L’IIA (Institute of Internal Auditors) a procédé à une révision des normes pour la pratique professionnelle de l’audit interne. Ces normes constituent le référentiel international qui régit l’exécution d’activités d’audit interne. Le nouveau texte, entré en vigueur le 1er janvier 2009, résulte de discussions menées au sein du « Internal Audit Standards Board » de l’IIA et d’une large consultation par soumission au plan international d’avant-projets pour commentaires publics. Cette révision intervient dans le contexte économique et financier  tourmenté que nous connaissons actuellement et rappelle plus que jamais le rôle fondamental que joue l’audit interne pour assister les Directions générales, les Comités d’audit et les Conseil d’administration dans leurs responsabilités d’assurer une saine gouvernance d’entreprise et la préservation des actifs de leur organisation.

Les normes d’audit interne ont pour objet :

• de définir les principes fondamentaux régissant la pratique de l’audit,
• de fournir un cadre de référence pour la réalisation du champ d’intervention d’un audit interne à valeur ajoutée,
• d’établir des critères d’appréciation du correct fonctionnement de l’audit interne et
• de favoriser l’amélioration des opérations et des processus de contrôle interne, de gestion des risques et de gouvernance d’entreprise.

Quatre principales modifications ont été apportées aux normes.

Des interprétations permettant de clarifier les normes

Ces interprétations ont été intégrées dans l’optique de lever des ambiguïtés possibles sur certains termes et concepts et sur la façon dont les normes doivent être implémentées. Les interprétations sont à comprendre comme des dispositions obligatoires. Il est à cet égard explicitement mentionné de prendre en considération tant les normes que leurs interprétations pour correctement appréhender et appliquer les normes.

Six nouvelles normes ont été ajoutées

Les six nouvelles normes concernent les points suivants :

1. La reconnaissance du caractère obligatoire de la définition de l’audit interne, du code de déontologie et des normes au sein de la charte d’audit interne, document officiel qui définit les objectifs, le positionnement, le champ d’intervention, l’autorité et les responsabilités de la fonction.
2. La communication et le dialogue direct de la fonction avec le Comité d’audit et/ou le Conseil d’administration.
3. L’inscription dans le champ d’intervention de la fonction de l’évaluation de la gouvernance des systèmes d’information dans son support à la stratégie et aux objectifs de l’organisation.
4. L’inscription dans le champ d’intervention de la fonction de l’évaluation de la possibilité de fraude et de la manière dont ce risque est géré au sein de l’organisation.
5. L’absence de responsabilité opérationnelle des auditeurs internes lorsqu’ils aident la Direction dans la conception et l’amélioration des processus de gestion des risques afin de préserver leur indépendance.
6. L’utilisation d’une mention de conformité aux normes dans les rapports émis par l’audit interne dans la mesure où les résultats du programme d’assurance et d’amélioration continue de la fonction le démontrent.

La formulation de normes a été modifiée

Bon nombre de normes ont été reformulées. Plus particulièrement, un certain nombre de normes utilisent désormais le mot « must » au lieu de « should » pour spécifier une exigence impérative de l’exécution de l’obligation mentionnée dans la norme par l’auditeur. D’autres normes continuent à utiliser le mot « should » pour indiquer que le respect de l’obligation mentionnée par la norme est exigé sauf si, en faisant preuve de jugement professionnel, des adaptations sont justifiées par les circonstances.

Des définitions de termes repris dans le glossaire ont été modifiées

Le glossaire a également été remanié et inclut désormais de nouvelles définitions comme, pour ne citer que quelques exemples, celles relatives aux termes « risk appetite », « significance », « information technology-based audit techniques » ou « IT governance ». Il est à cet égard explicitement mentionné de prendre en considération tant les normes et leurs interprétations que les terminologies spécifiques reprises dans le nouveau glossaire pour correctement comprendre et appliquer les normes.

Outre les clarifications apportées sur un bon nombre de normes, cette révision a le mérite de renforcer les responsabilités et des prérogatives de l’audit interne dans une actualité qui ne cesse de souligner ce que peut coûter à une organisation l’absence d’une fonction d’audit interne compétente et diligente.

Il convient toutefois de garder à l’esprit que la conformité aux normes n’est pas une fin en soi. La vérification de l’alignement sur les normes devrait surtout être le prétexte pour entamer une véritable réflexion sur l’efficacité de la fonction d’audit interne et sa contribution réelle à la surveillance des risques et à la protection des actifs. L’enjeu, qui prend d’autant plus de sens dans le contexte mouvementé que nous connaissons actuellement, est d’assurer le positionnement stratégique, la compétence et le dynamisme de cette fonction pour assister la Direction Générale, le Comité d’audit et le Conseil d’administration dans la supervision et l’investigation des zones de risque de l’organisation dont ils sont responsables.