E.5 Outil d’évaluation du risque de fraude de l’IIA

Contexte

  1. « La fraude est tout acte intentionnel ou toute omission intentionnelle ayant pour but de tromper autrui, et qui entraîne une perte pour la victime et/ou un avantage pour le fraudeur». [traduction]

  2. L’audit interne apporte une aide importante à la direction pour identifier les fraudes possibles. Selon la norme 2210.A2 de l’IIA, « en déterminant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu’il existe des erreurs significatives, des cas de fraude ou de non-conformité et d’autres risques importants ». Les auditeurs internes doivent comprendre les caractéristiques de la fraude, les techniques utilisées pour commettre une fraude et les types de fraudes associées aux unités et aux processus opérationnels audités.

  3. En raison des exigences législatives et réglementaires plus strictes dans plusieurs pays, le Bureau doit comprendre et gérer les risques d’anomalie significative résultant d’une fraude.

Objectif

  1. L’outil d'évaluation du risque de fraude par la fonction d’audit interne de IIA (IIA's Fraud Risk Assessment (FRA) tool) est une évaluation subjective qui aidera l’équipe d’audit à délimiter l’étendue des audits à l’étape de la planification en déterminant et en évaluant les manœuvres frauduleuses pouvant donner lieu à une fraude au sein d’une unité ou d’un processus opérationnel audité.

Utilisation de l’outil d’évaluation du risque de fraude

Étape 1 — Recensement et évaluation des événements

  1. La première étape a pour objectif de recenser et d’évaluer les manœuvres frauduleuses se rattachant au secteur ou au processus opérationnel audité. L’étape 1 est effectuée pendant la planification de l’audit.

  2. L’évaluation du risque de fraude est un processus subjectif et les auditeurs internes doivent faire preuve d’esprit critique lorsqu’ils remplissent la grille d’évaluation du risque de fraude. L’évaluation initiale doit tenir compte du risque inhérent en l’absence de tout contrôle connu visant à gérer les facteurs de risque de fraude recensés au cours de l’audit. L’étape 1 est réalisée en même temps que les autres activités de planification de l’audit interne. Il faut recueillir des informations auprès de la direction et des membres de l’équipe d’audit pour améliorer ou modifier cette évaluation au besoin tout au long de l’étape de la planification. Il faut examiner ensuite les renseignements contenus dans les documents d’audit et les sources suivants :

    • évaluation des risques;

    • questionnaire d’auto-évaluation;

    • mémoire de planification;

    • entretiens avec la direction lors de la planification;

    • réunion de lancement (préliminaire);

    • rapports d’audit antérieurs;

    • enquêtes spéciales;

    • lettre de recommandations de l’auditeur externe;

    • autres facteurs quantitatifs ou qualitatifs pertinents.

Recensement des manœuvres frauduleuses

  1. La grille d’évaluation du risque de fraude comprend une liste de catégories et de sous-catégories de secteurs exposés à un risque de fraude au seindu Bureau. Examiner la liste et déterminer les catégories et les sous-catégories de la grille qui sont pertinentes pour l’unité ou le processus opérationnel audité.

  2. Chaque catégorie et sous-catégorie de la grille contient une liste des manœuvres frauduleuses dans le champ « Fraud Schemes ». Examiner la liste des manœuvres frauduleuses pour chaque catégorie ou sous-catégorie pertinente pour l’unité ou le processus opérationnel audité. Les manœuvres frauduleuses ne figurant pas sur la liste peuvent être ajoutées dans la section « Other Fraud Schemes ».

  3. Il faut ensuite indiquer « N/A » pour les manœuvres frauduleuses non applicables dans les champs suivants : 1) « Likelihood », 2) « Significance » et 3) « People/Department ».

Évaluation des manœuvres frauduleuses

  1. Évaluer le risque de fraude lié à chaque manœuvre frauduleuse pertinente pour l’unité ou le processus opérationnel audité en remplissant les champs suivants de la grille d’évaluation du risque de fraude : 1) « Likelihood », 2) « Significance » et 3) « People/Department ». Les modalités de l’évaluation des manœuvres frauduleuses sont décrites ci-dessous.

Likelihood (vraisemblance)

  1. La vraisemblance est la probabilité que la manœuvre frauduleuse donne lieu à des fraudes au sein de l’unité ou du processus organisationnel audité. Il faut tenir compte de facteurs comme les cas antérieurs de manœuvres frauduleuses dans l’unité ou le processus organisationnel, la fréquence de la manœuvre frauduleuse dans l’industrie, le nombre d’opérations individuelles dans l’unité ou le processus opérationnel, la complexité du risque, la capacité de convertir des actifs très liquides en trésorerie et le nombre de personnes qui examinent et approuvent les opérations ou les processus.

  2. Attribuer une des cotes de vraisemblance ci-dessous à chaque manœuvre frauduleuse pertinente :

    • Remote (possibilité éloignée) — Il y a un faible risque que la manœuvre frauduleuse se produise.

    • Reasonably Possible (raisonnablement possible)  — Il y a un risque moyen que la manœuvre frauduleuse se produise.

    • Probable — Il y a un risque élevé que la manœuvre frauduleuse se produise.

Significance (importance)

  1. L’importance sert à mesurer l’incidence de la fraude du Bureau si l’unité opérationnelle a commis la manœuvre frauduleuse indiquée. L’évaluation de l’importance devrait comprendre non seulement l’importance de l’incidence sur les états financiers et l’importance monétaire, mais aussi l’incidence sur les activités de l’organisation, son image de marque, sa réputation et sa responsabilité aux termes des textes réglementaires (y compris les infractions criminelles et civiles).

  2. Attribuer une des cotes d’importance ci-dessous à chaque manœuvre frauduleuse pertinente :

    • Immaterial (négligeable) — Si la manœuvre frauduleuse est commise, elle aura peu ou pas d’incidence sur les états financiers ou la réputation du Bureau.

    • Significant (important) — Si la manœuvre frauduleuse est commise, elle aura une incidence modérée sur les états financiers ou la réputation du Bureau.

    • Material (significatif) — Si la manœuvre frauduleuse est commise, elle aura une incidence majeure sur les états financiers ou la réputationdu Bureau.

People/Department (ressources humaines/services)

  1. Le processus d’évaluation du risque comprend l’évaluation des mesures incitatives et des pressions que les personnes ou les services doivent gérer afin de déterminer qui a la capacité de commettre une fraude. Il faut documenter la personne ou le service ayant la capacité de commettre une fraude dans l’unité ou le processus opérationnel audité. Cette information nous aide à déterminer comment traiter certains risques de fraude, au besoin.

Étape 2 — Évaluation des contrôles existants

  1. L’étape 2 a pour objectif d’identifier et d’évaluer les contrôles internes visant à maîtriser le risque de manœuvres frauduleuses. Il faut réaliser l’étape 2 après avoir terminé l’étape 1.

  2. Identifier les manœuvres ayant reçu une cote de vraisemblance « probable » et/ou une cote d’importance « significatif » à l’étape 1.

Identification des contrôles antifraude en place visant à atténuer le risque de manœuvres frauduleuses

  1. Dans le champ « Existing Antifraud Controls », indiquer les contrôles internes existants visant à atténuer le risque lié aux manœuvres frauduleuses ayant reçu une cote de vraisemblance « probable » ou une cote d’importance « significatif ». Envisager d’utiliser d’autres documents de planification d’audit et de les lier aux contrôles visant à atténuer les risques recensés.

  2. La mise en correspondance du contrôle interne s’effectue après l’identification des risques de fraude et l’évaluation de leur vraisemblance et de leur importance. En progressant selon l’ordre établi dans le cadre, l’équipe d’audit interne évalue les risques de fraude recensés selon leur caractère inhérent, sans prendre en considération les contrôles internes.

Évaluation des contrôles internes visant à atténuer le risque de manœuvres frauduleuses

  1. Évaluer si la conception et l’efficacité du fonctionnement des contrôles identifiés permettent d’atténuer les risques de fraude comme prévu pour chaque manœuvre frauduleuse ayant reçu une cote de vraisemblance « probable » ou une cote d’importance « significatif ».

  2. Attribuer une des cotes ci-dessous à l’efficacité du fonctionnement du contrôle interne dans le champ « Control Design and Effectiveness Assessment » :

    • Effective (efficace) — Les contrôles internes ont été conçus de manière appropriée et fonctionnent efficacement pour atténuer les risques de fraude comme prévu.

    • Ineffective (inefficace) — Les contrôles internes ont été conçus de manière inappropriée et/ou fonctionnent inefficacement. Ils ne permettent pas d’atténuer les risques de fraude comme prévu.

Étape 3 — Réponse d’audit et communications prévues

  1. L’objectif de l’étape 3 est : 1) de déterminer la façon de traiter chaque risque de manœuvres frauduleuses lorsque les contrôles internes ne permettent pas de prévenir efficacement la fraude; 2) de communiquer la fraude au service d’enquêtes sur la fraude ou les risques de fraude à la direction. Il faut réaliser l’étape 3 après avoir terminé l’étape 2.

  2. La nature et l’étendue des procédures spécifiques doivent être prises en considération selon le client audité. Voici certaines procédures à envisager qui permettent de gérer le risque de fraude : modifier les procédures d’audit existantes, élaborer des procédures de test supplémentaires ou recommander à l’unité opérationnelle de mettre en place des contrôles supplémentaires.

Évaluation des manœuvres frauduleuses dont les contrôles internes sont inefficaces

  1. Identifier les manœuvres frauduleuses ayant une cote « inefficace » dans le champ « Control Design and Effectiveness Assessment ».

  2. Dans le champ « Comments », documenter la façon dont l’audit a traité chaque risque de manœuvre frauduleuse pour lequel les contrôles sont inefficaces. Il faut inclure tout commentaire écrit ou lien vers les documents de planification d’audit et les feuilles de travail des tests d’audit pertinents se rapportant aux manœuvres frauduleuses pour lesquelles les contrôles internes sont inefficaces.

Communications d’audit

  1. Toute fraude détectée par l’équipe d’audit interne au cours d’une mission doit être communiquée au service des enquêtes sur la fraude. Il faut déterminer si la direction doit aussi être mise au courant de tout risque de fraude identifié pendant l’audit. Il faut s’assurer que les communications en matière de fraude adressées au service des enquêtes sur la fraude ou celles liées au risque de fraude adressées à la direction sont documentées dans les feuilles de travail des tests d’audit qui sont liées à l’évaluation du risque de fraude.

Note : L’équipe d’audit interne devrait prendre en considération le risque de fraude tout au long de l’audit. Elle doit déterminer si l’évaluation des risques déjà identifiés a changé ou si d’autres risques de fraude ont été relevés au cours de l’audit. Elle doit modifier l’évaluation du risque de fraude au besoin tout au long de l’audit pour traiter le risque de fraude.

1 L’Institute of Internal Auditors, l’American Institute of Certified Public Accountants, et l’Association of Certified Fraud Examiners, Managing the Business Risk of Fraud: A Practical Guide, juillet 2008

Mise à jour :
2018-03-28