Introduction

L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Les activités d’audit interne sont conduites dans différents environnements juridiques et culturels, dans des organisations dont l'objet, la taille et la structure sont divers, ainsi que par des auditeurs internes ou externes à l’organisation. Ces différences peuvent influencer la pratique de l’audit interne dans chaque environnement. Toutefois, le respect des Normes pour la pratique professionnelle de l’audit interne (ci-après "les Normes") est essentiel pour que les auditeurs internes puissent s'acquitter de leurs responsabilités.

Les Normes ont pour objet :

1. de définir ce que doivent être les principes de base de la pratique de l’audit interne ;
2. de fournir un cadre de référence pour la réalisation et la promotion d’un large éventail d’activités d’audit interne apportant une valeur ajoutée ;
3. d'établir une base permettant de mesurer la performance de l’audit interne ;
4. de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes se composent des normes d’attributs (série 1000), des normes de performances (série 2000) et des normes d'exécution (série nnnn.Xn). Les normes d’attributs énoncent les caractéristiques que doivent présenter les organisations et les personnes accomplissant des activités d’audit interne. Les normes de performances décrivent la nature des activités d’audit interne et définissent des critères de qualité permettant d'évaluer les services fournis. Les normes d’attributs et de performances s’appliquent aux services d’audit interne en général. Les normes d'exécution appliquent les normes d’attributs et de performances à des missions spécifiques (p. ex un audit de conformité, un audit de fraude ou un projet d’auto-évaluation de contrôle).

Alors qu'il existe un seul ensemble de normes d’attributs et de normes de performances, les normes d'exécution, quant à elles, peuvent se regrouper dans différents ensembles correspondant chacun à un grand type d'activité d'audit interne. Au départ, les normes d'exécution sont établies pour les activités d’assurance (indiquées par la lettre "A" après le numéro de la norme, p.ex. 1130.A1) et pour les activités de conseil (indiquées par la lettre "C" après le numéro de la norme, p.ex. nnnn.C1).

Les Normes font partie de la Structure des pratiques professionnelles. Cette structure a été proposée par le Comité d'orientation (Guidance Task Force) et approuvée par le Conseil d'administration (Board of Directors) de l'IIA en juin 1999. Elle comprend la définition de l’audit interne, le code de déontologie, les Normes et d'autres orientations. Les Normes englobent les orientations qui faisaient précédemment l'objet du "livre rouge" ("The Red Book"), en leur donnant la nouvelle forme proposée par le Comité d'orientation et en les actualisant comme celui-ci l'a recommandé dans son rapport intitulé "A Vision for the Future".

Le glossaire contient des termes qui sont utilisés dans des acceptions particulières aux fins des Normes.

Le Comité des normes de l’audit interne s’est engagé à mener une consultation étendue dans le cadre de la préparation des Normes. Avant la publication de tout document, le Comité des normes présente des avant-projets au plan international pour commentaires publics. Au besoin, il cherche également à consulter des personnes possédant des compétences spécifiques ou défendant des intérêts particuliers. L'élaboration des normes est un processus continu. Le Comité des normes accueille favorablement les contributions apportées par les membres de l'IIA et autres parties intéressées en vue de relever les problèmes nouveaux qui nécessitent de nouvelles normes ou la révision des normes existantes. Les suggestions doivent être adressées à :

Institute of Internal Auditors
Senior Manager Technical Services
Maitland Ave.
Altamonte Springs, Florida 32701
USA
Courrier électronique: standards@theiia.org

Des orientations complémentaires relatives aux modalités d'application des Normes figurent dans les avis de pratique ("Practice Advisories") publiés par le Comité des questions professionnelles ("Professional Issues Committee").

Les Normes sont en vigueur depuis le 1er janvier 2002.

NORMES D'ATTRIBUTS

1000 – Objectifs, pouvoirs et responsabilités
Les objectifs, pouvoirs et responsabilités des auditeurs internes doivent être officiellement définis dans une charte, conformes aux Normes et approuvés par le conseil d'administration.

1100 – Indépendance et objectivité
La fonction d'audit interne doit être indépendante et les auditeurs internes doivent effectuer leur travail avec objectivité.

1110 – Indépendance dans l'organisation
Le chef de l'audit doit relever d'un niveau hiérarchique permettant aux auditeurs internes d'exercer leurs responsabilités.

1110.A1 - Les auditeurs internes doivent être libres de toute ingérence dans la définition de l’étendue des travaux d’audit interne, dans la réalisation du travail et dans la communication des résultats.

1120 – Objectivité individuelle
Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter les conflits d’intérêts.

1130 – Atteintes à l’indépendance et à l’objectivité
S'il est ou semble être porté atteinte à l’objectivité ou à l’indépendance des auditeurs internes, ces faits doivent être portés à la connaissance des parties compétentes sous une forme qui dépendra de leur nature.

1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils étaient responsables auparavant. L'objectivité d'un auditeur est présumée altérée lorsqu'il fournit des services d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente.

1130.A2 – Les missions d'assurance concernant des fonctions dont le chef de l'audit a la charge doivent être placées sous la surveillance d'une partie extérieure à la fonction d'audit interne.

1200 – Compétence et conscience professionnelle
Les missions doivent être remplies avec compétence et conscience professionnelle.

1210 – Compétence
Les auditeurs internes doivent posséder les connaissances, aptitudes et compétences nécessaires à l'exercice de leurs responsabilités individuelles. La fonction d'audit interne, collectivement, exige la possession ou l'acquisition des connaissances, aptitudes et compétences nécessaires à l'exercice de ses responsabilités.

1210.A1 - Le chef de l’audit doit obtenir l'assistance et l'avis de sources compétentes si les auditeurs internes ne possèdent pas les connaissances, aptitudes et compétences nécessaires pour s'acquitter de tout ou partie de leur mission.

1210.A2 – L’auditeur interne doit posséder des connaissances suffisantes pour relever les éléments indicatifs d'une fraude, mais il n'est pas censé posséder l’expertise d’une personne dont la fonction première est la détection et l’investigation des fraudes.

1220 – Conscience professionnelle
Les auditeurs internes doivent apporter à leur travail le soin et la compétence que l’on peut attendre d’un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n’implique pas l'infaillibilité.

1220.A1 - L’auditeur interne doit apporter tout le soin nécessaire à sa pratique professionnelle en prenant en considération les éléments suivants :

• l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;
• la complexité relative, la matérialité ou l’importance des domaines auxquels sont appliquées les procédures d'assurance ;
• la pertinence et l'efficacité des processus de gestion des risques, de contrôle et de gouvernement d’entreprise ;
• la probabilité d'erreurs, d'irrégularités ou de non-conformités significatives ;
• le coût de l'assurance par rapport aux résultats escomptés.

1220.A2 – L'auditeur interne doit être attentif aux risques significatifs susceptibles de peser sur les objectifs, les opérations ou les ressources. Toutefois, les procédures d'assurance seules, même lorsqu'elles sont menées avec la conscience professionnelle requise, ne garantissent pas que tous les risques significatifs seront détectés.

1230 – Développement professionnel continu
Les auditeurs internes doivent améliorer leurs connaissances, aptitudes et compétences par un développement professionnel continu.

1300 – Programme d'assurance et d'amélioration de la qualité
Le chef de l'audit doit élaborer et tenir à jour un programme d'assurance et d'amélioration de la qualité portant sur tous les aspects de la fonction d'audit interne et permettant un contrôle continu de son efficacité. Le programme doit être conçu dans un double but : aider la fonction d'audit interne à apporter une valeur ajoutée aux opérations de l’organisation et à les améliorer, et garantir que la fonction d'audit interne est menée en conformité avec les Normes et le code de déontologie.

1310 – Évaluations du programme de qualité
La fonction d'audit interne nécessite l'adoption d'un processus permettant de suivre et d'évaluer l'efficacité globale du programme de qualité. Ce processus doit comporter des évaluations tant internes qu'externes.

1311 – Évaluations internes
Les évaluations internes doivent comporter :

• des contrôles permanents des performances de la fonction d'audit interne ;
• des contrôles périodiques, réalisés par auto-évaluation ou par d'autres personnes de l'organisation connaissant les pratiques d'audit interne et les Normes.

1312 – Évaluations externes
Des évaluations externes, par exemple des revues d'assurance de la qualité, doivent être réalisées tous les cinq ans au moins par un évaluateur ou une équipe d'évaluation qualifiée et indépendante extérieure à l'organisation.

1320 – Rapports relatifs au programme de qualité
Le chef de l'audit doit communiquer au conseil d'administration les résultats des évaluations externes.

1330 – Utilisation de la mention "conduites conformément aux Normes"
Les auditeurs internes sont encouragés à indiquer dans leurs rapports que leurs activités sont "conduites conformément aux Normes pour la pratique professionnelle de l'audit interne". Toutefois, ils ne peuvent utiliser cette mention que si les évaluations du programme d'amélioration de la qualité démontrent que la fonction d'audit interne est effectivement conforme aux Normes.

1340 – Indication de non-conformité
Bien que la fonction d'audit interne doive être exercée dans le respect intégral des Normes et que les auditeurs doivent se conformer au code de déontologie, il peut arriver que cette pleine conformité ne soit pas réalisée. Lorsque la non-conformité a une incidence sur l’étendue générale ou sur l'exercice de la fonction d'audit interne, la direction et le conseil d’administration doivent en être informés.

NORMES DE PERFORMANCES

2000 – Gestion de la fonction d'audit interne
Le chef de l'audit doit gérer la fonction d'audit interne de manière efficace afin de faire en sorte qu'elle apporte une valeur ajoutée à l'organisation.

2010 – Planification
Le chef de l'audit doit établir des plans fondés sur les risques afin de définir les priorités de la fonction d'audit interne en accord avec les objectifs de l’organisation.

2010.A1 – Le programme des missions d’audit interne doit s'appuyer sur une évaluation des risques réalisée au moins une fois par an. La contribution de la direction et du conseil d'administration doit être prise en considération dans ce processus.

2020 – Communication et approbation
Le chef de l'audit doit communiquer à la direction et au conseil d’administration, pour examen et approbation, les plans et besoins en ressources de la fonction d'audit interne, y compris les changements temporaires importants. Le chef de l'audit doit également indiquer l'impact de toute limitation de ses ressources.

2030 – Gestion des ressources
Le chef de l'audit doit veiller à ce que les ressources affectées à l'audit interne soient adéquates, suffisantes et mises en œuvre de manière efficace afin de réaliser le plan approuvé.

2040 – Politiques générales et procédures
Le chef de l'audit doit formuler les politiques générales et procédures qui régissent la fonction d'audit interne.

2050 – Coordination
Le chef de l'audit doit partager les informations et coordonner les activités avec les autres fournisseurs internes et externes de services d’assurance et de conseil, de manière à assurer une couverture adéquate et à réduire au minimum les travaux faisant double emploi.

2060 – Présentation de rapports au conseil d'administration et à la direction
Le chef de l'audit doit présenter périodiquement à la direction et au conseil d’administration des rapports traitant des objectifs, pouvoirs et responsabilités de la fonction d'audit interne, ainsi que de ses résultats par rapport au plan prévu. Ces rapports doivent également porter sur les risques importants et les questions de contrôle, sur les questions relatives au gouvernement d'entreprise et sur les autres questions dont le conseil d'administration et la direction ont besoin ou ont demandé l'examen.

2100 – Nature du travail
La fonction d'audit interne évalue les systèmes de gestion des risques, de contrôle et de gouvernement d'entreprise et contribue à leur amélioration.

2110 – Gestion des risques
La fonction d'audit interne doit assister l'organisation en relevant et en évaluant les risques importants, ainsi qu'en contribuant à l'amélioration des systèmes de gestion des risques et de contrôle.

2110.A1 – La fonction d'audit interne doit contrôler et évaluer l'efficacité du système de gestion des risques de l'organisation.

2110.A2 – La fonction d'audit interne doit évaluer les risques liés au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation sous l'angle des aspects suivants :

• la fiabilité et l’exhaustivité des informations financières et opérationnelles ;
• l’efficacité et l’efficience des opérations ;
• la protection du patrimoine ;
• le respect des lois, règlements et contrats.

2120 – Contrôle
La fonction d'audit interne doit aider l'organisation à maintenir des contrôles efficaces en évaluant leur efficacité et leur efficience et en encourageant leur amélioration permanente.

2120.A1 – Sur la base des résultats de l'évaluation des risques, la fonction d'audit interne doit évaluer la pertinence et l'efficacité des contrôles portant sur le gouvernement d'entreprise, les opérations et les systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :

• la fiabilité et l’exhaustivité des informations financières et opérationnelles ;
• l’efficacité et l’efficience des opérations ;
• la protection du patrimoine ;
• le respect des lois, règlements et contrats.

2120.A2 - Les auditeurs internes doivent établir dans quelle mesure des buts et objectifs ont été définis pour les opérations et les programmes et si ces buts et objectifs sont conformes à ceux de l'organisation.

2120.A3 – Les auditeurs internes doivent passer en revue les opérations et les programmes afin d'établir dans quelle mesure les résultats sont cohérents avec les buts et objectifs établis et si ces opérations et programmes sont mis en œuvre ou réalisés comme prévu.

2120.A4 – Des critères adéquats sont nécessaires pour évaluer les contrôles. Les auditeurs internes doivent établir dans quelle mesure la direction a défini des critères adéquats pour déterminer si les objectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler avec la direction pour élaborer des critères d'évaluation appropriés.

2130 – Gouvernement d'entreprise
La fonction d'audit interne doit contribuer au processus de gouvernement de l'organisation en évaluant et en améliorant le processus par lequel (1) les valeurs et les buts sont définis et communiqués, (2) la réalisation des buts fait l'objet d'un suivi, (3) la responsabilité est assurée, et (4) les valeurs sont préservées.

2130.A1
Les auditeurs internes doivent revoir les opérations et les programmes afin d'assurer leur cohérence avec les valeurs de l'organisation.

2200 – Planification de la mission
Les auditeurs internes doivent mettre au point et enregistrer un plan pour chaque mission.

2201 – Considérations relatives à la planification
Lors de la planification de leur mission, les auditeurs internes doivent tenir compte des aspects suivants :

• les objectifs du service soumis à l'audit et les moyens par lesquels ce service contrôle l'exécution de sa mission ;

• les risques importants encourus par le service, ses objectifs, ses ressources et ses opérations, ainsi que les moyens par lesquels l'incidence potentielle du risque est maintenue à un niveau acceptable ;
• la pertinence et l'efficacité des systèmes de gestion des risques et de contrôle mis en œuvre par le service, par comparaison avec un cadre ou modèle de contrôle bien choisi ;
• les possibilités d'apporter des améliorations significatives aux systèmes de gestion des risques et de contrôle du service.

2210 – Objectifs de la mission
Les objectifs de la mission doivent porter sur les risques, les contrôles et les processus de gouvernement d'entreprise associés aux activités soumises à l'audit.

2210.A1 – Au moment de planifier la mission, l'auditeur interne doit relever et évaluer les risques encourus par le service soumis à l'audit. Les objectifs de la mission doivent refléter les résultats de l'évaluation des risques.

2210.A2 – Lors de la définition des objectifs de la mission, l'auditeur interne doit tenir compte de la probabilité de rencontrer des erreurs, irrégularités, cas de non-conformité et autres risques importants.

2220 – Champ d'application de la mission
Le champ défini doit être suffisant pour répondre aux objectifs de la mission.

2220.A1 – Le champ d'application de la mission doit englober l'examen des systèmes, dossiers, personnels et biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers.

2230 – Ressources affectées à la mission
Les auditeurs internes doivent déterminer quelles sont les ressources appropriées pour atteindre les objectifs de la mission. L'effectif nécessaire doit être défini sur la base d'une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission
Les auditeurs internes doivent élaborer un programme de travail permettant d'atteindre les objectifs de la mission. Ce programme de travail doit être enregistré.

2240.A1 – Le programme de travail doit définir les procédures à appliquer pour trouver, analyser, évaluer et enregistrer les informations lors de la mission. Le programme de travail doit être adopté avant le début des travaux et les ajustements éventuels doivent être approuvés rapidement.

2300 – Accomplissement de la mission
Les auditeurs internes doivent recueillir, analyser, évaluer et enregistrer suffisamment d'informations pour atteindre les objectifs de la mission.

2310 – Recherche d'informations
Les auditeurs internes doivent recueillir suffisamment d'informations fiables, pertinentes et utiles pour atteindre les objectifs de la mission.

2320 – Analyse et évaluation
Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.

2330 – Enregistrement des informations
Les auditeurs internes doivent enregistrer les informations sur lesquelles s'appuient les conclusions et les résultats de la mission.

2330.A1 – Le chef de l'audit doit contrôler l'accès aux dossiers de mission. Il doit, selon les besoins, obtenir l'accord de la direction et/ou d'un conseiller juridique avant de communiquer ces dossiers à des parties extérieures.

2330.A2 – Le chef de l'audit doit arrêter des règles en matière de conservation des dossiers de mission.  Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre en la matière.

2340 – Supervision de la mission
Les missions doivent faire l'objet d'une supervision appropriée afin de garantir la réalisation des objectifs, l'assurance de la qualité et le développement du personnel.

2400 – Communication des résultats
Les auditeurs internes doivent faire connaître rapidement les résultats de leur mission.

2410 – Critères relatifs à la communication des résultats
Les communications doivent inclure les objectifs et le champ d'application de la mission, ainsi que les conclusions, recommandations et plans d'action applicables.

2410.A1 – La communication finale des résultats doit, lorsqu'il y a lieu, contenir l'avis global de l'auditeur interne.

2410.A2 – Les communications relatives à la mission doivent faire état des réalisations satisfaisantes.

2420 – Qualité des communications
Les communications doivent être exactes, objectives, claires, concises, constructives et complètes ; elles doivent être émises en temps opportun.

2421 – Erreurs et omissions
Si une communication finale contient une erreur ou une omission importante, le chef de l'audit doit faire parvenir les informations corrigées à toutes les personnes qui ont reçu la première version de cette communication.

2430 – Indication de non-conformité de la mission aux Normes
Lorsque le non-respect des Normes a une incidence sur une mission particulière, la communication des résultats doit indiquer :

• la ou les Normes qui n'ont pas été entièrement respectées,
• la ou les raisons de la non-conformité, et
• l'incidence de la non-conformité sur la mission.

2440 – Diffusion des résultats
Le chef de l'audit doit diffuser les résultats aux personnes appropriées.

2440.A1 – Le chef de l'audit est chargé de communiquer les résultats définitifs aux personnes aptes à faire en sorte que ces résultats reçoivent l'attention voulue.

2500 – Contrôle de l'avancement des suites données
Le chef de l'audit doit mettre en place et tenir à jour un système permettant de contrôler la suite donnée aux résultats communiqués à la direction.

2500.A1 – Le chef de l'audit doit mettre en place un processus de suivi permettant de contrôler et de garantir que des mesures de gestion ont été mises en œuvre efficacement ou que la direction a accepté de prendre le risque de ne rien faire.

2600 – Acceptation des risques par la direction
Lorsque le chef de l'audit estime que la direction a accepté un niveau de risque résiduel qui est inacceptable pour l'organisation, il doit examiner la question avec la direction. S'ils ne peuvent arrêter une décision concernant le risque résiduel, le chef de l'audit et la direction doivent soumettre la question au conseil d'administration aux fins de résolution.

Glossaire

Valeur ajoutée – Les organisations ont pour raison d'être d'apporter une valeur ou des avantages à leurs propriétaires, leurs autres parties prenantes et leurs clients. Cette notion justifie leur existence. Leur valeur provient de la mise au point de produits et de services et de l'utilisation de ressources pour promouvoir ces produits et services. En collectant des données dans le but de comprendre et d'évaluer le risque, les auditeurs internes acquièrent une connaissance approfondie des opérations et des possibilités d'amélioration qui peut être extrêmement utile à leur organisation. Ils peuvent alors fournir des informations précieuses sous la forme d'une consultation, de conseils, de communications écrites ou d'autres produits, qui doivent tous être correctement portés à la connaissance du personnel de direction ou d'exploitation compétent.

Contrôle satisfaisant – Le contrôle interne est satisfaisant lorsque la direction a établi des plans et s'est dotée d'une structure donnant une assurance raisonnable que les risques que court l'organisation ont été gérés efficacement et que les buts et objectifs de l'organisation seront atteints d'une manière efficace et économique.

Services d'assurance – Il s'agit d'un examen objectif d'éléments concrets, effectué en vue de fournir à l'organisation une évaluation indépendante des processus de gestion des risques, de contrôle ou de gouvernement d'entreprise. Les missions peuvent porter, par exemple, sur des questions financières, de performances, de conformité, de sécurité des systèmes et de diligence.

Conseil d'administration - Un conseil d'administration proprement dit, le comité d'audit d'un tel conseil d'administration, l'autorité administrative ou le représentant légal à qui rendent compte les auditeurs internes, le conseil de surveillance d'une organisation sans but lucratif ou tout autre organe de direction d'une organisation.

Charte – La charte de la fonction d'audit interne est un document officiel qui définit les objectifs, les pouvoirs et les responsabilités de cette fonction. La charte doit (a) définir la position de la fonction d'audit interne dans l'organisation ; (b) autoriser l'accès aux documents, aux personnes et aux biens nécessaires à la bonne exécution des missions ; (c) définir le champ d'application des activités d'audit interne.

Chef de l'audit – Désigne le poste de plus haut niveau responsable des activités d'audit interne au sein de l'organisation. Dans un service d'audit interne traditionnel, il s'agit du directeur de l'audit interne. Dans le cas où les activités d'audit interne sont confiées à des prestataires de services extérieurs, le chef de l'audit est la personne chargée de surveiller l'exécution du contrat de services et l'assurance de la qualité d'ensemble de ces activités, de rendre compte des activités d'audit interne à la direction et au conseil d'administration, et d'assurer le suivi des résultats de la mission. Ce poste peut également porter le titre d'auditeur général, de chef de l'audit interne ou d'inspecteur général.

Code de déontologie – Le code de déontologie de l'Institute of Internal Auditors (IIA) vise à promouvoir une culture déontologique dans l'ensemble de la profession d'auditeur interne. Il est à la fois nécessaire et approprié que la profession d'auditeur interne dispose d'un code de déontologie, car elle est fondée sur la confiance dans l'assurance objective qu'elle donne en ce qui concerne les risques, le contrôle et le gouvernement d'entreprise. Le code de déontologie s'applique à la fois aux personnes et aux organismes qui fournissent des services d'audit interne.

Conformité – L'aptitude à garantir dans des limites raisonnables la conformité et l'adhésion aux politiques, plans, procédures, lois, règlements et contrats de l'organisation.

Conflit d'intérêts – Toute relation qui n'est pas ou ne semble pas être dans l'intérêt de l'organisation. Un conflit d'intérêts peut nuire à la capacité d'une personne d'assumer de façon objective ses devoirs et responsabilités.

Services de conseil – L'éventail des services, outre les services d'assurance relevant de l'audit interne, fournis dans le but d'aider la direction à atteindre ses objectifs. La nature et l'étendue du travail sont convenus avec le client. Ces services englobent, par exemple, l'animation, la conception de processus, la formation et les services à caractère consultatif.

Contrôle – Toute mesure prise par la direction, le conseil d'administration et d'autres parties afin d'améliorer la gestion des risques et d'accroître la probabilité que les buts et objectifs fixés soient atteints. La direction planifie, organise et dirige la mise en œuvre de mesures suffisantes pour donner une assurance raisonnable que les buts et objectifs seront atteints.

Environnement de contrôle – L'attitude et les actions du conseil d'administration et de la direction au regard de l'importance du contrôle dans l'organisation. L'environnement de contrôle constitue le cadre et la structure nécessaires à la réalisation des objectifs primordiaux du système de contrôle interne. L'environnement de contrôle englobe les éléments suivants :
 • intégrité et valeurs éthiques,
 • philosophie et style de direction,
 • structure organisationnelle,
 • attribution des pouvoirs et responsabilités,
 • politiques et pratiques relatives aux ressources humaines,
 • compétence du personnel.

Processus de contrôle – Les politiques, procédures et activités faisant partie d'un cadre de contrôle, visant à faire en sorte que les risques soient contenus dans les limites de tolérance fixées par le processus de gestion des risques.

Mission – Une mission, tâche ou activité de révision particulière relevant de l'audit interne, comme un audit interne proprement dit, une auto-évaluation de contrôle, un audit de fraude ou une mission de conseil. Une mission peut englober une multitude de tâches ou d'activités visant à atteindre un ensemble précis d'objectifs connexes.

Objectifs de la mission – Énoncés généraux élaborés par les auditeurs internes et définissant ce qu'il est prévu de réaliser pendant la mission.

Programme de travail de la mission – Un document énumérant les procédures à suivre lors d'une mission en vue de la réalisation du plan de la mission.

Prestataire de services extérieur – Une personne ou entreprise, indépendante de l'organisation, qui possède des connaissances, des aptitudes et une expérience particulières dans une discipline donnée. Parmi les prestataires de services extérieurs figurent les actuaires, les comptables, les experts, les spécialistes de l'environnement, les spécialistes des enquêtes sur les fraudes, les juristes, les ingénieurs, les géologues, les spécialistes de la sécurité, les statisticiens, les informaticiens, les auditeurs externes et les autres organisations d'audit. Le conseil d'administration, la direction et le chef de l'audit peuvent engager un prestataire de services extérieur.

Fraude – Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance. Ces actes ne dépendent pas de l'expression d'une menace de violence ou de l'usage de la force physique. Les fraudes sont perpétrées par des personnes et des organisations afin d'obtenir de l'argent, des biens ou des services, d'éviter le paiement ou la perte de services, ou de s'assurer un avantage personnel ou commercial.
Gouvernement d'entreprise – Les procédures mises en œuvre par les représentants des parties prenantes à l'organisation (actionnaires, etc.) afin d'assurer une surveillance des processus de gestion des risques et de contrôle administrés par la direction.
Atteintes – Parmi les atteintes à l'objectivité individuelle et à l'indépendance organisationnelle peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions d'accès aux dossiers, au personnel et aux biens, ainsi que les limitations des ressources (financement).

Activité d'audit interne – Assurée par un service, une division, une équipe de consultants ou tout autre praticien, c’est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. L’activité d’audit interne aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Objectivité – Attitude intellectuelle impartiale exigeant que les auditeurs internes exécutent leurs missions de manière telle qu'ils soient intimement convaincus par le fruit de leurs travaux et ne se prêtent à aucune concession majeure en matière de qualité. L'objectivité exige que les auditeurs internes ne subordonnent pas leur propre jugement, en matière d'audit, à celui d'autres personnes.

Risque – Possibilité qu'il se produise un événement susceptible d'avoir un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.