"Êtes-vous prêt à passer aux nouvelles Normes mondiales de l'audit interne ? C'est la question que nous avons posée aux participants de notre récent webinaire "Perspectives de l'audit interne". Et c'est une question que les responsables de l'audit interne et les membres du conseil d'administration devraient maintenant se poser. Dans notre webinaire, nous avons présenté les principaux changements que les nouvelles normes apportent à la profession et conclu que les fonctions d'audit interne doivent mettre à profit la période de transition en 2024 pour se préparer aux nouvelles exigences, les mettre en œuvre et en discuter avec leur conseil d'administration. Dans cet article, nous mettons en évidence les domaines sur lesquels vous devez vous concentrer dès maintenant, afin d'être prêt pour 2025.
Après un vaste processus de consultation publique l'année dernière, les nouvelles normes mondiales d'audit interne ont finalement été publiées le 9 janvier 2024 par l'Institut des auditeurs internes (IIA). Les nouvelles normes entreront en vigueur début janvier 2025 après une période de transition de 12 mois. Les normes actuelles (dites "IPPF" de 2017) resteront applicables tout au long de l'année 2024, mais l'IIA encourage l'adoption anticipée des nouvelles normes.
Plus de 80 % des fonctions de l'AI qui ont participé à notre webinaire n'ont pas encore évalué l'impact des nouvelles normes, et 75 % n'ont pas encore de budget pour la mise en œuvre des nouvelles normes au cours de l'année 2024. Nous réitérons donc les encouragements de l'IIA en faveur d'une adoption anticipée et pensons qu'il est important pour les fonctions IA et les conseils d'administration d'évaluer l'impact des nouvelles normes le plus tôt possible. Il ne faut pas sous-estimer les efforts nécessaires pour se conformer aux nouvelles exigences.
L'ampleur des lacunes à combler dépend du degré de maturité de votre fonction IA. Mais même les fonctions présentant relativement peu de lacunes auront beaucoup à faire, car la structure et le système de numérotation des nouvelles normes sont complètement différents de ceux de l'IPPF actuel.
Dans l'illustration ci-dessus, vous trouvez le cercle que nous connaissons tous : l'IPPF 2017. Les nouvelles Normes mondiales de l'audit interne intègrent les cinq éléments obligatoires du cadre 2017 et les Lignes directrices de mise en œuvre. Ces éléments sont désormais structurés en cinq domaines, 15 principes et 52 normes. Chaque norme est divisée en trois parties : les "Exigences" obligatoires qui contiennent les énoncés "doit" ; les "Considérations pour la mise en œuvre" qui montrent les pratiques communes et les meilleures pratiques qui sont attendues mais non obligatoires ; et, enfin, les "Exemples de preuves de conformité", qui contiennent une liste non exhaustive de conseils sur la façon de fournir des preuves de conformité aux exigences.
Les "exigences thématiques", qui visent à améliorer la cohérence et la qualité des services d'audit interne, constituent un élément entièrement nouveau. Il s'agit d'un élargissement intéressant du champ d'action des normalisateurs, car l'IIA ajoute maintenant des exigences obligatoires supplémentaires à respecter lors de la réalisation d'audits dans les domaines thématiques couverts par ces exigences. Les exigences thématiques n'existent pas encore, mais l'intention est de les introduire bientôt, par exemple dans les domaines de la cybersécurité, du développement durable et de l'ESG, de la gestion des tiers et de la gouvernance informatique, pour n'en citer que quelques-uns.
La bonne nouvelle, c'est qu'avant leur publication, ces exigences feront l'objet d'une consultation publique, et nous encourageons tous les professionnels ayant une expertise dans ces domaines à participer à leur élaboration. L'existence des nouvelles exigences thématiques et leur nature évolutive obligeront les fonctions d'IA à maintenir un processus de contrôle régulier. Dans le cas contraire, de nouveaux éléments obligatoires pourraient être manqués.
Comme nous l'avons souligné plus haut, de nombreuses fonctions d'audit interne doivent encore évaluer toutes les implications des nouvelles normes, et leurs conclusions dépendront également de la maturité relative de leurs pratiques et méthodologies actuelles. Selon nous, les responsables de l'audit interne et les conseils d'administration devraient saisir cette opportunité de changement transformationnel. Les normes vous fournissent une boîte à outils pour façonner la marque de l'audit interne et devenir des partenaires stratégiques de la direction de votre organisation.
Commencez par évaluer vos pratiques actuelles et ce qui est nécessaire pour répondre aux nouvelles exigences minimales et discutez de vos conclusions, de votre vision et de vos objectifs stratégiques avec le conseil d'administration. Discutez également du budget nécessaire. Une fois que vous avez une idée de l'impact, définissez un plan d'action pour la mise en œuvre des lacunes que vous avez identifiées. Et pour chaque lacune, réfléchissez à la manière dont elle peut améliorer vos pratiques, optimiser vos processus, responsabiliser votre personnel et accroître l'utilisation de la technologie afin d'améliorer votre fonction d'audit interne.
Si votre prochaine évaluation externe de la qualité (EEQ) est prévue pour 2024, demandez à votre évaluateur de réaliser l'évaluation des écarts par rapport aux nouvelles normes dans le cadre de l'EEQ. Cette opération peut facilement être combinée avec l'évaluation de la conformité et libérera vos propres ressources. Si votre CQE est prévu pour 2025, envisagez de l'avancer à 2024 ou de le programmer au début de 2025, de sorte que l'évaluation soit toujours réalisée par rapport aux normes de 2017, mais en donnant la possibilité de la combiner avec l'évaluation de l'écart par rapport aux nouvelles normes.