Modalits Pratiques dApplication

MPA 2120-3 Prise en compte, par laudit interne, des risques associs latteinte des objectifs stratgiques
Principale Norme de rfrence 2120.A1 L'audit interne doit valuer les risques arents au gouvernement d'entreprise, aux oprations et aux systmes d'information de l'organisation au regard de : latteinte des objectifs stratgiques de lorganisation ; la abilit et l'intgrit des informations nancires et oprationnelles ; l'ecacit et l'ecience des oprations et des programmes ; la protection des actifs ; le respect des lois, rglements, rgles, procdures et contrats.

1.

Il incombe la direction gnrale didentier et de grer les risques dans le cadre de latteinte des objectifs stratgiques de lorganisation. Il est de la responsabilit du Conseil de sassurer que tous les risques stratgiques sont identis, compris, et grs un niveau acceptable dans les limites des seuils de tolrance. Laudit interne devrait avoir connaissance de la stratgie de lorganisation, de la manire dont elle est mise en uvre, des risques qui lui sont associs et de la manire dont ils sont grs. Pour que laudit interne puisse mettre laccent sur les risques majeurs, la stratgie de lorganisation devrait tre un lment essentiel et dterminant du plan daudit fond sur lapproche par les risques. Laudit interne pourra alors tre en adquation avec les priorits stratgiques de lorganisation. De plus, cela permettra de sassurer que les ressources de laudit interne sont alloues aux domaines signicatifs. Lors de llaboration du plan daudit, laudit interne devrait mettre prot les travaux du management et des autres fonctions prestataires dassurance an didentier les risques qui reprsentent les principales menaces et les opportunits dans la ralisation des objectifs stratgiques de l'organisation.
MPA 2100

2.

3.

Commentaire IFACI1 Les activits dassurance ( assurance ) permettent dattester que les oprations et les processus de lorganisation sont conus, raliss et matriss conformment aux instructions de ses organes dirigeants et de ses parties prenantes.

Commentaire IFACI, Guide Pratique valuer ladquation du management des risques en utilisant la norme ISO 31000 , IIA/IFACI, dcembre 2010

IFACI - septembre 2013

Comme indiqu dans la MPA 2050-2, dirents prestataires internes ou externes (commissaires aux comptes, auditeurs qualit, auditeurs HSE, animateurs des auto-valuations, services fonctionnels DRH, DSI, directions juridiques, responsables de la conformit, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformit et lecacit des dispositifs dune organisation. Ces prestataires se distinguent en fonction : de leur positionnement et donc de leur degr dindpendance ; des destinataires de leurs opinions (management oprationnel, direction gnrale, Conseil, parties prenantes extrieures) ; de la mthode utilise pour garantir lobjectivit de leurs opinions ; de leur primtre dintervention (mtier, zone gographique, entit juridique, groupe, etc.). Parmi ces prestataires, laudit interne se distingue par son indpendance par rapport aux activits contrles. En eet, le positionnement au plus haut niveau de lorganisation donne laudit interne une vue densemble des processus et des risques tout en tant un interlocuteur privilgi des instances dirigeantes. Ainsi, selon le glossaire des Normes internationales, les activits dassurance de laudit interne se traduisent par un examen objectif dlments probants, eectu en vue de fournir une valuation indpendante des processus de gouvernement dentreprise, de management des risques et de contrle. La prise de position de lIFACI sur lurbanisme du contrle interne illustre les dirents niveaux de prestation dassurance. Dans leurs prconisations pour lapplication de larticle 41 de la 8me directive europenne (Directive 2006/43/CE), lECIIA et le Ferma propose ladoption dun modle comportant 3 lignes de dfense : En tant que premire ligne de dfense, le management est propritaire des risques. Il a donc la responsabilit de les valuer et de les grer. Il doit rendre compte de ces activits la direction gnrale. En tant que seconde ligne de dfense, le risk management (ainsi que les autres fonctions support telles que la conformit ou la qualit) facilite et surveille la mise en uvre de la gestion des risques par le management. Il assiste ces propritaires des risques dans la remonte dinformations adquates sur les risques tous les niveaux de lorganisation. En tant que troisime ligne de dfense, laudit interne fournit, partir dune approche fonde sur les risques, une assurance au Conseil et la direction gnrale sur lecacit de lvaluation des risques et sur leur gestion, y compris le fonctionnement de la premire et de la seconde ligne de dfense. Cette activit dassurance recouvre tous les lments du cadre organisationnel de management des risques (identification des risques, valuation des risques et suites donnes ces informations).

4.

Les opportunits et les menaces stratgiques guideront la dnition et la hirarchisation des initiatives stratgiques court et long terme par le management ou les investissements majeurs susceptibles de crer de la valeur pour les parties prenantes. Lors de l'laboration du plan daudit, laudit interne devrait envisager des missions d'assurance concernant ces initiatives stratgiques. Laudit interne sera ainsi en mesure de sassurer que les risques stratgiques sont grs un niveau acceptable en valuant tout ou partie des dispositifs de matrise correspondants. Laudit interne pourra galement envisager des missions de conseil qui auront un impact sur lvolution de lorganisation.
IFACI - septembre 2013

5.

Modalits Pratiques dApplication

6.

Aprs avoir identi les risques stratgiques intgrer dans le plan d'audit, laudit interne devrait sassurer que les comptences et les connaissances requises pour raliser les missions dassurance et de conseil portant sur ces problmatiques existent dans le service d'audit interne. Cette expertise pourra tre recherche en dehors du service daudit interne (prestations internes ou externalises).

IFACI - septembre 2013

MPA 2100