PRINCIPES FONDAMENTAUX

1. Faire preuve d’intégrité

2. Faire preuve de compétence et de conscience professionnelle
3. Etre objectif et libre de toute influence indue (indépendant)
4. Etre en phase avec la stratégie, les objectifs et les risques de l’organisation
5. Etre positionné de manière appropriée et disposer des ressources adéquates
6. Démontrer la qualité de l’audit interne et son amélioration continue
7. Communiquer de manière efficace
8. Fournir une assurance fondée sur une approche par les risques
9. Etre perspicace, proactif et orienté vers le futur
10. Encourager le progrès au sein de l’organisation

DÉFINITION DE L’AUDIT INTERNE

L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en
faisant des propositions pour renforcer leur efficacité.

CODE DE DÉONTOLOGIE

Le Code de Déontologie de l’Institut a pour but de promouvoir une culture de l’éthique au sein
de la profession d’audit interne.
Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective sur
les processus de gouvernement d’entreprise, de management des risques, et de contrôle, il était
nécessaire que la profession se dote d’un tel code.
Le code de déontologie va au-delà de la Définition de l’Audit Interne et inclut deux
composantes essentielles :
Des principes fondamentaux pertinents pour la profession et pour la pratique de l’audit interne ;
Des règles de conduite décrivant les normes de comportement attendues des auditeurs internes.
Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux et ont pour but
de guider la conduite éthique des auditeurs internes.
On désigne par << Auditeurs Internes >> les membres de l’Institut, les titulaires de certifications
professionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes proposant des
services entrant dans le cadre de la Définition de l’Audit Interne.

Champ d’application et caractère obligatoire

Le code de déontologie s’applique aux personnes et aux entités qui fournissent des services
d’audit interne. Toute violation du Code de Déontologie par des membres de l’Institut, des
titulaires de certifications professionnelles de l’IIA ou des candidats à celles-ci, fera l’objet
d’une évaluation et sera traitée en accord avec les Statuts de l’Institut et ses Directives
Administratives. Le fait qu’un comportement donné ne figure pas dans les Règles de Conduite

1
ne l’empêche pas d’être inacceptable ou déshonorant et peut donc entraîner une action
disciplinaire à l’encontre de la personne qui s’en est rendu coupable.

Principes fondamentaux

Il est attendu des auditeurs Internes qu’ils respectent et appliquent les principes fondamentaux
suivants :

Intégrité :

L’intégrité des auditeurs internes est à la base de la confiance et de la crédibilité accordées à leur
jugement.

Objectivité :

Les auditeurs internes montrent le plus haut degré d’objectivité professionnelle en collectant,
évaluant et communiquant les informations relatives à l’activité ou au processus examiné. Les
auditeurs internes évaluent de manière équitable tous les éléments pertinents et ne se laissent pas
influencer dans leur jugement par leurs propres intérêts ou par autrui.

Confidentialité :

Les auditeurs internes respectent la valeur et la propriété des informations qu’ils reçoivent ; ils
ne divulguent ces informations qu’avec les autorisations requises, à moins qu’une obligation
légale ou professionnelle ne les oblige à le faire.

Compétence :

Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et expériences
requis pour la réalisation de leurs travaux.

Règles de conduite
Intégrité

Les auditeurs internes :

 Doivent accomplir leur mission avec honnêteté, diligence et responsabilité.

 Doivent respecter la loi et faire les révélations requises par les lois et les règles de la
profession.
 Ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des
actes déshonorants pour la profession d’audit interne ou leur organisation.
 Doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

Objectivité

2
Les auditeurs internes :

 Ne doivent pas prendre part à des activités ou établir des relations qui pourraient
compromettre ou risquer de compromettre le caractère impartial de leur jugement. Ce
principe prévaut également pour les activités ou relations d’affaires qui pourraient entrer
en conflit avec les intérêts de leur organisation.
 Ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur
jugement professionnel.
 Doivent révéler tous les faits matériels dont Ils ont connaissance et qui, s’ils n’étaient pas
révélés, auraient pour conséquence de fausser le rapport sur les activités examinées.

Confidentialité

Les auditeurs internes :

 Doivent utiliser avec prudence et protéger les informations recueillies dans le cadre de
leurs activités.
 Ne doivent pas utiliser ces informations pour en retirer un bénéfice personnel, ou d’une
manière qui contreviendrait aux dispositions légales ou porterait préjudice aux objectifs
éthiques et légitimes de leur organisation.

Compétence

Les auditeurs internes :

 Ne doivent s’engager que dans des travaux pour lesquels ils ont les connaissances, le
savoir-faire et l’expérience nécessaires.
 Doivent réaliser leurs travaux d’audit interne dans le respect des Normes lnternationales
pour la Pratique Professionnelle de l’Audit Interne (Standards for the Professional
Practice of Internal Auditing).
 Doivent toujours s’efforcer d’améliorer leur compétence, l’efficacité et la qualité de
leurs travaux.

The International Auditing Standards Board

Une norme est un document d’ordre professionnel promulgué par « The International Auditing
Standards Board» (Comité interne à l’IIA chargé d’élaborer les normes).

L’audit Interne est exercé dans différents environnements juridiques et culturels ainsi que dans
des organisations dont l’objet, la taille, la complexité et la structure sont divers. li peut être en
outre exercé par des professionnels de l’audit, internes ou externes à l’organisation.

Comme ces différences peuvent influencer la pratique de l’audit interne dans chaque
environnement, il est essentiel de se conformer aux Normes internationales pour la pratique
professionnelle de l’audit interne de l’IIA (ci-après « les Normes ») pour que les auditeurs
internes et l’audit Interne s’acquittent de leurs responsabilités.

Lorsque la législation ou la réglementation empêchent les auditeurs internes ou l’audit interne de

respecter certaines dispositions des Normes, il est nécessaire d’en respecter les autres
dispositions et de procéder à une communication appropriée.

3
Si les Normes sont conjointement utilisées avec des dispositions d’autres organes de référence,
les communications de l’audit interne peuvent le cas échéant, citer l’utilisation d’autres normes.
S’il y a des contradictions entre les Normes et ces autres dispositions, les auditeurs internes et
l’audit interne doivent se conformer aux Normes et peuvent respecter les autres dispositions si
celles-ci sont plus exigeantes.

Les Normes ont pour objet :

de définir les principes fondamentaux de la pratique de l’audit interne;

de fournir un cadre de référence pour la réalisation et la promotion d’un large champ
d’intervention d’audit interne à valeur ajoutée;
d’établir les critères d’appréciation du fonctionnement de l’audit interne;
de favoriser J’amélioration des processus organisationnels et des opérations.

Les Normes sont des principes obligatoires constituées :

de déclarations sur les conditions fondamentales pour la pratique professionnelle de l’audit

interne et pour l’évaluation de sa performance. Elles sont internationales et applicables tant au
niveau du service qu’au niveau individuel.
d’interprétations clarifiant les termes et les concepts utilisés dans les déclarations.

Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement et des Normes
de Mise en œuvre. Les Normes de Qualification énoncent les caractéristiques que doivent présenter les
organisations et les personnes accomplissant des missions d’audit interne. Les Normes de
Fonctionnement décrivent la nature des missions d’audit Interne et définissent des critères de qualité
permettant de mesurer la performance des services fournis. Les Normes de Qualification et les Normes
de Fonctionnement s’appliquent à tous les services d’audit. Les Normes de Mise en œuvre précisent les
Normes de Qualification et les Normes de Fonctionnement en indiquant les exigences applicables dans
les activités d’assurance (A) ou de conseil (C).

LIGNES DIRECTRICES DE MISE EN ŒUVRE

LIGNES DIRECTRICES COMPLÉMENTAIRES

4
CRIPP (Cadre de référence international des pratiques professionnelles)

Le CRIPP édité le 1er Janvier 2009 et mis à jour en 2013 est le cadre conceptuel, qui regroupe
l’ensemble des dispositions obligatoires et fortement recommandées, édictées par l’IIA Global.
Ce cadre de référence est aussi une composante essentielle du CBOK qui constitue le corps de
connaissance commun prescrit par l’IIA pour guider les auditeurs internes dans l’exercice de
leur fonction et les renseigner sur l’évolution de la profession et de ses pratiques sur le plan
international.
Le CRIPP est constamment remis à jour via un processus de revue dynamique par apport de
précisions nouvelles via des publications fortement recommandées qui complètent et précisent
les normes, soit si nécessaire, un ajustement ou modification des normes au moins tous les trois
ans.
Le CRIPP comporte La définition de l’audit interne, Le code de déontologie, Les Normes
professionnelles de l’audit interne aussi que les prises de position, les modalités pratiques
d’application et les guides pratiques.
La mission de l’audit interne décrit l’objectif principal et constitue la clé de voûte de l’audit
interne. La mission de l’audit interne est d’accroître et préserver la valeur de l’organisation en
donnant avec objectivité une assurance, des conseils et des points de vue fondés sur une
approche par les risques.
La réalisation de cette mission repose sur la mise en œuvre des composantes du CRIPP.
Les composantes du CRIPP se regroupent en deux catégories :

5
Les Dispositions obligatoires sont
– Principes fondamentaux pour la pratique professionnelle de l’audit interne
– Définition de l’audit interne
– Code de déontologie
– Normes internationales pour la pratique professionnelle de l’audit interne (Normes)

Le respect de ces dispositions est nécessaire et essentiel pour une pratique professionnelle de
l’audit interne. Elles sont élaborées selon un processus de diligence raisonnable qui inclut une
consultation publique pour la prise en compte des avis des parties prenantes.
Les Dispositions recommandées sont des bonnes pratiques pour la mise en œuvre des lignes
directrices. (Elles sont uniquement accessibles aux adhérents).

Les dispositions recommandées du CRIPP sont :

 les lignes directrices de mise en œuvre
 les lignes directrices complémentaires

Adoptées par l’IIA Global dans le cadre d’un processus formel d’approbation, les dispositions
recommandées présentent les meilleures pratiques pour une mise en œuvre efficace de la
définition, des principes fondamentaux, du Code de déontologie et des Normes.

Pourquoi la Conformité au CRIPP est si importante ?

Le respect du CRIPP renforce la capacité de l’audit interne à fournir ses services, ce qui aide
l’organisation à améliorer sa gouvernance, à gérer les risques et à mettre en œuvre des
dispositifs de contrôle pour atteindre plus efficacement ses objectifs. Les auditeurs internes, les
comités d’audit, le management, le Conseil, les actionnaires et les régulateurs en sont
bénéficiaires.
L’audit interne devrait fonctionner avec le plus haut niveau de compétences déontologiques et
professionnelles afin d’assurer la cohérence et l’exactitude de l’assurance qu’il fournit.
Tout professionnel de l’audit interne et chaque fonction d’audit interne devraient suivre et
respecter le Cadre de référence international des pratiques professionnelles (CRIPP) de l’IIA.
L’audit interne devrait fonctionner dans le cadre d’une charte qui adopte le CRIPP, et les parties
prenantes ne devraient ni attendre ni accepter rien de moins.
Les parties prenantes devraient exiger que l’audit interne maintienne un programme d’assurance
et d’amélioration qualité et demander des revues périodiques et externes de ce programme.

Les parties prenantes doivent comprendre la situation de l’audit interne dans l’organisation et
exiger le plus haut niveau de performance professionnelle et déontologique.

La conformité, pour qui et pourquoi ?

Chaque professionnel de l’audit interne et toute fonction d’audit interne se doivent de respecter
les composantes obligatoires du CRIPP. En tant qu’ensemble d’exigences, fondées sur des
principes, pour la pratique et l’évaluation de l’audit interne applicables à l’échelle internationale,
les Normes sont essentielles au succès de ses missions.
La conformité est obligatoire pour :
 les membres de l’IIA ;
 les auditeurs internes certifiés (titulaires du CIA – certified internal auditor) ;
 les professionnels exerçant dans des pays qui requièrent le respect des Normes de l’IIA.

Respecter le CRIPP est essentiel pour fournir une véritable assurance

6
Indépendance et objectivité de l’audit interne

Pourquoi l'audit interne se doit d'être indépendant et objectif ? L'audit interne doit être
indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité.
L'indépendance c'est la capacité de l'audit interne et de son responsable à assumer, de
manière impartiale, leurs responsabilités.

Avant toute autre chose, les auditeurs se doivent de paraître indépendants pour que les
utilisateurs de l'information financière aient confiance dans l'opinion émise et la qualité de
l'information auditée.

L'engagement de l'auditeur interne à la fois dans les activités d'assurance et de conseil pourrait
affecter son indépendance dans la mesure où l'auditeur interne est appelé à définir et rédiger
des procédures de travail, dont il doit apprécier le fonctionnement en aval.

Compétences et qualités requises d’un auditeur interne

Les qualités du bon auditeur interne résident dans sa curiosité intellectuelle, sa diplomatie,
sa pédagogie, son autonomie, sa flexibilité, son aisance relationnelle et rédactionnelle sa
capacité à gérer les priorités, sa forte implication ainsi que le respect de principes
d'éthique et de confidentialité.

Compétences requises

 Maîtrise des méthodologies et techniques de contrôle interne.

 Connaissance globale de l'entreprise : culture, métiers, risques inhérents.
 Connaissance du management et de la planification de projets simultanés.
 Maîtrise de la gestion des risques et réglementation associée.

Compétences/Qualités d'un bon auditeur interne financier

 Capacité d'analyse et de synthèse.

 Maîtrise de l'anglais.
 Sens du contact et de l'écoute.
 Discrétion.
 Capacité d'adaptation.
 Bonne résistance au stress.

Qualités et compétences nécessaires pour être un bon auditeur interne

1. maîtriser des techniques d'audit ;

2. maîtriser des techniques de management de projet ;
3. avoir une parfaite connaissance de la gestion des risques de l'entreprise ;
4. avoir une bonne connaissance en comptabilité ;
5. avoir des connaissances en fiscalité.

7
Processus d’assurance et d’amélioration de la qualité

Un programme d’assurance et d’amélioration qualité couvre l’ensemble des missions

d’assurance et de conseil effectuées par l’audit interne. Les trois volets des programmes
d’assurance et d’amélioration de la qualité sont :

● La surveillance continue comprend la supervision courante, la revue et le pilotage des

indicateurs de l’audit interne. Elle est intégrée dans les procédures et les pratiques courantes de
gestion de la fonction d’audit interne. Elle s’appuie sur les processus, les outils et les
informations nécessaires pour évaluer la conformité avec le Code de déontologie et les Normes.

● Les évaluations périodiques sont conduites pour apprécier également la conformité avec le
Code de déontologie et les Normes. Ces évaluations portent également sur la charte d’audit
interne, les plans, les règles, les procédures et les pratiques de l’audit interne, ainsi que la
législation et réglementation en vigueur.

● Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur
ou une équipe qualifiés, indépendants et extérieurs à l’organisation.

Gouvernance, management des risques et contrôle

Dans le cadre du modèle des trois lignes de maîtrise :
• la première ligne de maîtrise correspond aux contrôles pilotés par le management,
• la deuxième ligne de maîtrise est celle des différentes fonctions instituées par le management
pour assurer le suivi du contrôle des risques et de la conformité,
• la troisième ligne de maîtrise est celle de l’assurance indépendante fournie par l’audit interne.
Chacune de ces trois « lignes » joue un rôle distinct dans le cadre de la gouvernance de
l'organisation.
Bien que les organes de gouvernance (Conseil / Comité d’audit et direction générale) se
distinguent des trois lignes de maîtrise, toute approche globale des systèmes de gestion des
risques implique, au préalable, la prise en compte des responsabilités de ces organes de
gouvernance. Ce sont les principales parties prenantes auxquelles chacune des trois lignes de
maîtrise apportent un appui. Ces organes de gouvernance sont les mieux placés pour faire en
sorte que le modèle des trois lignes de maîtrise soit pris en compte dans les processus de gestion
des risques et de contrôle de l'organisation.
Les organes de gouvernance ont collectivement la responsabilité et le devoir de rendre compte
de :
• la définition des objectifs de l'organisation,
• la définition des stratégies à adopter pour atteindre ces objectifs et,
• la mise en place de la gouvernance et des processus permettant d'optimiser la gestion des
risques associée à la réalisation de ces objectifs.

8
LA PREMIÈRE LIGNE DE MAÎTRISE : LES MANAGERS
Le modèle fondé sur les trois lignes de maîtrise établit une distinction entre trois groupes de
fonctions impliquées dans la gestion efficace des risques :
• les fonctions qui endossent et gèrent les risques.
• les fonctions qui assurent le suivi des risques.
• les fonctions qui fournissent une assurance indépendante.
En tant que première ligne de maîtrise, les managers endossent et gèrent les risques.
Ils ont également la responsabilité de la mise en œuvre des mesures correctives permettant de
remédier aux déficiences des processus et des contrôles.
Les managers sont responsables de la mise en place des dispositifs de contrôle interne efficaces
et de la mise en œuvre au quotidien des procédures de gestion des risques et de contrôle. Ils
identifient, évaluent, contrôlent et maîtrisent les risques, pilotent l'élaboration et la mise en
œuvre des règles et procédures internes et s'assurent que les activités sont compatibles avec les
objectifs fixés. Dans le cadre d'un système de responsabilité en cascade, le management
intermédiaire définit et met en place des procédures de contrôle détaillées et supervisent
l'application de ces procédures par leurs collaborateurs.
Les managers constituent la première ligne de maîtrise parce que la conception des contrôles et
leur intégration dans les systèmes et les processus s'effectuent sous leur supervision. Des
contrôles managériaux et de supervision adéquats devraient être en place pour assurer la
conformité ainsi que pour la mise en évidence des contrôles défaillants, des processus
inadéquats et des événements inattendus.

LA DEUXIÈME LIGNE DE MAÎTRISE : LES FONCTIONS DE

GESTION DES RISQUES ET DE CONFORMITÉ
Dans un monde parfait, une seule ligne de maîtrise serait peut-être suffisante pour assurer une
gestion des risques efficace. Toutefois la réalité est souvent toute autre.
Le management met en place différentes fonctions de gestion des risques et de conformité
chargées de contribuer à la mise au point et/ou à la surveillance des contrôles relevant de la
première ligne de maîtrise. Ces fonctions varient selon l'organisation et le secteur d'activité. La
deuxième ligne de maîtrise comprend typiquement :
• Une fonction (et/ou un comité) de gestion des risques qui facilite et surveille la mise en œuvre
de dispositifs efficaces de gestion des risques par le management et qui assiste les propriétaires
des risques dans la définition du niveau cible d'exposition aux risques et la communication
d'informations adéquates en matière de risques dans l'ensemble de l'organisation.
• Une fonction de conformité chargée de surveiller divers risques spécifiques tels que le non-
respect des lois et réglementations en vigueur. A ce titre, cette fonction distincte est directement
rattachée à la direction générale, voire dans certains secteurs d’activités, au Conseil.
• Il arrive souvent que plusieurs fonctions de conformité notamment en matière de santé et de
sécurité, de chaîne d'approvisionnement, d'environnement ou de qualité, coexistent dans une
même organisation.
• Une fonction de contrôle de gestion qui effectue le suivi des risques financiers et du reporting
financier.
Le management instaure ces fonctions pour s'assurer que la première ligne de maîtrise est bien
conçue, est effective et fonctionne comme prévu. Chacune de ces fonctions est, dans une
certaine mesure, indépendante de la première ligne de maîtrise, mais il s'agit, par nature, de
9
fonctions support du management. À ce titre, elles peuvent intervenir directement dans la
modification et la mise au point des systèmes de contrôle interne et de gestion des risques. La
deuxième ligne de maîtrise répond par conséquent à un objectif essentiel pour les organes de
gouvernance. Cependant, elle n'a pas la capacité de produire des analyses réellement
indépendantes concernant les dispositifs de gestion des risques et de contrôle interne.
Les responsabilités de ces fonctions varient, mais peuvent consister à :
• Soutenir les orientations du management, à définir les rôles et les responsabilités et à fixer des
objectifs relatifs à leur mise en œuvre.
• Elaborer des référentiels de gestion des risques.
• Identifier les enjeux connus et émergents.
• Expliciter les évolutions de l'appétence au risque de l'organisation.
• Aider le management à mettre au point des processus et des contrôles afin de gérer les risques
et les enjeux.
• Émettre des lignes directrices et dispenser des formations sur les processus de gestion des
risques.
• Faciliter et surveiller la mise en œuvre de processus efficaces de gestion des risques par le
management.
• Alerter le management à propos des enjeux émergents et de l'évolution de la réglementation ou
des scénarios de risques.
Surveiller l'adéquation et l'efficacité du contrôle interne, notamment en ce qui concerne
l'exactitude et l'exhaustivité du reporting, la conformité à la législation et à la réglementation et
la remédiation des défaillances en temps opportun.

LA TROISIÈME LIGNE DE MAÎTRISE : L'AUDIT INTERNE

Les auditeurs internes fournissent aux organes de gouvernance une assurance globale fondée sur
un plus haut degré d'indépendance organisationnelle et d'objectivité. L'audit interne fournit une
assurance sur l'efficacité de la gouvernance, de la gestion des risques et du contrôle interne, y
compris sur l’atteinte des objectifs de gestion des risques et de contrôle par les première et
deuxième lignes de maîtrise. L’assurance donnée par l’audit interne, qui est communiquée aux
organes de gouvernance, couvre généralement les domaines suivants :
• Un large éventail d'objectifs, liés notamment à l'efficience et à l'efficacité des opérations, à la
protection des actifs, à la fiabilité et à l'intégrité des processus de reporting et à la conformité
aux lois, règlementations, normes, procédures et contrats.
• Toutes les composantes du référentiel de gestion des risques et de contrôle interne, qui incluent
l'environnement de contrôle, l'identification des risques, leur évaluation et leur traitement,
l'information et la communication, ainsi que le pilotage.
• L'ensemble de l'entité, des divisions, filiales, unités opérationnelles et fonctions – y compris les
processus métier tels que les ventes, la production, le marketing, la sécurité, le service client et
les opérations –, ainsi que les fonctions support (comme la comptabilité clients et la comptabilité
fournisseurs, les ressources humaines, les achats, la paie, le budgeting, la gestion des
infrastructures et des actifs, les stocks et les systèmes d'information).
La mise en place d'un audit interne faisant preuve de professionnalisme devrait figurer parmi les
règles de gouvernance de toute organisation. Ce point est important non seulement pour les
organisations de grande dimension ou de taille moyenne, mais également pour les entités de
taille plus modeste, qui peuvent être confrontées à des environnements aussi complexes sans
disposer d'une structure organisationnelle aussi formalisée et robuste pour s’assurer de
l'efficacité de leurs processus de gouvernance et de gestion des risques.
10
L'audit interne contribue activement à l'efficacité du dispositif de gouvernance d'une
organisation sous réserve que certaines conditions – de nature à favoriser son indépendance et
son professionnalisme – soient remplies. Les bonnes pratiques en la matière consistent à mettre
en place et à maintenir une fonction d'audit interne indépendante, dotée de ressources et de
compétences adéquates et répondant notamment aux critères suivants :
• Appliquer les normes internationales généralement admises pour la pratique de l'audit interne.
Etre rattaché à un niveau suffisamment élevé dans l'organisation pour pouvoir assurer ses
responsabilités de manière indépendante.
• Avoir une relation étroite et effective avec le Conseil ou l’organe de gouvernance équivalent.

AUDITEURS EXTERNES, RÉGULATEURS ET AUTRES ORGANES

EXTERNES
Les auditeurs externes, les régulateurs et d’autres organes externes peuvent jouer un rôle
important dans le dispositif global de gouvernance et de contrôle d’une organisation. Tel est le
cas en particulier dans les secteurs d'activité réglementés, comme les services financiers ou
l'assurance. Il arrive parfois que les régulateurs aient des exigences visant à renforcer les
contrôles au sein des organisations et procèdent ponctuellement à des revues indépendantes et
objectives afin d'évaluer en tout ou partie les première, deuxième ou troisième lignes de maîtrise
à l'aune de ces exigences.
Sous réserve d'une coordination efficace, les auditeurs externes, les régulateurs et d'autres
groupes externes peuvent être considérés comme des lignes de maîtrise supplémentaires, qui
fournissent une assurance aux parties prenantes de l'organisation, notamment à ses organes de
gouvernance. Toutefois, compte tenu du périmètre et des objectifs spécifiques de leurs missions,
les informations relatives aux risques recueillies par ces intervenants sont généralement moins
complètes que celles relevant du périmètre d’activité des trois lignes de maîtrise internes à
l’organisation.

COORDINATION DES TROIS LIGNES DE MAÎTRISE

Étant donné que chaque organisation est unique et qu’il y a de nombreuses spécificités selon les
situations, il n'existe pas une « bonne » méthode en matière de coordination des trois lignes de
maîtrise. Toutefois, lors de l'attribution de tâches spécifiques et de la coordination des diverses
fonctions impliquées dans le processus de gestion des risques, il peut être utile de tenir compte
du rôle fondamental de chacun de ces groupes.

11
Chacune des trois lignes devrait exister sous une forme ou sous une autre dans toute
organisation, quelle qu'en soit la taille ou la complexité. Le système de gestion des risques est
généralement plus performant lorsqu'il existe trois lignes de maîtrise distinctes et clairement
définies. Toutefois, dans certains cas exceptionnels, en particulier dans les petites organisations,
certaines lignes de maîtrise peuvent être regroupées.
Par exemple, il arrive que l'audit interne soit chargé de mettre en place et/ou de diriger les
activités de gestion des risques ou de conformité d'une organisation. Dans ce cas, l'audit interne
devrait communiquer clairement l'impact de ce regroupement aux organes de gouvernance. Si
plusieurs responsabilités sont assignées à une même personne ou un même département, il serait
approprié d'envisager de dissocier ultérieurement les responsabilités de façon à mettre en place
les trois lignes.
Quelles que soient les modalités de mise en œuvre du modèle des trois lignes de maîtrise les
organes de gouvernance (direction générale et Conseil) devraient clairement souligner la
nécessité d'un échange d'informations et d'une coordination entre les différents acteurs de la
gestion des risques et des contrôles d'une organisation.
Les Normes internationales pour la pratique professionnelle de l'audit interne requièrent
expressément que les responsables de l'audit interne « partagent des informations et coordonnent
les activités avec les autres prestataires internes et externes d'assurance et de conseil » afin «
d'assurer une couverture adéquate et d’éviter les doubles emplois ».

PRATIQUES RECOMMANDÉES :
• Les processus de gestion des risques et de contrôle devraient être structurés selon le modèle
des trois lignes de maîtrise.
• Chaque ligne de maîtrise devrait s’appuyer sur des procédures et des définitions de rôles
appropriés.
• Il devrait y avoir une bonne coordination entre les différentes lignes de maîtrise pour favoriser
l'efficacité et l'efficience.
• Les fonctions de gestion des risques et de contrôle impliquées dans les différentes lignes
devraient procéder à un partage approprié de connaissances et d'informations afin d'aider
l'ensemble des fonctions à assurer leurs responsabilités de manière efficace.
• Les lignes de maîtrise ne devraient pas être regroupées ni coordonnées si cela compromet leur
efficacité.
• Lorsque des fonctions relevant de différentes lignes sont regroupées, les organes de
gouvernance devraient être informés de la structure adoptée et de son impact.
Pour les organisations qui n’ont pas mis en place d’activité d’audit interne, leurs organes de
gouvernance (direction générale et Conseil) devraient être tenus de préciser comment une
assurance adéquate concernant les dispositifs de gouvernance, de gestion des risques et de
contrôle sera obtenue et d’en informer leurs parties prenantes.

Risques de fraudes
Risques liés aux divers types de fraudes auxquels pourrait être exposée une organisation tant à
l'interne qu'à l'externe, ou à des actes répréhensibles supposant de la fraude, compte tenu des
activités de l'organisation.
Les éléments facilitateurs de la fraude

12
Le premier élément qui favorise la fraude est la peur : la peur du salarié de mal faire, de ne pas
répondre à la demande de sa hiérarchie. Vient ensuite l'absence de séparation des tâches,
pourtant connue comme étant un moyen efficace de lutte contre la fraude.

13