Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

AUDITER L’ENVIRONNEMENT DE CONTRÔLE CRIPP – Guide Pratique Avril 201 1 2/37 AUD

AUDITER L’ENVIRONNEMENT DE CONTRÔLE CRIPP – Guide Pratique Avril 201 1 2/37 AUDITER L’ENVIRONNEMENT DE CONTRÔLE Synthèse . .................................................................................................................... 3 Introduction................................................................................................................. 5 L’environnement de contrôle de l’organisation . ............................................................ 6 Périmètre et approche de l’audit de l’environnement de contrôle . ................................ 7 Les implications de l’environnement de contrôle pour chaque mission d’audit interne ....................... 10 Considérations pratiques pour l’audit de l’environnement de contrôle . ....................... 1 1 Le soutien ou l’adhésion de la direction générale et du Conseil . .................................................. 11 Le positionnement de l’audit interne dans l’organisation ............................................................. 11 Les critères d’évaluation de l’environnement de contrôle . ............................................................ 12 Prise en compte de la culture et des valeurs locales .................................................................. 12 Coordination avec les auditeurs externes ................................................................................ 13 Méthodes d’audit de l’environnement de contrôle . ..................................................... 14 Évaluation des défaillances de l’environnement de contrôle . ...................................... 15 Communication des résultats . .................................................................................... 17 Informations sensibles . ......................................................................................................... 17 Identification des problèmes majeurs . ..................................................................................... 18 Nature et formulation des recommandations . ........................................................................... 18 Suivi des recommandations . ................................................................................................. 18 Annexe . .................................................................................................................... 19 Sommaire CRIPP – Guide Pratique 3/37 Synthèse L’environnement de contrôle 1 est le socle d’un système efficace de contrôle interne. La plupart des défaillan- ces reprises par la presse (notamment Enron et Worldcom ou les problèmes de gouvernance qui ont mené à la crise financière de 2008) étaient, du moins en partie, la conséquence d’environnements de contrôle insuffisants. Quel que soit le niveau de conception et de réalisation des contrôles dans les processus métiers et informatiques, en l’absence d’un environnement de contrôle à l’efficacité démontrée, une assurance raison- nable quant à l’intégrité de la structure de contrôle interne de l’organisation ne pourra être apportée aux parties prenantes. Le Glossaire des Normes Internationales pour la prati- que professionnelle de l’audit interne (les Normes) défi- nit l’environnement de contrôle comme : « L’attitude et les actions du Conseil et du manage- ment au regard de l’importance du (dispositif de) contrôle au sein de l’organisation. L’environnement de contrôle constitue le cadre et la structure nécessaires à la réalisation des objectifs primordiaux du système de contrôle interne. L’environnement de contrôle englobe les éléments suivants : intégrité et valeurs éthiques ; • philosophie et style de direction ; • structure organisationnelle • attribution des pouvoirs et responsabilités ; • politiques et pratiques relatives aux ressources • humaines ; compétence du personnel. » • L’évaluation des risques résultant des défaillances de chacun de ces six éléments de l’environnement de 1 Parce que l’environnement de contrôle est lié à la culture d’en- treprise, le lecteur de ce guide pratique est invité à consulter la publication IIARF intitulée « Best Practices : Evaluating the Corporate Culture » (Meilleures pratiques : évaluation de la culture d’entreprise) par James Roth, 2010. contrôle, tels que définis au glossaire des Normes, est essentielle dans toute approche d’audit de l’environne- ment de contrôle. Lors de la détermination des risques concernant chacun des six éléments de l’environnement de contrôle, le responsable de l’audit interne peut envi- sager d’intégrer à son programme d’audit annuel un ou plusieurs audits sur les risques majeurs liés à l’environne- ment de contrôle. Le responsable de l’audit interne peut choisir de traiter ces risques : dans une seule mission dédiée à l’évaluation de • l’environnement de contrôle de l’organisation ; dans une série de missions consacrées à l’audit de • l’environnement de contrôle, et ; dans des missions d’évaluation de la maîtrise de • risques spécifiques (par exemple, le périmètre de ces audits comprend l’évaluation des activités de contrôle relevant de l’environnement de contrôle ou des procédures métiers). Comme l’audit de l’environnement de contrôle implique généralement des discussions sur des questions sensi- bles, le responsable de l’audit interne doit planifier et mener ces audits avec une diligence particulière. Le responsable de l’audit interne doit être particulière- ment attentif aux nombreuses considérations pratiques à prendre en compte lors de la planification et la réali- sation d’un audit de l’environnement de contrôle. Premièrement, il faut obtenir le soutien ou l’aval de la direction générale et/ou du Conseil ou du comité d’audit pour pouvoir le réaliser. Deuxièmement, le rattachement de l’audit interne doit lui conférer une indépendance suffisante pour garantir sans limitation le périmètre d’intervention de l’audit interne. Troisièmement, pour la bonne réalisation de la mission, le responsable de l’audit interne doit formu- ler et communiquer clairement (à la structure auditée 4/37 AUDITER L’ENVIRONNEMENT DE CONTRÔLE et aux auditeurs internes) les critères à utiliser dans l’évaluation de l’environnement de contrôle. Enfin, il convient d’avoir une attention particulière aux différences de culture d’entreprise, de langue, de législation locale, etc. quand les missions d’audit interne sont conduites dans une organisation inter- nationale. Parce que l’audit de l’environnement de contrôle comprend l’évaluation de contrôles « informels », certai- nes approches ou outils d’évaluation traditionnels ne permettent pas toujours de rassembler des preuves directes et suffisantes de leur fonctionnement effectif. L’auditeur interne devra faire preuve d’ouverture d’esprit pour rassembler suffisamment d’éléments probants afin de garantir que les conclusions de la mission ne seront pas remises en cause en raison de preuves et de procé- dures d’audit insuffisamment rigoureuses. Les défaillances de l’environnement de contrôle doivent être évaluées individuellement et la manière dont elles interagissent avec ou dont elles influent sur d’autres contrôles dans l’organisation devrait être appréhen- dée. Les mesures correctives devront parfois concerner d’autres éléments que celui qui aura été évalué. La communication des conclusions d’audit de l’environ- nement de contrôle implique de prendre en compte de nombreuses considérations pratiques comme : le format du rapport d’audit ; • le calendrier et le périmètre de diffusion ; • la confidentialité des conclusions ; • l’implication du conseil juridique de l’organisation • et de la fonction ressources humaines, soit dans le cadre de travaux conjoints, soit en tant que fonctions support, etc. Auditer l’environnement de contrôle (ou un ou plusieurs de ses éléments) soit sous la forme d’une intervention dédiée, soit dans le cadre d’autres missions d’audit interne, n’est pas seulement conforme à l’esprit des Normes du CRIPP (le Cadre de Référence International des pratiques professionnelles de l’audit interne), mais contribue également à ajouter de la valeur à l’organi- sation. CRIPP – Guide Pratique 5/37 Introduction L’environnement de contrôle est le socle sur lequel est élaboré et mis en œuvre un système de contrôle interne efficace dans une organisation qui s’efforce : d’atteindre ses objectifs stratégiques ; • de fournir une information financière fiable à ses • parties prenantes internes et externes ; de mener ses activités avec efficience et effica- • cité ; de respecter l’ensemble des lois et de la réglemen- • tation applicables et ; de protéger ses actifs. • Les carences de l’environnement de contrôle sont l’une des causes de la crise financière de 2008 et d’autres crises du XXIe siècle. Le but de ce guide pratique est de : faire prendre conscience à l’auditeur interne de l’im- • portance de l’environnement de contrôle ; l’aider à déterminer les éléments de l’environnement • de contrôle à étudier lors de missions intégrées au plan d’audit périodique ; l’aider à définir l’étendue, les ressources et la plani- • fication de ces missions. Ce guide précise également les éléments à prendre en considération dans l’exécution de la mission, y compris l’évaluation et la communication des défaillances. Se concentrer uniquement sur l’évaluation des contrôles en place dans les processus métiers et informatiques et sur la remontée d’informations en découlant, sans évaluer les risques liés aux défaillances de l’environne- ment et sans en rendre compte, peut faire passer à côté d’aspects essentiels de l’organisation. L’environnement de contrôle d’une entité est le fondement de la structure de contrôle interne de l’organisation toute entière (au niveau financier, opérationnel et de la conformité) et de la protection de ses actifs. Les auditeurs internes doivent tenir compte des risques liés aux défaillances de l’en- vironnement de contrôle dans l’élaboration des plans d’audit annuels (ou ayant une autre périodicité), ainsi que dans la planification de chaque mission d’audit. Les Normes définissent l’environnement de contrôle comme « l’attitude et les actions du Conseil et du management au regard de l’importance du (dispositif de) contrôle au sein de l’organisation. » Plus précisé- ment, la Norme 2130 : Contrôle, indique que « l’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration conti- nue. » En outre, la Norme 2130.A1 stipule que « l’audit interne doit évaluer la pertinence et l’efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d’entreprise, aux opérations et aux systè- mes d’information de l’organisation. Cette évaluation doit porter sur les aspects suivants : la fiabilité et l’intégrité des informations financières • et opérationnelles ; l’efficacité et l’efficience des opérations et des • programmes ; la protection des actifs ; • le respect des lois, règlements, règles, procédures • et contrats. » 6/37 AUDITER L’ENVIRONNEMENT DE CONTRÔLE Le COSO (Committee of Sponsoring Organizations) de la Commission Treadway a publié Internal Control Integrated Framework (cadre de contrôle interne inté- gré2) uploads/Management/ auditer-l-x27-environnement-de-controle.pdf