutif etle Conseil et tiennent compte des responsabilités de l’audit interne et de celles du responsable del’audit interne comme définies dans la charte d’audit interne. Pour démontrer la conformité à la défi-nition de l’audit interne, au Code de déontologie et aux Normes, les résultats des évaluations internespériodiques et des évaluations externes doivent être communiquées dès l’achèvement de ces évalua-tions ; Les résultats de la surveillance continue sont quant à eux communiqués au moins une foispar an. Ces résultats incluent l’appréciation des évaluateurs sur le degré de conformité de l’activitéde l’audit interne.

1321 – utilisation de la mention « conforme aux Normes internationales pour lapratique professionnelle de l’audit interne »

Le responsable de l’audit interne peut indiquer que l’activité d’audit interne est conduiteconformément aux Normes internationales pour la pratique professionnelle de l'audit interneseulement si, les résultats du programme d'assurance et d'amélioration qualité l’ont démon-tré.

Interprétation : Le service d’audit interne est en conformité avec les Normes lorsqu’il respecte les exigences de la Défi-nition de l’audit interne, du Code de Déontologie et des Normes.Les résultats du programme d’assurance et d’amélioration qualité incluent les résultats des évalua-tions internes et des évaluations externes. Tout service d’audit interne disposera de résultats d’éva-luations internes. Les services d’audit interne qui ont plus de cinq ans d’ancienneté disposerontégalement des résultats de leurs évaluations externes.


Le choix de l’entité réalisant l’évaluation externe relève de l’Exécutif. La charte de l’audit interne peut le préciser. Lafréquence des évaluations externes peut être réduite par l’Exécutif.

En pratique

Rédaction adaptée de la norme 1322 – indication de non-conformité

Quand la non-conformité de l’activité d’audit interne avec la Définition de l’Audit Interne,le Code de Déontologie ou encore les Normes a une incidence sur le champ d'interventionou sur le fonctionnement de l'audit interne, le responsable de l’audit interne doit informerl’Exécutif et le Conseil de cette non-conformité et de ses conséquences.

35



La mention « conforme aux Normes internationales pour la pratique professionnelle de l’audit interne » estexclusivement utilisée dans les cas où les résultats de l’évaluation interne et externe ont démontré cette conformité (cf.normes 1311 et 1312).

En pratique

noRmES DE FonCTionnEmEnT


normes de fonctionnement

39


normes de Fonctionnement

Rédaction adaptée de la norme 2000 – gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elleapporte une valeur ajoutée à la collectivité territoriale.

Rédaction adaptée de l’Interprétation : L’activité d’audit interne est gérée efficacement quand :

les résultats des travaux de l’audit interne répondent aux objectifs et responsabilités définisdans la charte d’audit interne ;

l’audit interne est exercé conformément à la définition de l’audit interne et aux Normes ; les membres de l’équipe d’audit agissent en respectant le Code de Déontologie et les Normes.

Le service d’audit interne apporte de la valeur ajoutée à la collectivité territoriale (ainsi qu’à sesparties prenantes) lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficiencedes processus de gouvernance, de management des risques et de contrôle interne.

Rédaction adaptée de la norme 2010 – Planification

Le responsable de l'audit interne doit établir une planification fondée sur les risques afinde définir des priorités cohérentes avec les objectifs de la collectivité territoriale.

Rédaction adaptée de l’Interprétation : Il incombe au responsable de l’audit interne d’élaborer un plan d’audit fondé sur les risques. Pour cefaire, le responsable de l’audit interne prend en compte le système de management des risques définiau sein de la collectivité territoriale, il tient notamment compte de l’appétence pour le risque définiepar le management pour les différentes activités ou branches de la collectivité territoriale. Si cesystème de management des risques n’existe pas, le responsable de l’audit interne doit se baser sursa propre analyse des risques après consultation de l’Exécutif et du Conseil.


Le système de management des risques, s’il existe, est l’un des éléments à prendre en considération pour l’établissement del’ordre de priorité des missions. A défaut, l'audit interne pourra contribuer à cette démarche indispensable en réalisant unemission de conseil dans le respect des dispositions de la Norme 2120.C3.

Par ailleurs, le responsable de l’audit interne prend en compte d’autres données. Par exemple : la date et les résultats des précédentes missions ; les demandes des instances dirigeantes, du comité d’audit s’il existe et d’autres organes de pilotage ; les changements importants intervenus (ou envisagés) dans les processus et les activités de l’organisation ;

En pratique


Rédaction adaptée de la Norme 2010.A1 – Le plan d’audit interne doit s'appuyersur une évaluation des risques documentée et réalisée au moins une fois par an.Les points de vue de l’Exécutif et Conseil doivent être pris en compte dans ceprocessus.

Rédaction adaptée de la Norme 2010.A2 – Le responsable de l’audit interne doitidentifier et prendre en considération les attentes de l’Exécutif, du Conseil et desautres parties prenantes concernant les opinions et d’autres conclusions de l’auditinterne.

Rédaction adaptée de la Norme 2010.C1 – Lorsqu'on lui propose une missionde conseil, le responsable de l'audit interne, avant de l'accepter, devrait considérerdans quelle mesure elle est susceptible de créer de la valeur ajoutée, d'améliorer lemanagement des risques et le fonctionnement de la collectivité territoriale. Lesmissions de conseil qui ont été acceptées doivent être intégrées dans le plan d'au-dit.

la composition de l’équipe d’audit interne, ses compétences et les modifications envisagées au niveau desressources, etc.

Pour les collectivités territoriales, le bon fonctionnement du service public constitue un objectif majeur qui devra être pris encompte dans la planification des activités du service d'audit.

Le plan d’audit ne doit pas résulter d’un simple recensement des activités et des entités de l’organisation.Le responsable de l’audit interne doit avoir une approche méthodique fondée sur des informations factuelles pour définir lecontour des missions et hiérarchiser les différents sujets.Il veille à conserver la trace des éléments qui ont permis d’aboutir aux priorités qu’il définit.

En l’absence de cartographie générale des risques, une approche ponctuelle par les risques (risques inhérents aux processuset éventuellement risques de contrôle interne) est un préalable nécessaire pour chaque mission d’audit.

Quand il existe un comité des risques propre à l'organisation, il pourra contribuer, à travers sa hiérarchisation des risques,à la programmation annuelle de l’audit interne. De même, la détection des risques effectuée par des institutions externes(Par exemple : Chambre Régionale des Comptes, Cour des comptes pourra être utilement prise en considération.

En pratique

41



Rédaction adaptée de la norme 2020 – Communication et approbation

Le responsable de l’audit interne doit communiquer à l’Exécutif et au Conseil son pland’audit et ses besoins, pour examen et approbation, ainsi que tout changement importantsusceptible d’intervenir en cours d’exercice. Le responsable de l’audit interne doit égale-ment signaler l’impact d’une limitation de ses ressources.

2030 – gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activitésoient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le pland'audit approuvé.

Interprétation :On entend par ressources adéquates, la combinaison de connaissances, savoir-faire et autres compé-tences nécessaires à la réalisation du plan d’audit. On entend par ressources suffisantes, la quantitéde ressources nécessaires à la réalisation du plan d’audit. Les ressources sont mises en œuvre effica-cement quand elles sont utilisées de manière à optimiser la réalisation du plan d’audit.

2040 – Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadreà l'activité d'audit interne.

Interprétation :La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structurél’audit interne et de la complexité de ses travaux.

Cette communication peut s’envisager dans le cadre d’un comité d’audit ou d’un comité des risques et d’audit, lorsqu’ilsexistent, et doit être réalisée au moins une fois par an.

En pratique

L’adéquation des ressources s’entend au niveau de la planification globale mais également pour chaque mission (cf. Norme1200).

En pratique

La complexité des travaux dépend du contexte de la mission (environnement plus ou moins stable, activités récurrentes ounon, caractère transverse, novateur, etc.). Elle peut également varier en fonction de la qualité du dispositif de contrôleinterne sous-jacent, du niveau de détail des tests envisagés, de la technicité des opérations auditées, etc.

En pratique


2050 – Coordination

Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable del'audit interne devrait partager des informations et coordonner les activités avec les autresprestataires internes et externes d'assurance et de conseil.

Rédaction adaptée de la norme 2060 – Rapports à l’Exécutif et au Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à l’Exécutif et auConseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que dudegré de réalisation du plan d’audit. Il doit plus particulièrement rendre compte :

de l’exposition aux risques significatifs (y compris des risques de fraude) et descontrôles correspondants ;

des sujets relatifs à la gouvernance et ; de tout autre problème répondant à un besoin ou à une demande de l’Exécutif ou

du Conseil.

Rédaction adaptée de l’Interprétation : La fréquence et le contenu de ces rapports sont déterminés lors de discussions avec l’Exécutif et leConseil et dépendent de l’importance des informations à communiquer et de l’urgence des actionscorrectives devant être entreprises par l’Exécutif et le Conseil.

Il est indispensable de créer un référentiel de l’audit interne qui définit les procédures utilisées et les conditionsd’organisation de l’audit.Selon la taille de la ou des structures d’audit, ce référentiel peut être plus ou moins formalisé.De la même manière, une charte graphique peut être conseillée pour les rapports ou toute autre forme de communicationafin que ces derniers soient immédiatement identifiés comme des produits de l’audit interne.

La coordination des acteurs permet une couverture efficiente des risques de l’organisation. En ayant un rôle actif dans cetteconcertation, le responsable de l’audit interne se donne les moyens de mieux atteindre les objectifs qui lui sont assignés.La coordination est d’autant plus nécessaire qu’il peut exister sur des périmètres d’intervention proches ou identiques, desaudits ou inspections, concomitantes ou successives.L’absence de programmation unique et coordonnée des audits et inspections entraîne des inconvénients non négligeablespour les audités et les auditeurs internes.Cette coordination peut également concerner les autres prestataires de service d’assurance (par exemple, les acteurs de laqualité).

En pratique

43



Rédaction adaptée de la norme 2070 – Responsabilité de l’organisation en cas derecours à un prestataire externe pour ses activités d’audit interne

Lorsque l’activité d’audit interne est réalisée par un prestataire de service externe, ce dernierdoit alerter la collectivité territoriale qu’elle reste responsable du maintien d’un auditinterne efficace.

Interprétation : Cette responsabilité est démontrée par le programme d’assurance et d’amélioration qualité, lequelévalue la conformité avec la Définition de l’audit interne, le Code de Déontologie et les Normes.

Rédaction adaptée de la norme 2100 – nature du travail

L'audit interne doit évaluer les processus de gouvernance, de management des risques et decontrôle et contribuer à leur amélioration sur la base d’une approche systématique et métho-dique.

Rédaction adaptée de la norme 2110 – gouvernance

L'audit interne doit évaluer le processus de gouvernance et formuler des recommandationsappropriées en vue de son amélioration. À cet effet, il détermine si le processus répondaux objectifs suivants :

promouvoir des règles de déontologie au sein de la collectivité territoriale ;

Cette Norme conforte la préconisation d’instituer un comité d’audit.Au même titre que les missions d’assurance, les missions de conseil sont décrites dans le rapport d’activité du service d’auditinterne ou dans tout autre document équivalent.

En pratique

Le service d’audit doit élaborer sa propre méthode d’évaluation des processus de gouvernance, de management des risqueset de contrôle en utilisant des bonnes pratiques identifiées dans le Cadre de Référence International pour la PratiqueProfessionnelle de l’audit interne (en particulier les Modalités pratiques d’application, les guides d’application et les prisesde position), les publications des organes professionnels, les échanges avec les pairs, la veille, etc.

Le processus de contrôle vise l’ensemble du dispositif de contrôle interne. Il ne faut pas le restreindre aux procédures ou auxactivités de contrôle, mais également prendre en compte l’organisation, le pilotage et la surveillance du processus qui sefondent sur une approche par les risques et une diffusion fiable de l’information.

En pratique

garantir une gestion efficace des performances de la collectivité territoriale, assor-tie d'une obligation de rendre compte ;

communiquer aux services concernés de la collectivité territoriale les informationsrelatives aux risques et aux contrôles ;

fournir une information adéquate aux partenaires externes à l’entité concernée,au management de l’entité, aux auditeurs internes et externes et assurer une coor-dination de leurs activités.

Rédaction adaptée de la Norme 2110.A1 – L'audit interne doit évaluer la concep-tion, la mise en œuvre et l'efficacité des objectifs, des programmes et des activitésde la collectivité territoriale liés à l'éthique.

Rédaction adaptée de la Norme 2110.A2 – L’audit interne doit évaluer si lagouvernance des systèmes d’information de la collectivité territoriale soutient lastratégie et les objectifs de la collectivité.

2120 – management des risques

L'audit interne doit évaluer l’efficacité des processus de management des risques et contri-buer à leur amélioration.


Le respect des règles de déontologie est assimilable au respect des obligations juridiques s’imposant à l’administration etaux fonctionnaires.

En pratique

Cette Norme concerne un domaine incontournable pour toutes les organisations. En effet, les systèmes d’informationstructurent les entités et doivent permettre de soutenir l’atteinte de leurs objectifs actuels et futurs en contribuant à laqualité du contrôle interne. Les auditeurs internes doivent ainsi s’intéresser à la gestion du portefeuille des investissementsinformatiques et à la maîtrise de la fiabilité et de la disponibilité des informations.

L’audit interne doit participer régulièrement à l’évaluation tant des systèmes d’information que de leurs évolutions futures,tout particulièrement ceux qui sont complexes et porteurs d’enjeux de contrôle interne importants.

Le responsable de l’audit interne doit veiller à ce que l’audit interne soit informé le plus tôt possible des risques encourusdans la mise en place des processus supportés par le système d’information.

En pratique

45



Rédaction adaptée de l’Interprétation :Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internesdoivent s’assurer que :

les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ; les risques significatifs sont identifiés et évalués ; les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’ap-

pétence pour le risque de la collectivité territoriale ; les informations relatives aux risques sont recensées et communiquées en temps opportun au

sein de la collectivité territoriale pour permettre aux collaborateurs, à leur hiérarchie et auConseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentesmissions.Une vision consolidée des résultats de ces missions permet une compréhension du processus demanagement des risques de la collectivité et de son efficacité.Les processus de management des risques sont surveillés par des activités de gestion permanente,par des évaluations spécifiques ou par ces deux moyens.

Rédaction adaptée de la Norme 2120.A1 – L'audit interne doit évaluer les risquesafférents à la gouvernance, aux opérations et aux systèmes d'information de lacollectivité au regard de :

la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.

Rédaction adaptée de la Norme 2120.A2 – L’audit interne doit évaluer la possi-bilité de fraude et la manière dont ce risque est géré par la collectivité territoriale.

La fiabilité et l’intégrité des opérations financière et opérationnelles doivent permettre à la collectivité d’apprécier lasoutenabilité de la dépense publique.

En pratique

L’évaluation de la possibilité d’occurrence de fraudes nécessite la vérification de la qualité de l’environnement de contrôle, dela bonne gestion des aspects déontologiques et de l’existence d’une culture d’exemplarité.Néanmoins, il ne faut pas oublier qu’une situation à faible probabilité d’occurrence peut avoir des conséquences graves.Même si cela n’est pas toujours évident, l’auditeur interne doit également essayer de répondre à la question du caractèresignificatif du risque de fraude.

En pratique

2120.C1 – Au cours des missions de conseil, les auditeurs internes doivent couvrirles risques liés aux objectifs de la mission et demeurer vigilants vis-à-vis de l’existencede tout autre risque susceptible d’être significatif.

Rédaction adaptée de la Norme 2120.C2 – Les auditeurs internes doivent utiliserleurs connaissances des risques acquises lors de missions de conseil pour évaluerles processus de management des risques de la collectivité territoriale.

2120.C3 – Lorsque les auditeurs internes aident le management dans la conceptionet l’amélioration des processus de management des risques, ils doivent s’abstenird’assumer une responsabilité opérationnelle en la matière.

Rédaction adaptée de la norme 2130 – Contrôle

L'audit interne doit aider la collectivité territoriale à maintenir un dispositif de contrôleapproprié en évaluant sont efficacité et son efficience et en encourageant son améliorationcontinue.

Rédaction adaptée de la Norme 2130.A1 – L'audit interne doit évaluer la perti-nence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques, d’ori-gine externe ou interne à l’entité, relatifs à la gouvernance, aux opérations etsystèmes d'information de la collectivité. Cette évaluation doit porter sur les aspectssuivants :

la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.


Sans forcément attendre la planification d’une mission spécifique sur le risque de fraude, les auditeurs internes doivent, lorsde leurs missions habituelles, avoir une forte sensibilité sur les problèmes de fraude. Le risque de fraude n'est qu'un risqueparmi d'autres que les auditeurs internes doivent avoir à l'esprit en évaluant le contrôle interne, qui lui a pour but deprévenir les risques.Il peut s’agir de fraudes internes perpétrées par des agents (malversations, détournements, utilisations frauduleuses dedonnées, etc.) ou de fraudes externes. (Cf. Norme 1210.A2).

La fiabilité et l’intégrité des opérations financière et opérationnelles doivent permettre à la collectivité d’apprécier lasoutenabilité de la dépense publique.

En pratique

47



2130.C1 – Les auditeurs internes doivent utiliser leurs connaissances des dispositifsde contrôle acquises lors de missions de conseil lorsqu’ils évaluent les processus decontrôle de la collectivité.

2200 – Planification de la mission

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plande mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsique les ressources allouées.

2201 – Considérations relatives à la planification

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte : les objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques significatifs liés à l'activité, ses objectifs, les ressources mises en œuvre et

ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel durisque est maintenu à un niveau acceptable;

la pertinence et l'efficacité des processus de management des risques et de contrôlede l'activité, en référence à un cadre ou modèle de contrôle approprié ;

les opportunités d'améliorer de manière significative les processus de managementdes risques et de contrôle de l'activité.

2201.A1 – Lorsqu'ils planifient une mission pour des tiers extérieurs à la collectivité,les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs etle champ de la mission, les responsabilités et les attentes respectives, et préciser lesrestrictions à observer en matière de diffusion des résultats de la mission et d'accèsaux dossiers.

Rédaction adaptée de la Norme 2201.C1 – Les auditeurs internes doivent établiravec le commanditaire un accord sur les objectifs et le champ de la mission deconseil, les responsabilités de chacun et plus généralement sur les attentes ducommanditaire. Pour les missions importantes, cet accord doit être formalisé.

2210 – objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.

2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risquesliés à l'activité soumise à l'audit. Les objectifs de la mission doivent être déterminésen fonction des résultats de cette évaluation.

2210.A2 – En détaillant les objectifs de la mission, les auditeurs internes doiventtenir compte de la probabilité qu'il existe des erreurs significatives, des cas defraudes ou de non-conformité et d’autres risques importants.

2210.A3 – Des critères adéquats sont nécessaires pour évaluer le dispositif decontrôle. Les auditeurs internes doivent déterminer dans quelle mesure le management a défini des critères adéquats pour apprécier si lesobjectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeursinternes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeursinternes doivent travailler avec le management pour élaborer des critères d'évalua-tion appropriés.

Rédaction adaptée de la Norme 2210.C1 – Les objectifs d'une mission de conseildoivent porter sur les processus de gouvernance, de management des risques etde contrôle dans la limite convenue avec le commanditaire.

Rédaction adaptée de la Norme 2210.C2 – Les objectifs de la mission de conseildoivent être en cohérence avec les valeurs, la stratégie et les objectifs de la collec-tivité territoriale.

2220 – Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission.

2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, lepersonnel et les biens concernés, y compris ceux qui se trouvent sous le contrôlede tiers.


Les missions de conseil peuvent porter sur tout sujet demandé par le commanditaire mais doivent, lorsqu’elles sortent duchamp défini par les Normes, être approuvées par l’Exécutif.

En pratique

La notion de « qui se trouvent sous le contrôle de tiers » revêt une importance particulière. Du fait de leur organisation et deleurs missions, les collectivités territoriales ont des relations avec l’ensemble des participants à la vie publique (acteurspublics ou privés). Les missions d’audit ou d’inspection se trouvent confrontées à des données produites hors de leurspropres structures (administrations de l’Etat, collectivités territoriales autres que celles réalisant l’audit, établissementspublics et leurs satellites, associations, etc.).

En pratique

49



2220.A2 – Lorsqu'au cours d'une mission d'assurance apparaissent d'importantesopportunités en termes de conseil, un accord écrit devrait être conclu pour préciserles objectifs et le champ de la mission de conseil, les responsabilités et les attentesrespectives.Les résultats de la mission de conseil sont communiqués conformément auxnormes applicables à ces missions.

Rédaction adaptée de la Norme 2220.C1 – Quand ils effectuent une mission deconseil, les auditeurs internes doivent s'assurer que le champ d'intervention permetde répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internesémettent des réserves sur ce périmètre, ils doivent en discuter avec le commandi-taire donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission.

2220.C2 – Au cours des missions de conseil, les auditeurs internes doivent examinerles dispositifs de contrôle relatifs aux objectifs de la mission et être attentifs à l'exis-tence de tout problème de contrôle significatif.

2230 – Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées et suffisantes pouratteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de lacomplexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer et documenter un programme de travail permet-tant d'atteindre les objectifs de la mission.

2240.A1 – Le programme de travail doit faire référence aux procédures à appliquerpour identifier, analyser, évaluer et documenter les informations lors de la mission.Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajuste-ments éventuels doivent être approuvés rapidement.

Il arrive que des missions d’assurance débouchent sur des missions de conseil, les missions d’assurance peuvent égalementdécouler de missions de conseil.L’évolution du périmètre peut faire courir un risque déontologique à la mission d’audit. Ce risque peut être réduit, ou tout aumoins assuré, par une formalisation écrite. Le responsable de l’audit interne apprécie, au cas par cas, la nécessité deformaliser l’extension du champ initial de la mission.

En pratique

2240.C1 – Le programme de travail d'une mission de conseil peut varier, dans saforme et son contenu, selon la nature de la mission.

2300 – accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations néces-saires pour atteindre les objectifs de la mission.

2310 – identification des informations

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes etutiles pour atteindre les objectifs de la mission.

Interprétation :Une information suffisante est factuelle, adéquate et probante, de sorte qu’une personne prudenteet informée, pourrait parvenir aux mêmes conclusions que l’auditeur. Une information fiable est uneinformation concluante et facilement accessible par l’utilisation de techniques d’audit appropriées.Une information pertinente conforte les constatations et recommandations de l’audit, et répondaux objectifs de la mission. Une information utile aide l’organisation à atteindre ses objectifs.

2320 – analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission surdes analyses et évaluations appropriées.


Pour définir la fiabilité d’une information, l'interprétation met l’accent sur son accessibilité. En effet, une informationdifficilement accessible est une information qu'il va falloir reconstituer à partir de calculs, d'algorithmes ou d’autresraisonnements reposant souvent sur des hypothèses. D'où une grande difficulté à évaluer une information de ce type surdes critères comme l’exactitude ou l’exhaustivité. De plus, le rapport coût-avantage peut limiter de telles recherches.

Néanmoins, la facilité d’accès n’est pas un critère suffisant. Si une information est accessible, il restera à prouver sa fiabilitéen s’assurant qu’elle peut être vérifiée par d’autres personnes et en validant l’intégrité de la source d’information.

Commentaire iFaCi

Les modalités d’approbation du programme de travail, dont la traçabilité doit être assurée, relèvent du responsable del’audit interne ou de son représentant.

En pratique

2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer lesconclusions et les résultats de la mission.

Rédaction adaptée de la Norme 2330.A1 – Le responsable de l'audit interne doitcontrôler l'accès aux dossiers de la mission. Il doit, si nécessaire et sous réserve desobligations de communication des documents administratifs (cf. Commissiond’Accès aux Documents Administratifs, www.cada.fr) résultant de la loi, des règle-ments, ou de toute autre norme applicable, obtenir l'accord de l’Exécutif et/oul'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures.

Rédaction adaptée de la Norme 2330.A2 – Le responsable de l'audit interne doitarrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d’archivage utilisé.Ces règles doivent être cohérentes avec les orientations définies par la collectivitéet avec toute exigence légale, réglementaire ou normative.

Rédaction adaptée de la Norme 2330.C1 – Le responsable de l'audit interne doitdéfinir des procédures concernant la protection et la conservation des dossiers dela mission de conseil ainsi que leur diffusion à l'intérieur et à l'extérieur de la collec-tivité territoriale. Ces procédures doivent être cohérentes avec les orientations défi-nies par la collectivité territoriale et avec toute exigence légale, réglementaire ouautre appropriée.

2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que lesobjectifs sont atteints, la qualité assurée et le développement professionnel du personneleffectué.

Interprétation :L’étendue de la supervision est fonction de la compétence et de l’expérience des auditeurs internes,ainsi que de la complexité de la mission. Le responsable de l'audit interne a l’entière responsabilitéde la supervision des missions qui sont réalisées par ou pour le compte du service d’audit interne,mais il peut désigner un chef de mission de l’équipe d’audit interne possédant l’expérience et lacompétence nécessaires pour réaliser, sous son contrôle, cette supervision. La preuve de la supervisiondoit être documentée et conservée dans les papiers de travail.

51



http://www.cada.fr

2400 – Communication des résultats

Les auditeurs internes doivent communiquer les résultats de la mission.

2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclu-sions, recommandations et plans d'actions.

Rédaction adaptée de la Norme 2410.A1 – La communication finale des résultatsde la mission doit, lorsqu'il y a lieu, contenir l'opinion des auditeurs internes et/ouleurs conclusions. Lorsqu’une opinion ou une conclusion sont émises, elles doiventprendre en compte les attentes de l’Exécutif, du Conseil et des autres partiesprenantes. Elles doivent également s’appuyer sur une information suffisante, fiable,pertinente et utile.

Interprétation : Les opinions au niveau d’une mission peuvent être formulées sous forme d’échelle de notation, deconclusions ou de toute autre description des résultats. Une telle mission peut être liée aux contrôles d’un processus, de risques ou d’une unité opérationnellespécifique. La formulation de ces opinions exige de prendre en compte les résultats de la mission etleur caractère significatif.


L'auditeur interne doit rechercher la position de l’audité sur les recommandations nécessaires à l'amélioration de l'activité.Le plan d’action opérationnel est défini par l’audité sur la base des recommandations émises par l’auditeur. Si desdivergences apparaissent avec les audités, la communication fera état des positions respectives de l'auditeur interne et del’audité.

En pratique

La supervision doit veiller à ne pas limiter son champ d’action à la seule revue procédurale sur pièces.Elle doit être un accompagnement continu de l’équipe d’audit.La supervision comprend les questionnements de fond sur les recommandations et opinions d’audit envisagées par lesauditeurs internes et leur cohérence avec des travaux complémentaires ou préalables qui ont pu être conduits par d’autreséquipes d’audit internes ou externes.Cette supervision doit permettre de s’assurer que le rapport est exact, objectif, clair, concis, constructif et établi dans lesdélais fixés.

En pratique

2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées,lors de la communication des résultats de la mission.

Rédaction adaptée de la Norme 2410.A3 – Lorsque les résultats de la missionsont communiqués à des destinataires ne faisant pas partie de la collectivité terri-toriale, les documents communiqués doivent préciser les restrictions à observer enmatière de diffusion et d'exploitation des résultats.

Rédaction adaptée de la Norme 2410.C1 – La communication sur l'avancementet les résultats d'une mission de conseil variera dans sa forme et son contenu enfonction de la nature de la mission et des besoins du commanditaire donneur d'or-dre.

2420 – qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète etémise en temps utile.

Rédaction adaptée de l’Interprétation : Une communication exacte ne contient pas d’erreurs ou de déformations, et est fidèle aux faits sous-jacents. Une communication objective est fondée impartiale, non biaisée et résulte d’une évaluationéquitable et mesurée de tous les faits et circonstances pertinents. Une communication claire est faci-lement compréhensible et limite la possibilité d’interprétations divergentes. Elle évite l’utilisation d’unlangage excessivement technique et fournit toute l’information significative et pertinente. Unecommunication concise va droit à l’essentiel et évite tout détail superflu, tout développement non

53



Les conclusions situent habituellement les constats et recommandations de l'auditeur interne dans la perspective de leursimpacts sur l'organisation auditée.Les opinions constituent une forme d'expression des conclusions de l'auditeur interne aux audits d'assurance ; ellesconsistent en une évaluation globale des contrôles, en termes d’orientations stratégiques et de performance sans pourautant, lorsqu'il s'agit d'un audit comptable, valoir certification des comptes.

En pratique

Sous réserve de l’application des textes spécifiques à la fonction publique en matière de communication.On notera que les rapports d’audit constituent des documents communicables au sens de la loi du 17 juillet 1978 portantdiverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordreadministratif, social et fiscal (cf. Code de déontologie adapté).

En pratique

nécessaire, toute redondance ou verbiage. Une communication constructive aide l’audité et la collec-tivité territoriale, et conduit à des améliorations lorsqu’elles sont nécessaires. Une communicationcomplète n'omet rien qui soit essentiel aux destinataires cibles. Elle intègre toute l’information signi-ficative et pertinente, ainsi que les observations permettant d’étayer les recommandations et conclu-sions.Une communication émise en temps utile est opportune et à propos, elle permet au managementde prendre les actions correctives appropriées sans retard en fonction du caractère significatif de laproblématique.

2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission significative, le respon-sable de l'audit interne doit faire parvenir les informations corrigées à tous les destinatairesde la version initiale.

2430 – utilisation de la mention « conduit conformément aux Normes internatio-nales pour la pratique professionnelle de l’audit interne »

Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont« conduites conformément aux Normes internationales pour la pratique professionnelle del’audit interne » seulement si les résultats du programme d’assurance et d’améliorationqualité le démontrent.

Rédaction adaptée de la norme 2431 – indication de non-conformité

Lorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologieou aux Normes, la communication des résultats devrait indiquer :

les principes ou les règles de conduite du Code de Déontologie, ou les Normes aveclesquelles la mission n’a pas été en conformité ;

la ou les raisons de la non-conformité ; l’incidence de la non-conformité sur la mission et sur les résultats communiqués.

2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.

Rédaction adaptée de l’Interprétation :Le responsable de l'audit interne ou son délégué revoient et visent le rapport définitif avant qu’il nesoit émis, et décident à qui et de quelle manière il sera diffusé.


55



2440-A1 – Le responsable de l'audit interne est chargé de communiquer les résul-tats définitifs aux destinataires à même de garantir que ces résultats recevront l'at-tention nécessaire.

Rédaction adaptée de la Norme 2440-A2 – Sauf indication contraire de la loi, dela réglementation ou des statuts, le responsable de l'audit interne doit accomplirles tâches suivantes avant de diffuser les résultats à des destinataires ne faisant paspartie de la collectivité territoriale :

évaluer les risques potentiels pour la collectivité territoriale ; consulter l’Exécutif et selon les cas, un conseil juridique ; maîtriser la diffusion en imposant des restrictions quant à l'utilisation des

résultats.

Rédaction adaptée de la Norme 2440-C1 – Le responsable de l’audit interne estchargé de communiquer les résultats définitifs des missions de conseil à soncommanditaire.

Rédaction adaptée de la Norme 2440-C2 – Au cours des missions de conseil, ilpeut arriver que des problèmes relatifs aux processus de gouvernance, de mana-gement des risques et de contrôle soient identifiés. Chaque fois que ces problèmessont significatifs pour la collectivité territoriale, ils doivent être communiqués àl’Exécutif et au Conseil.

Les rapports sont signés sous la responsabilité des auditeurs. La supervision – le responsable d’audit ou le chef demission – vise le rapport pour certifier qu’il s’agit de la version finale et qu’une relecture a été effectuée par lui. Le responsable d’audit ou son délégué décident de quelle manière sera diffusé le rapport, sur la base d’une liste de diffusionapprouvée par le commanditaire donneur d’ordre.

En pratique

S’assurer que l’information diffusée ne porte pas atteinte au secret professionnel, au secret en matière industriel etcommercial, au secret de la vie privée, et n’est pas susceptible de troubler le déroulement des procédures engagées devantles juridictions ou les organismes disciplinaires.

En pratique

Avant toute diffusion à d’autres personnes à l’intérieur et à l’extérieur de la collectivité, le responsable de l'audit interne estchargé de communiquer les résultats définitifs des missions de conseil à son commanditaire.

En pratique

56

Rédaction adaptée de la norme 2450 – Les opinions globales

Lorsqu’une opinion globale est émise, elle doit prendre en compte les attentes de l’Exécutif,du Conseil et des autres parties prenantes. Elle doit également s’appuyer sur une informa-tion suffisante, fiable, pertinente et utile.

Interprétation :La communication précisera :

le périmètre, y compris la période concernée par l’opinion ; les limitations de périmètre ; le fait de prendre en compte d’autres travaux connexes, y compris ceux d’autres services

donnant une assurance sur la maîtrise des activités ; le référentiel des risques ou de contrôle interne ou tout autre critère utilisé pour formuler l’opi-

nion globale ; l’opinion globale, l’avis ou la conclusion donnée.

Les causes de la formulation d’une opinion globale défavorable doivent être explicitées.

2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant desurveiller la suite donnée aux résultats communiqués au management.

Rédaction adaptée de la Norme 2500-A1 – Le responsable de l'audit interne doitmettre en place un processus de suivi permettant de surveiller et de garantir quedes mesures ont été effectivement mises en œuvre par le management ou quel’Exécutif a accepté de prendre le risque de ne rien faire.


Les auditeurs internes n’ont pas à intervenir directement dans la mise en œuvre des actions à la suite des audits. Il convientde désigner un responsable, tant au niveau local qu’au niveau central, pour organiser et suivre les différentes actions quidoivent être mises en œuvre par les services à la suite des recommandations de l’audit interne. Le cas échéant, celui-ci rendcompte de sa mission au comité d'audit.S’ils peuvent conduire des audits de suivi, dont l’objectif est de s’assurer de la mise en œuvre effective des recommandationsde l’audit précédent, les auditeurs internes ne doivent absolument pas gérer la mise en œuvre opérationnelle de ces actions.Ces missions de suivi peuvent être limitées aux actions jugées prioritaires.

Le service d’audit interne doit être régulièrement informé des actions mises en œuvre. Il réalise un compte rendu des actionscorrectrices qui permet d’abonder la cartographie des risques et d’éclairer notamment l’Exécutif sur l’état d’avancement desplans d’action majeurs.

En pratique

57


Rédaction adaptée de la Norme 2500-C1 – L'audit interne doit surveiller la suitedonnée aux résultats des missions de conseil conformément à l'accord passé avecle commanditaire.

Rédaction adaptée de la norme 2600 – acceptation des risques par lal’Exécutif

Lorsque le responsable de l'audit interne estime que l’Exécutif a accepté un niveau de risque rési-duel qui pourrait s'avérer inacceptable pour la collectivité territoriale, il doit examiner la questionavec elle. Si aucune décision concernant le risque résiduel n’est prise, le responsable de l’auditinterne doit soumettre la question au Conseil aux fins de résolution.


L’existence d’un risque résiduel inacceptable est malaisée à apprécier, notamment en raison des extensions du principe deprécaution.

Cette Norme devra être appliquée avec sagesse et prudence. Sa mise en œuvre devrait être facilitée si le responsable del’audit interne entretient une relation forte et suivie avec l’Exécutif et le Conseil. Les règles du jeu devront être très clairespour tous les acteurs et être explicitées, tant dans la charte d’audit interne que dans celle du comité d’audit.

En pratique

gLoSSaiRE


glossaire

61

glossaire

glossaire

activités d'assurance

II s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à l'organisation uneévaluation indépendante des processus de gouvernance, de management des risques et decontrôle. Par exemple, des audits financiers, de performance, de conformité, de sécurité dessystèmes et de due diligence.

activité d'audit interne

Assurée par un service, une division, une équipe de consultants ou tout autre praticien, c'est uneactivité indépendante et objective qui donne à une organisation une assurance sur le degré demaîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de lavaleur ajoutée. L'activité d'audit interne aide cette organisation à atteindre ses objectifs en évaluant,par une approche systématique et méthodique, ses processus de gouvernance, de managementdes risques et de contrôle, en faisant des propositions pour renforcer leur efficacité.

activités de conseil

Conseils et services y afférents rendus au commanditaire donneur d'ordre, dont la nature et lechamp sont convenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeurajoutée et d'améliorer les processus de gouvernance, de management des risques et de contrôled'une organisation sans que l'auditeur interne n'assume aucune responsabilité de management.Quelques exemples : avis, conseil, assistance et formation.

appétence pour le risque

Niveau de risque qu’une organisation est prête à accepter.

atteinte

Parmi les atteintes à l’indépendance du service d’audit interne et à l'objectivité individuelle peuventfigurer le conflit d'intérêt personnel, les limitations du champ d'un audit, les restrictions d'accèsaux dossiers, aux personnes, et aux biens, ainsi que les limitations de ressources telles que les limi-tations financières.


62

Cadre de référence international des pratiques professionnelles (CRiPP)

Cadre de référence qui structure les lignes directrices édictées par l’IIA. Quand on s’y réfère, ceslignes directrices sont soit (1) obligatoires soit (2) approuvées et fortement recommandées.

Caractère significatif

Niveau d’importance relative d’un évènement, dans un contexte donné et selon des facteurs d’ap-préciation qualitatifs et quantitatifs tels que l’ampleur, la nature, l’effet, la pertinence et l’impact decet évènement. Les auditeurs internes font preuve de jugement professionnel lorsqu’ils apprécientle caractère significatif des événements selon des objectifs pertinents.

Charte

La charte d'audit interne est un document officiel qui précise la mission, les pouvoirs et les respon-sabilités de cette activité. La charte définit la position de l'audit interne dans l'organisation ; autorisel'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions; définitle champ des activités d'audit interne. L’approbation finale de la charte d’audit interne relève dela responsabilité de l’Exécutif et du Conseil (cf. EN PRATIQUE Norme 1000, p.25).

Code de Déontologie

Le Code de Déontologie de l'Institut comprend les principes applicables à la profession et à lapratique de l'audit interne, ainsi que les règles de conduite décrivant le comportement attendudes auditeurs internes. Le Code de Déontologie s'applique à la fois aux personnes et aux orga-nismes qui fournissent des services d'audit interne. Il a pour but de promouvoir une culture del'éthique au sein de la profession d'audit interne.

Conflit d'intérêts

Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'in-térêts peut nuire à la capacité d'une personne à assumer de façon objective ses devoirs et respon-sabilités.

Conformité

L'adhésion aux règles, plans, procédures, lois, règlements, contrats ou autres exigences.


63

glossaire

Conseil

Instance de gouvernance telle que l’assemblée délibérante ou le comité d’audit lorsqu’il existe.

Contrôle (dispositifs de contrôle)

Toute mesure prise par les instances dirigeantes et d'autres parties prenantes afin de gérer lesrisques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managersplanifient, organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assu-rance raisonnable que les buts et objectifs seront atteints.

Contrôle relatifs aux technologies de l’information

Contrôles qui viennent en appui de la gestion et de la gouvernance de l’organisation et quicomportent des contrôles généraux et des contrôles techniques sur les infrastructures des tech-nologies de l’information dans lesquelles on retrouve les applications, les informations, les instal-lations et les personnes.

Contrôle satisfaisant

C'est le cas lorsque le management s'est organisé de manière à apporter une assurance raisonna-ble que les risques que court l'organisation, ont été gérés efficacement et que les buts et objectifsde l'organisation seront atteints d'une manière efficace et économique.

Devrait

Traduction de “Should”, utilisée dans les normes lorsque le respect de la disposition est recom-mandé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées parles circonstances.

Doit

Traduction de “must”, utilisée dans les Normes pour indiquer une exigence impérative.

En pratiqueCommentaires des membres du groupe de travail « Administrations d’Etat » qui visent à préci-ser l’acception particulière donnée à la Norme et à son interprétation et qui ont été revus parle groupe de travail « Collectivités territoriales » pour l’application à leur secteur.


64

Environnement de contrôle

L'attitude et les actions des instances dirigeantes et du management au regard de l'importancedu dispositif de contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et lastructure nécessaires à la réalisation des objectifs primordiaux du système de contrôle interne.L'environnement de contrôle englobe les éléments suivants :

intégrité et valeurs éthiques ; philosophie et style de direction ; structure organisationnelle ; attribution des pouvoirs et responsabilités ; politiques et pratiques relatives aux ressources humaines ; compétence du personnel.

Exécutif

Organe investi des responsabilités opérationnelles au sein de la collectivité territoriale. Il s’agitdu Président du Conseil Régional, du Président du Conseil Général, du Maire, et par délégationdes Vice Présidents, des Adjoints au Maire, du Directeur Général des Services ou du SecrétaireGénéral.

Fraude

Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance sansqu’il y ait eu violence ou menace de violence. Les fraudes sont perpétrées par des personnes etdes organisations afin d'obtenir de l'argent, des biens ou des services, ou de s'assurer un avantagepersonnel ou commercial.

gouvernance des technologies de l’information

La gouvernance des technologies de l’information comprend la direction, les structures organisa-tionnelles et les processus qui garantissent que les technologies de l’information soutiennent lastratégie et les objectifs de la collectivité territoriale.


La gouvernance publique est le dispositif comprenant les règles, les processus, les structures et les comportements quipermettent aux administrations de mettre en place et de piloter les politiques publiques.

En pratique

65

glossaire

gouvernance

Le dispositif comprenant les processus et les structures mis en place par l’Exécutif afin d'informer,de diriger, de gérer et de piloter les activités de la collectivité territoriale en vue de réaliser sesobjectifs.

indépendance

L’indépendance c’est la capacité de l’audit interne à assumer, de manière impartiale, ses respon-sabilités.

interprétation

Partie de la Norme clarifiant les termes et les concepts utilisés dans les déclarations sur les condi-tions fondamentales pour la pratique professionnelle de l’audit interne et pour l’évaluation de saperformance. Elle est applicable tant au niveau du service qu’au niveau individuel.

management des risques

Processus visant à identifier, évaluer, gérer et piloter les événements éventuels et les situationspour fournir une assurance raisonnable quant à la réalisation des objectifs de l'organisation.COSO II – « Le management des risques est un processus mis en œuvre par les instances diri-geantes, le management et l'ensemble des collaborateurs de l’organisation.Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités del'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecterl’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il viseà fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation ».

mission

Une mission, tâche ou activité de révision particulière telle qu'un audit interne, une revue d’auto-évaluation, l'investigation d'une fraude ou une mission de conseil. Une mission peut englober demultiples tâches ou activités menées pour atteindre un ensemble déterminé d'objectifs qui s'yrapportent.

norme

Document d'ordre professionnel promulgué par « the Internal Auditing Standards Board » (Comitéinterne à l'IIA chargé d'élaborer les Normes) afin de définir les règles applicables à un large éventaild'activités d'audit interne et utilisables pour l'évaluation de ses performances.


66

objectifs de la mission

Enoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliserpendant la mission.

objectivité

L’objectivité est une attitude impartiale qui permet aux auditeurs internes d’accomplir leursmissions de telle sorte qu’ils soient certains de la qualité de leurs travaux, menés sans compromis.L’objectivité implique les auditeurs internes ne subordonnent pas leur propre jugement à celuid’autres personnes.

Prestataire externe

Une personne ou une entreprise, extérieures à l’organisation, qui possèdent des connaissances,un savoir-faire et une expérience spécifiques dans une discipline donnée.

Processus de contrôle

Les règles, procédures et activités faisant partie d'un cadre de contrôle interne, conçues pour assu-rer que les risques sont contenus dans les limites de tolérance fixées par le processus de manage-ment des risques.

Programme de travail de la mission

Un document énumérant les procédures à mettre en œuvre, conçu pour réaliser le plan de mission.

Responsable de l'audit interne

Le « Responsable de l’audit interne » désigne une personne occupant un poste hiérarchique dehaut niveau, qui a la responsabilité de diriger efficacement l’activité d’audit interne conformémentà la charte d’audit interne, à la définition de l’audit interne, au Code de Déontologie et aux Normes.Le responsable de l’audit interne ou des membres de l’équipe d’encadrement de l’audit internedevront disposer des certifications et des qualifications professionnelles appropriées. L’intituléexact du poste de responsable de l’audit interne varie selon les organisations.


67

glossaire

Risque

Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Lerisque se mesure en termes de conséquences et de probabilité (cf. EN PRATIQUE, définition del’audit interne, p.11).

Risques résiduels

Les risques qui subsistent après les mesures prises par le management pour réduire l'impact et laprobabilité d'occurrence d'un événement défavorable et, notamment, les dispositifs de contrôlemis en place en réponse à un risque.

Techniques d’audit informatisées

Tout outil d’audit automatisé tel que les logiciels d’audit généralisés, les générateurs de donnéesde test, les programmes d’audit informatisés et les utilitaires d’audit spécialisés et les techniquesd’audit assistées par ordinateur (CAATs).

Valeur ajoutée

Le service d’audit interne apporte de la valeur ajoutée à l’organisation (et à ses parties prenantes)lorsqu’il fournit une assurance objective et pertinente et qu’il contribue à l’efficience des processusde gouvernance, de management des risques et de contrôle.


Cf. point 3 du préambule, p.7.

En pratique