I.6 Exemples de pratiques exemplaires pour les missions

  1. Au fil du temps, des activités, procédures et de processus ont été mis au point et jugés très efficaces dès leur mise en œuvre. D’autres organisations adoptent ces pratiques, en les modifiant parfois, de sorte que ces dernières en viennent à être généralement reconnues comme de précieux outils pour la profession et à être désignées sous l’appellation de « pratiques exemplaires ». Un certain nombre de ces pratiques sont énumérées et décrites ci‑après. Il existe évidemment bien d’autres pratiques utiles qui n’ont pas été incluses dans le présent document.

Procéder à une évaluation des risques d’entreprise

  1. La nécessité de procéder à l’évaluation des risques est reconnue depuis longtemps et figure dans la nouvelle définition de l’audit interne de l’Institute of Internal Auditors (IIA). Les risques d’entreprise sont un ajout récent à l’univers de l’évaluation des risques. La gestion des risques d’entreprise est une approche rigoureuse et coordonnée visant à évaluer et à contrer tous les risques ayant des répercussions sur l’atteinte des objectifs stratégiques et financiers d’une organisation. Ces risques englobent tant les risques positifs que les risques négatifs.

Utiliser l’auto‑évaluation des contrôles et des risques

  1. Les auto-évaluations sont des techniques utilisées, au cours ou au lieu d’un audit, pour évaluer les risques de même que les forces et les faiblesses des contrôles par rapport à un cadre de contrôle. L’auto‑évaluation réfère à la participation des membres de la direction et du personnel au processus d’évaluation, souvent facilité par les auditeurs internes.

Utiliser des processus de contrôle interne fondés sur des cadres de contrôle tel que COSO, CCC, KING, CADBURY

  1. Le COSO (Committee of Sponsoring Organizations) a publié en 1992 un document intitulé Internal Control – Integrated Framework. Le document a été mis à jour en 2013. Selon la définition du COSO, le contrôle interne est en général défini comme un processus mis en œuvre par le conseil d’administration, la direction et d’autres membres du personnel d’une entité, qui vise à donner l’assurance raisonnable que les objectifs de l’entité seront atteints dans les trois catégories suivantes : efficacité et efficience des opérations, fiabilité de l’information financière et conformité aux lois et règlements applicables. En plus de ces objectifs, le COSO a identifié cinq composantes interreliées du contrôle interne :

    1. l’environnement de contrôle, qui comprend l’intégrité, les valeurs éthiques et la compétence du personnel d’une organisation;

    2. l’évaluation des risques;

    3. les activités de contrôle;

    4. l’information et la communication;

    5. la surveillance.

  2. Ces composantes se combinent pour former un système de contrôles intégré. Le contrôle interne ne peut être considéré comme efficace dans l’une ou l’autre des catégories d’objectifs que si les cinq composantes sont présentes et fonctionnelles.

Collaborer avec la direction

  1. La collaboration peut prendre de nombreuses formes. L’une des plus courantes consiste à obtenir la rétroaction de la direction d’autres services et d’en tenir compte dans le processus d’évaluation des risques et dans le plan d’audit annuel. Il peut aussi s’agir d’informer le client des audits proposés bien avant qu’ils ne débutent et de recueillir ses suggestions sur l’étendue de l’audit. Une autre possibilité serait de mettre sur pied un comité interministériel chargé de conseiller le directeur principal de l’audit interne (DPAI).

Intégrer les concepts de la gouvernance d’entreprise à la pratique

  1. Quatre grands groupes participent au processus de gouvernance du Bureau du vérificateur général du Canada (le Bureau). Il s’agit des suivants :

    1. le groupe de la surveillance, qui est composé du vérificateur général, du Conseil de direction et du Comité d’audit;

    2. le groupe de la gérance, c’est-à-dire la catégorie de la direction;

    3. le groupe de l’exécution, qui est composé des membres de la direction et du personnel responsables des opérations et du soutien;

    4. le groupe de la certification, qui comprend la fonction d’audit interne.

  2. La fonction de revue des pratiques et d’audit interne (RPAI) devrait contribuer au processus de gouvernance du Bureau en permettant d’évaluer les processus visant : 1) à définir et à recommander les valeurs et les objectifs; 2) à surveiller l’atteinte des objectifs; 3) à assurer la responsabilité; 4) à préserver les valeurs. (Voir la Norme 2130)

Accroître le rendement du personnel

  1. Cet objectif peut être atteint par l’éducation et la formation. L’introduction d’outils mécanisés, comme les techniques d’audit assistées par ordinateur (TAAO), peut accroître la productivité des auditeurs internes. L’établissement d’objectifs à long terme et l’utilisation de mesures de rendement peuvent aussi contribuer à l’atteinte de l’objectif.

Améliorer l’efficacité des communications

  1. Il pourrait être utile de concevoir un format de rapport convivial, qui contiendrait un sommaire et de l’information claire et concise. Une bonne pratique consiste à fournir des rapports d’audit sommaires provisoires au Comité d’audit, au vérificateur général et à la haute direction. Il peut également être efficace de diffuser de l’information au sujet de la fonction de la RPAI sur l’INTRAnet. Enfin, il est aussi important d’adopter une charte adéquate sur la fonction d’audit interne énonçant clairement la mission, les pouvoirs et les responsabilités de cette fonction.

Soutenir le perfectionnement du personnel sur les plans personnel et professionnel

  1. Afin d’exercer la majorité des activités liées à la revue des pratiques et à l’audit interne, les auditeurs doivent posséder un baccalauréat d’une université ou d’une école de gestion. L’obtention de diplômes d’études supérieures est encouragée. De plus, il est préférable de tendre à un certain équilibre au chapitre des divers titres détenus par l’équipe de l’audit interne, comme les titres d’auditeur interne agréé (CIA) et d’auditeur informatique agréé (CISA), les titres professionnels en comptabilité (comptable professionnel agréé [CPA]), et de nombreux autres. Par ailleurs, un objectif annuel de 80 heures de formation par auditeur est souvent fixé. Il comprend principalement de la formation en audit, mais aussi, de façon plus générale, dans les domaines de la gestion, des technologies de l’information (TI) et d’autres domaines. La formation continue est essentielle pour que le personnel suive l’évolution de la profession et apporte une valeur au Bureau.

Accroître l’utilisation de la technologie pour améliorer l’efficacité du personnel

  1. Pour utiliser efficacement la technologie, il faut d’abord que l’Équipe de la revue des pratiques et de l’audit interne (RPAI) soit constituée d’une ou de certaines personnes possédant les compétences nécessaires en TI. La formation continue en ce domaine est essentielle pour maintenir les niveaux de compétence. Les outils qu’utilisent les auditeurs spécialisés en informatique comprennent notamment les progiciels pour l’extraction et l’analyse des données, la prévention et la détection des fraudes, l’évaluation de la sécurité des réseaux, la production de feuilles de travail informatisées et le contrôle du commerce électronique. De plus, les techniques d’audit assistées par ordinateur (TAAO) sont souvent conçues par et pour les auditeurs pour l’exécution de tâches précises.

Réaliser des audits dans de nouveaux secteurs

  1. Le mandat prévu par la charte pour la plupart des activités de revue des pratiques et d’audit interne (RPAI) est vaste et consiste à contribuer à l’atteinte des objectifs de l’organisation et à concevoir une approche systématique et rigoureuse de l’évaluation et de l’amélioration de l’efficacité des processus de gestion des risques, de contrôle et de gouvernance. Durant l’exécution des travaux de RPAI, toutes les facettes pertinentes des activités du Bureau doivent être examinées. Pour ce faire, l’Équipe de la RPAI doit pouvoir compter sur des personnes expérimentées possédant des compétences multidisciplinaires. Les grandes organisations peuvent être en mesure d’ajouter de telles personnes à leur effectif permanent affecté à l’audit interne. Une autre solution pour les organisations de toutes tailles serait de réaffecter certains employés (non‑auditeurs) issus d’autres secteurs à l’interne pendant la durée d’une mission. Enfin, une autre possibilité consisterait à confier à des spécialistes de l’extérieur l’exécution d’activités ou d’audits particuliers au besoin, par exemple en ce qui concerne la gestion informatique, environnementale, technique et juridique, la gestion de la qualité et l’auto‑évaluation.

Utiliser des mesures de rendement

  1. Les critères de mesure sont utiles pour fixer des objectifs annuels relativement à la fonction de la RPAI, pour faire des présentations au Comité d’audit, au vérificateur général et à la haute direction, et pour mener à bien les tâches à accomplir.

  2. L’une des mesures les plus importantes est celle du « temps de cycle », c’est-à-dire le temps écoulé entre l’achèvement d’une mission sur place et la publication du rapport définitif. Dans de nombreuses organisations, cette période peut s’étendre sur six mois ou plus pour certains audits.

  3. Le nombre des recommandations acceptées est une autre mesure importante. Un pourcentage élevé signifie que les communications ont été bonnes tout au long de la mission et que le client est satisfait du travail de l’auditeur.

Mise à jour :
2018-04-10