E.12 Modèle d’évaluation du risque pour une mission d’audit interne

A. Étapes pour le modèle d’évaluation du risque de mission

Contexte

Rapport de validation externe de 2018 de l’auto-évaluation de la fonction d’audit interne réalisée par la RPAI	Au cours de l’exercice 2017-2018, la RPAI a soumis sa fonction d’audit interne à une validation externe. La 2e recommandation formulée dans le rapport de l’évaluateur externe (1384301) se lit comme suit : « Afin de mieux axer les ressources limitées d’audit interne sur les secteurs de l’entité auditée exposés à un risque élevé, nous recommandons que la RPAI élabore des méthodes et un modèle standards pour les évaluations des risques liés à la mission, et qu’elle veille à leur application et à leur documentation de manière uniforme dans toutes les missions d’audit interne. »
Norme 2210.A1 de l’IIA	Selon la norme de l’IIA, les auditeurs internes doivent procéder à une évaluation préliminaire des risques liés à l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation.
Planification des audits internes de la RPAI	Les résultats de l’évaluation des risques de l’activité pertinente soumise à l’audit aideront à l’élaboration du sommaire du plan d’audit interne, qui donne au client des informations détaillées sur l’objectif, l’étendue, le calendrier, les ressources, les critères de l’audit interne et leurs sources.

Étapes

1	Obtenir des informations contextuelles sur les activités à examiner en vue d’en déterminer l’incidence sur les objectifs et l’étendue de la mission. Cela comprend notamment des informations sur la gouvernance, les activités, les risques et les contrôles internes.
2	Recenser les risques associés à l’atteinte des objectifs et résultats attendus du client audité, ou les risques liés aux activités pertinentes pour l’activité auditée. La fiabilité de l’évaluation des risques réalisée par la direction. Le processus utilisé par la direction pour surveiller et régler les problèmes relatifs aux risques et aux contrôles, et présenter des rapports à ce sujet. La communication par la direction d’événements qui dépassent les limites de l’appétence au risque du Bureau, et les mesures prises par la direction à l’égard de ces rapports.
3	Évaluer l’importance relative de chaque risque relativement à la probabilité de son occurrence et à son incidence, le cas échéant. Rencontrer s’il y a lieu les spécialistes internes du Bureau, notamment le spécialiste en matière de fraude et d’actes fautifs.
4	Déterminer, sur une base préliminaire, si les assertions de la direction au sujet des contrôles sont susceptibles de prévenir ou de réduire la survenance des risques les plus préoccupants.
5	Prévoir centrer les objectifs et l’étendue de l’audit sur des tests permettant d’auditer l’existence ou le caractère adéquat et l’efficacité des principaux contrôles visant les secteurs qui posent les plus grands risques.
6	À l’aide du Modèle d’évaluation du risque, résumer les résultats de l’examen de l’évaluation des risques faite par la direction. Fournir des informations contextuelles pertinentes et les travaux d’examen réalisés. Le résumé doit comprendre les éléments suivants : Les questions importantes relatives à la mission et les raisons pour lesquelles il fallait les approfondir. Les objectifs et les procédures de la mission. Les méthodes qui seront appliquées, par exemple des techniques d’audit fondées sur la technologie ou des techniques d’échantillonnage en audit. Points de contrôle pouvant être critiques, déficiences des contrôles et/ou contrôles excessifs. S’il y a lieu, les raisons de mettre fin à la mission ou de modifier considérablement les objectifs de la mission.
7	Documenter les principaux documents sources et les feuilles de travail dans TeamMate.

B. Gabarit pour l'évaluation du risque de mission d'audit interne

No risque	Énoncé du risque	Lien à l’objectif stratégique	Cote du risque	Probabilité (É/M/F)	Incidence (É/M/F)	Contrôles prévus	Observations clés de l’étape de la planification	Considérations relatives à la fraude ou à des actes fautifs?	Niveau du risque résiduel	Inclus dans le programme d’audit? Oui/Non	Justification pour l’inclusion dans le programme d’audit ou son exclusion	Documents sources	Renvoi dans Teammate
1	Il y a un risque que...					(Contrôles que l’auditeur s’attend à trouver pour atténuer le risque.)	(Informations clés recueillies au cours de la planification de l’audit, notamment les contrôles clés.)
2	Il y a un risque que...

Résumé des résultats

Les questions importantes relatives à la mission et les raisons pour lesquelles il fallait les approfondir.
Les objectifs et les procédures de la mission.
Les méthodes qui seront appliquées, par exemple des techniques d’audit fondées sur la technologie ou d’échantillonnage en audit.
Points de contrôle pouvant être critiques, déficiences des contrôles et/ou contrôles excessifs.
S’il y a lieu, les raisons de mettre fin à la mission ou de modifier considérablement les objectifs de la mission.

C. Évaluation du risque de fraude

Introduction

Selon la norme 2210.A2 de l’IIA, « en déterminant les objectifs de la mission, les auditeurs internes doivent tenir compte de la probabilité qu’il existe des erreurs significatives, des cas de fraude ou de non-conformité et d’autres risques importants ». Les auditeurs internes doivent comprendre les caractéristiques de la fraude, les techniques utilisées pour commettre une fraude et les types de fraudes associés aux unités opérationnelles et aux processus audités.

Définitions importantes

Fraude — tout acte intentionnel ou toute omission intentionnelle ayant pour but de tromper autrui, et qui entraîne une perte pour la victime et/ou un avantage pour le fraudeur. [1]
Risque inhérent — risque lié à une activité s’il n’existe aucun contrôle ni aucune mesure d’atténuation en place.
Risque résiduel — portion du risque qui demeure après la prise en considération des contrôles.

[1] L’Institute of Internal Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified Fraud Examiners, Managing the Business Risk of Fraud: A Practical Guide, juillet 2008

Étapes de l’évaluation du risque de fraude

Étape	Objectif(s)	Méthodes/Outils
1	Déterminer si l’activité visée par l’audit interne peut être exposée au risque de fraude.	Examiner les ressources disponibles Au besoin, consulter le spécialiste interne en matière de fraude et d’actes fautifs
2	Recenser les risques de fraude qui sont pertinents pour l’unité opérationnelle ou le processus audité.	Examiner la documentation S’entretenir avec la direction et/ou les chefs de service
	Le recensement initial doit tenir compte du risque inhérent et du risque résiduel.	Documenter l’évaluation dans TeamMate Documentation (exemples) : IIA, 2016 Essentials: Fraud Risk Assessment Matrix (1289784), tiré de Essentials: World-Class Tools for Building an Internal Audit Activity, 2e édition Registre des risques du BVG Rapports d’audit interne antérieurs Auto-évaluations fonctionnelles Entretiens : Réunion préliminaire — Manuel de la RPAI F.4 (1023174 v.5) BVG, Modèles de détection de la fraude http://cmsprd.oag-bvg.gc.ca/intranet/verification-financiere/tem_lp_f_98.shtm BVG, Modèles de questionnaires sur la fraude (1289755) CRIPP, Guide pratique : L’audit interne et la fraude (2009), annexe B — Questions types (2009) (1289737)
3	Déterminer si des contrôles internes sont en place pour atténuer le risque de fraude.	Si aucun contrôle n’est en place, veuillez informer le dirigeant principal de l’audit interne Si des contrôles internes existent, dresser la liste des contrôles internes possibles pour atténuer le risque de fraude
4	Évaluer si les contrôles recensés visant à atténuer le risque de fraude sont bien conçus et fonctionnent efficacement.	Les programmes d’audit doivent comprendre des tests des contrôles internes À effectuer pendant l’étape de l’examen Communiquer les constatations au dirigeant principal de l’audit interne
5	Déterminer s’il existe des risques de fraude résiduels découlant de l’absence de contrôles ou de contrôles internes qui ne fonctionnent pas efficacement. Évaluer l’importance de leur incidence potentielle (argent, perte, réputation). Communiquer les constatations au dirigeant principal de l’audit interne et à d’autres au besoin.	Documenter ce qui suit : Recensement des risques résiduels Évaluation de leur importance Communication avec le dirigeant principal de l’audit interne Communication, au besoin, avec la Planification stratégique et le spécialiste interne en matière de fraude et d’actes fautifs

D. Références

Les références connexes sont disponible dans le document PROXI-#1511874- RPAI_-_ Gabarit pour l’évaluation du risque de mission d’audit interne _-_

Mise à jour :: 2019-04-09

Global INTRAnet Links

Menu