E.9 Processus d’évaluation des risques de mission

  1. La Norme 2210.A1 de l’IAI exige que les auditeurs internes procèdent à une évaluation préliminaire des risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation.

  2. Une évaluation des risques détaillée est entreprise au cours de l‘étape de la planification de la mission afin de confirmer que les secteurs d’examen et les objectifs initiaux ciblent vraiment les risques les plus importants associés au plan ou à l’activité soumise à l’audit.

  3. Le modèle d’évaluation du risque doit servir à documenter l’évaluation des risques liés à l’activité soumise à l’audit. Le modèle est sauvegardé sous le PROxI no 1441267.

  4. Les objectifs de l’audit, tels qu’ils sont énoncés dans le plan annuel d’audit interne fondé sur les risques, peuvent devoir être modifiés pour le plan d’audit d’une mission donnée si une réévaluation détaillée des risques révèle des risques additionnels ou attribue un niveau plus élevé ou plus bas aux risques déjà recensés.

  5. Les étapes liées à la réalisation d’une évaluation détaillée des risques sont les suivantes :

    1. colliger des renseignements généraux à propos des activités soumises à l’audit en vue de déterminer l’incidence sur les objectifs et l’étendue de la mission, notamment de l’information sur la gouvernance, les activités, les risques et les contrôles internes;

    2. cerner les risques associés à la réalisation des objectifs du client d’audit et des résultats attendus, ou les risques liés aux activités pertinentes pour l’activité soumise à l’audit, soit :

      1. la fiabilité de l’évaluation du risque réalisée par la direction;

      2. le processus employé par la direction pour la surveillance, la communication des résultats ainsi que la résolution des problèmes liés aux risques et aux contrôles;

      3. la communication par la direction des cas qui excèdent les limites d’appétit pour le risque au sein du Bureau, de même que les réponses fournies par la direction à l’égard de tels rapports.

    3. évaluer l’importance relative des risques par rapport à la probabilité que chaque risque se concrétise et à son incidence en pareil cas;

    4. déterminer, sur une base préliminaire, si les assertions de la direction au sujet des contrôles sont susceptibles de prévenir ou de réduire la survenance des risques les plus préoccupants;

    5. prévoir centrer les objectifs et l’étendue de l’audit sur des tests permettant d’évaluer l’existence ou le caractère adéquat ainsi que l’efficacité des principaux contrôles visant les secteurs où les risques sont particulièrement importants;

    6. résumer les résultats de l’examen portant sur l’évaluation des risques, y compris le travail d’enquête et les renseignements généraux pertinents. Le résumé devrait inclure les éléments suivants :

      1. les problèmes importants liés à la mission et les motifs qui justifient d’y consacrer une attention plus soutenue;

      2. les objectifs et les procédures relatifs à la mission;

      3. les méthodes à utiliser, comme les techniques informatisées d’échantillonnage et d’audit;

      4. les éventuels points de contrôle critiques, les déficiences des contrôles ou les contrôles excessifs;

      5. le cas échéant, les motifs justifiant d’interrompre la mission ou d’en modifier considérablement les objectifs.

  6. Les résultats de l’évaluation du risque servent à élaborer le sommaire du plan d’audit interne.

  7. L’auditeur principal peut effectuer l’évaluation des risques seul ou en collaboration avec les représentants du client d’audit. Dans un cas comme dans l‘autre, l’auditeur principal voudra s’assurer que le client est généralement d’accord avec le produit achevé puisqu’il s’en servira pour élaborer le plan d’audit.

  8. L’auditeur principal doit être à l’affût de situations dans lesquelles la direction peut avoir procédé à une évaluation des risques et pris des décisions avec lesquelles il n’est peut-être pas à l’aise. Comme la direction peut décider d’accepter, de transférer, d’éliminer, de réduire ou d’atténuer des risques, il est possible que l’auditeur principal soit confronté à des situations où il ne partage pas l’avis du client sur le degré de préoccupation suscité par un risque en particulier. Par exemple, si le client a choisi d’accepter les risques associés à défaut de  ne pas élaborer ou mettre en œuvre des mesures pour donner suite à des recommandations ou de ne pas élaborer un plan d’action, l’auditeur principal pourrait devoir exprimer une opinion selon laquelle la ligne de conduite adoptée n’est pas appropriée et dans ce cas, il devrait être prêt à défendre cette opinion.

  9. Dans d’autres situations, l’auditeur principal pourrait avoir à effectuer des tests afin de démontrer qu’une ligne de conduite choisie pour contrer un risque est peut-être insuffisante ou inutile.

  10. En cas de désaccord important avec le client d’audit, l’auditeur principal pourrait devoir consulter le dirigeant principal de l’audit (DPA), qui consultera au besoin le Comité d’audit interne ou le vérificateur général avant de poursuivre les discussions avec le client et ses cadres supérieurs.

Mise à jour :
2019-03-05