E.12 Modèle d’évaluation du risque pour une mission d’audit interne
A. Étapes pour le modèle d’évaluation du risque de mission
Contexte
Rapport de validation externe de 2018 de l’auto-évaluation de la fonction d’audit interne réalisée par la RPAI | Au cours de l’exercice 2017-2018, la RPAI a soumis sa fonction d’audit interne à une validation externe. La 2e recommandation formulée dans le rapport de l’évaluateur externe (1384301) se lit comme suit : « Afin de mieux axer les ressources limitées d’audit interne sur les secteurs de l’entité auditée exposés à un risque élevé, nous recommandons que la RPAI élabore des méthodes et un modèle standards pour les évaluations des risques liés à la mission, et qu’elle veille à leur application et à leur documentation de manière uniforme dans toutes les missions d’audit interne. » |
Norme 2210.A1 de l’IIA | Selon la norme de l’IIA, les auditeurs internes doivent procéder à une évaluation préliminaire des risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation. |
Planification des audits internes de la RPAI | Les résultats de l’évaluation des risques de l’activité pertinente soumise à l’audit aideront à l’élaboration du sommaire du plan d’audit interne, qui donne au client des informations détaillées sur l’objectif, l’étendue, le calendrier, les ressources, les critères de l’audit interne et leurs sources. |
Étapes
1 | Obtenir des informations contextuelles sur les activités à examiner en vue d’en déterminer l’incidence sur les objectifs et l’étendue de la mission. Cela comprend notamment des informations sur la gouvernance, les activités, les risques et les contrôles internes. |
2 |
Recenser les risques associés à l’atteinte des objectifs et résultats attendus du client audité, ou les risques liés aux activités pertinentes pour l’activité auditée.
|
3 | Évaluer l’importance relative de chaque risque relativement à la probabilité de son occurrence et à son incidence, le cas échéant. Rencontrer s’il y a lieu les spécialistes internes du Bureau, notamment le spécialiste en matière de fraude et d’actes fautifs. |
4 | Déterminer, sur une base préliminaire, si les assertions de la direction au sujet des contrôles sont susceptibles de prévenir ou de réduire la survenance des risques les plus préoccupants. |
5 | Prévoir centrer les objectifs et l’étendue de l’audit sur des tests permettant d’auditer l’existence ou le caractère adéquat et l’efficacité des principaux contrôles visant les secteurs qui posent les plus grands risques. |
6 |
À l’aide du Modèle d’évaluation du risque, résumer les résultats de l’examen de l’évaluation des risques faite par la direction. Fournir des informations contextuelles pertinentes et les travaux d’examen réalisés. Le résumé doit comprendre les éléments suivants :
|
7 | Documenter les principaux documents sources et les feuilles de travail dans TeamMate. |
B. Gabarit pour l'évaluation du risque de mission d'audit interne
No risque | Énoncé du risque | Lien à l’objectif stratégique | Cote du risque | Probabilité (É/M/F) | Incidence (É/M/F) | Contrôles prévus | Observations clés de l’étape de la planification | Considérations relatives à la fraude ou à des actes fautifs? | Niveau du risque résiduel | Inclus dans le programme d’audit? Oui/Non | Justification pour l’inclusion dans le programme d’audit ou son exclusion | Documents sources | Renvoi dans Teammate |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Il y a un risque que... | (Contrôles que l’auditeur s’attend à trouver pour atténuer le risque.) | (Informations clés recueillies au cours de la planification de l’audit, notamment les contrôles clés.) | ||||||||||
2 | Il y a un risque que... |
Résumé des résultats
- Les questions importantes relatives à la mission et les raisons pour lesquelles il fallait les approfondir.
- Les objectifs et les procédures de la mission.
- Les méthodes qui seront appliquées, par exemple des techniques d’audit fondées sur la technologie ou d’échantillonnage en audit.
- Points de contrôle pouvant être critiques, déficiences des contrôles et/ou contrôles excessifs.
- S’il y a lieu, les raisons de mettre fin à la mission ou de modifier considérablement les objectifs de la mission.
C. Évaluation du risque de fraude
Introduction
Selon la norme 2210.A2 de l’IIA, « en déterminant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu’il existe des erreurs significatives, des cas de fraude ou de non-conformité et d’autres risques importants ». Les auditeurs internes doivent comprendre les caractéristiques de la fraude, les techniques utilisées pour commettre une fraude et les types de fraudes associés aux unités opérationnelles et aux processus audités.
Définitions importantes
- Fraude — tout acte intentionnel ou toute omission intentionnelle ayant pour but de tromper autrui, et qui entraîne une perte pour la victime et/ou un avantage pour le fraudeur. [1]
- Risque inhérent — risque lié à une activité s’il n’existe aucun contrôle ni aucune mesure d’atténuation en place.
- Risque résiduel — portion du risque qui demeure après la prise en considération des contrôles.
[1] L’Institute of Internal Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified Fraud Examiners, Managing the Business Risk of Fraud: A Practical Guide, juillet 2008
Étapes de l’évaluation du risque de fraude
Étape | Objectif(s) | Méthodes/Outils |
---|---|---|
1 |
|
|
2 |
|
|
Le recensement initial doit tenir compte du risque inhérent et du risque résiduel. |
Documentation (exemples) :
Entretiens :
|
|
3 |
|
|
4 |
|
|
5 |
|
Documenter ce qui suit :
|
D. Références
Les références connexes sont disponible dans le document PROXI-#1511874- RPAI_-_ Gabarit pour l’évaluation du risque de mission d’audit interne _-_
- Mise à jour :
- 2019-04-09