Les normes de l'audit interne se proposent :
· Définir les principes de base ;
· Fournir un cadre de référence ;
· Etablir des critères d'appréciation ;
· Etre un facteur d'amélioration.
Pour atteindre ces objectifs ambitieux, on a
élaboré un document en cinq parties :
· Le code de déontologie : Ce court
document est désormais placé en tête des normes, comme pour
en souligner l'importance et signifier qu'il énonce des principes dont
l'auditeur ne saurait s'écarter sans trahir sa mission (72 % des
responsables d'audit interne font adhérer leurs auditeurs au code de
déontologie).
Le code énonce quatre principes fondamentaux,
déclinés en douze règles de conduite. Le contenu
Les quatre principes sont :
· L'intégrité, base de la confiance
accordée aux auditeurs ;
· L'objectivité, déjà
explicitée à propos de l'indépendance ;
· La confidentialité, impérative, sauf
obligation légale ;
· La compétence, impliquant la mise à jour
des connaissances.
· Les douze règles de conduite
Elles déclinent l'application des quatre principes
fondamentaux de façon claire et pratique, et peuvent se résumer
ainsi :
· Accomplir honnêtement les missions ;
· Respecter la loi ;
· Ne pas prendre part à des activités
illégales ;
· Respecter l'éthique ;
· Etre impartial ;
· Ne rien accepter qui puisse compromettre le jugement ;
· Révéler les faits significatifs ;
· Protéger les informations ;
· Ne pas en tirer un bénéfice personnel ;
· Ne faire que ce qu'on peut faire ;
· Améliorer ses compétences ;
· Respecter les normes.
Ces principes ne sont pas sans poser quelques problèmes,
en dépit d'une utilité certaine.
· les normes de qualification (série 1000)
qui énoncent les caractéristiques que doivent
présenter les services d'audit interne et les personnes qui en font
partie ;
· les normes de fonctionnement (série
2000) qui décrivent les activités d'audit interne et
définissent des critères de qualité ;
· les normes de mise en oeuvre (série 1000
ou 2000 assortie d'une lettre) qui déclinent les
précédentes pour des missions spécifiques.
Ces trois séries de normes sont obligatoires, avec cette
nuance : certaines utilisent le mot must pour signifier qu'on est en
présence d'une exigence impérative, d'autres le mot should,
ce qui signifie qu'il peut y avoir exception lorsque des
adaptations sont justifiées par les circonstances.
Elles sont accompagnées d'interprétations et de
déclarations qui précisent les concepts utilisés et qu'il
est indispensable de prendre en considération.
Analysées avec les normes de qualification et de
fonctionnement auxquelles elles sont rattachées, les normes de mise en
oeuvre (NMO) sont assorties d'une lettre (précédée d'un
point) qui définit le type d'activité auquel elles se rapportent
soit, à ce jour :
- « A » pour audit (ou assurance) ;
- « C » pour conseil. En introduisant la fonction
conseil on confirme la parfaite cohérence entre les normes et la
définition de l'audit.
· S'y ajoutent les Modalités Pratiques d'Application
(MPA). Ce ne sont pas des normes à proprement parler puisqu'elles sont
facultatives, mais on précise qu'elles « font autorité
». Comme leur nom l'indique ce sont des conseils pratiques pour
l'application des normes. On perçoit bien que les auteurs ont voulu
signifier qu'à leurs yeux c'étaient les meilleures
réponses à la question « comment ? ». Mais dans le
même temps ils ont eu la sagesse de penser que les cultures des
organisations ou des pays pouvaient créer des difficultés
pratiques pour l'application des solutions préconisées. Et puis,
il n'est pas mauvais pour la recherche que çà et là se
développent des pratiques originales, dès l'instant que les
principes sont respectés.
En 2009, l'IFACI a complété ce schéma en
ajoutant les prises de position et les guides d'audit des SI (GTAG) qui,
s'ajoutant aux MPA constituent, avec les normes et le code de
déontologie, un véritable « Cadre de Référence
International des Pratiques professionnelles » (CRIPP).
Pas assez lues, trop peu connues, insuffisamment
enseignées, les normes contiennent tout ce qu'il faut savoir sur l'audit
interne. Certes, on n'apprend pas l'audit interne en lisant les normes tout
comme on n'apprend pas le droit civil en lisant le code civil, mais l'un et
l'autre constituent le document indispensable du bon professionnel.
En ce qui concerne l'utilité de ces normes elles
dépendent de la diversité des interprétations qui montre
bien que l'on est en présence d'une matière évolutive et
qu'à partir des grands principes nous ne sommes pas au terme des
commentaires tout comme le droit ne cesse de se créer sous la double
influence de la doctrine et de la jurisprudence. Mais cette relativité
ne doit pas faire méconnaître l'utilité, et partant, la
nécessité de disposer de normes précises :
· L'existence de principes fondamentaux affirmés par
la communauté internationale des auditeurs crée l'unité
des objectifs et de la méthode. Elle contribue donc très
largement à la création de la fonction d'audit interne qui, sans
elle, risquerait fort de n'être qu'une addition de pratiques diverses et
hétéroclites.
· Non seulement ces principes fondamentaux ont permis la
création de la fonction mais ils permettent son constant
développement et son amélioration par les commentaires et
modalités d'application qu'ils suscitent, tant il est
vrai qu'on ne construit valablement que sur des fondations solides.
Mais l'édifice n'est pas achevé.
· En définissant et en exigeant un programme
d'assurance qualité les normes hissent l'audit interne au niveau des
activités organisées et certifiées.
· Enfin, et surtout, l'existence de normes permet aux
différents acteurs de la fonction d'audit interne d'exercer celle-ci
avec plus d'autorité : la référence à une fonction
organisée est un label de qualité qui renforce les services
d'audit interne dans les entreprises et les organisations.
Mais cette dernière observation oblige à rappeler
le caractère « relatif » de cette utilité. Les normes
d'audit interne ne sont, en effet, assorties d'aucune sanction ; et pour cause
: les directions Générales des entreprises ou les Administrations
n'ont pas à se soumettre aux directives de l'Institut International ou
des Instituts Nationaux d'audit interne. Elles peuvent même, à la
limite, édicter des règles contraires aux normes... C'est
qu'à la différence des professions organisées et
réglementées l'audit interne n'est pas une profession
indépendante, si tant est que ce soit une « profession ».
C'est donc exclusivement par leur autorité morale que les Instituts
pourront faire prospérer leurs recommandations et par voie de
conséquence, donner à leurs membres plus d'autorité et
donc plus d'indépendance. Et c'est pour affirmer cette autorité
morale que l'on a inclus dans les normes professionnelles le code de
déontologie et consacré de longs développements à
la fraude.
