Institut français des auditeurs et contrôleurs internes
L'Institut français des auditeurs et contrôleurs internes (IFACI) est le chapitre français de l'Institute of Internal Auditors.
Fondé en 1965 sous le statut associatif, l'IFACI fédère 6 500 auditeurs issus de quelque 1 000 entreprises et institutions publiques.
L IFACI est présidé par Monsieur Paul-Henri Mézin depuis le 19 mars 2024.
Affilié à l'IIA (Institute of Internal Auditors ou Institut des auditeurs Internes), l'IFACI bénéficie d'un réseau de plus de 225 000 spécialistes de l'audit répartis dans 160 pays. Établi en 1941, l'IIA est un institut voué à l'établissement de standards professionnels d'audit interne. L'IIA veut être la voix de la profession (l'audit interne), son principal représentant et le défenseur de ses intérêts, une autorité reconnue en la matière, ayant un rôle majeur de formation.
Rôle de l'IFACI
modifierLa mission de l'IFACI est d'assurer le « leadership dynamique » de la profession de l'audit interne. Ceci inclut :
- Défendre et promouvoir les valeurs que les professionnels de l'audit interne apportent à leurs organisations ;
- Proposer une formation professionnelle complète et des opportunités de développement personnel ; développer des standards professionnels et des best-practices (bonnes pratiques) ; proposer un programme de certification ;
- La recherche, la dissémination et la promotion auprès des praticiens et des autres parties concernées, des connaissances en matière d'audit interne et de son rôle dans le contrôle interne, dans la gestion des risques, et la gouvernance d'entreprise ;
- Former les praticiens et tout public concerné ou intéressé aux meilleures pratiques de l'audit interne ;
- Réunir les auditeurs internes de tous pays, pour le partage de l'expérience et de l'information relatives à la pratique de l'audit interne.
Certification délivrée par l'IFACI
modifier- Le CPAI
Diplômes délivrés par l'IFACI en tant que chapitre de l'IIA
modifier- Certified Internal Auditor (CIA) - Le CIA est la principale certification professionnelle proposée par l'IIA. Ce diplôme est très largement reconnu par la profession et la communauté entrepreneuriale, et ce mondialement. Il représente pour un individu la démonstration de sa compétence et de son professionnalisme dans le domaine de l'audit interne.
Obtenir le CIA prouve la maîtrise professionnelle des connaissances nécessaires à la profession d'auditeur interne. Les certifiés CIA doivent en outre suivre une formation permanente.
Les standards professionnels
modifierL'IFACI a trois niveaux de standards professionnels :
Ces standards sont obligatoires pour les membres de l'IIA dans le monde entier, et pour toute organisation qui déclare les appliquer. Ces standards sont rassemblés dans ce qu'on surnomme le « Livre rouge ».
- Le code de déontologie inclut deux composantes essentielles :
- des principes fondamentaux pertinents pour la profession et pour la pratique de l’audit interne : intégrité, objectivité, confidentialité et compétence (acronyme mnémotechnique = IOCoCo) ;
- des règles de conduite décrivant les normes de comportement attendues des auditeurs internes. Ces règles sont une aide à la mise en œuvre pratique des principes fondamentaux et ont pour but de guider la conduite éthique des auditeurs internes.
Pour plus de détails sur ce code, cf. Code de déontologie#Code de déontologie des auditeurs interne.
- Les normes ont pour objet :
- de définir les principes fondamentaux de la pratique de l'audit interne ;
- de fournir un cadre de référence pour la réalisation et la promotion d'un large champ d’intervention d'audit interne à valeur ajoutée ;
- d'établir les critères d'appréciation du fonctionnement de l'audit interne ;
- de favoriser l'amélioration des processus organisationnels et des opérations.
- Les normes de qualification sont :
- normes 1000 : Missions, pouvoirs et responsabilités ;
- normes 1100 : Indépendance et objectivité ;
- Normes 1200 : Compétence et conscience professionnelle ;
- Normes 1300 : Programme d’assurance et d’amélioration de la qualité.
- Les normes de fonctionnement sont :
- Normes 2000 : Gestion de l’audit interne ;
- Normes 2100 : Nature du travail ;
- Normes 2200 : Planification de la mission ;
- Normes 2300 : Accomplissement de la mission ;
- Normes 2400 : Communication des résultats ;
- Normes 2500 : Surveillance des actions de progrès ;
- Normes 2600 : Acceptation des risques par la direction générale.
Modalités pratiques d'application (MPA)
modifierLes MPA ou pratiques conseillées ne sont pas des standards obligatoires, mais elles sont fortement recommandées aux membres par l'IFACI.
Selon Stephane Trébucq (IAE Bordeaux, dans "Analyse exploratoire des normes IFACI" cf. lien externe ci-dessous) elles sont « un savoir collectif en mouvement autorisant la souplesse et la diversité. » Elles sont des meilleures pratiques, préservant le possible ajustement à un contexte spécifique et la diversité procédurale.
Par exemple, TOTAL et AGF n’ont pas fait les mêmes choix en ce qui concerne l’articulation des travaux de l’audit interne et de l’audit externe dans le but de sécuriser l’information comptable et financière (Cf. revue Audit éditée par l'IFACI). Toutes les normes ne disposent pas de MPA, mais leur corpus s’enrichit progressivement (voir la série de nouvelles MPA en 2004, puis en 2006).
Les MPA sont codifiées par l'IFACI/IIA selon la même syntaxe que les normes qu'elles complètent :
- les MPA de qualification vont des MPA 1000 (Missions, pouvoirs et responsabilités) aux MPA 1300 (Assurance et amélioration de la qualité) ;
- les MPA de fonctionnement vont des MPA 2000 (Gestion de l’audit interne) aux MPA 2600 (Acceptation des risques par la direction générale).
Aides pratiques et de développement
modifierElles regroupent des cadres conceptuels et divers matériaux développés et/ou endossés par l'IIA, dont des monographies de recherche, livres, séminaires, conférences, et autres produits liés aux pratiques professionnelles de l'audit interne.
Exemples :
- le référentiel de contrôle interne de l’AMF 2006,
- COSO-1 (référentiel de contrôle interne défini par le Committee of Sponsoring Organizations of the Treadway Commission dont l'IIA est un des 5 membres),
- COSO-2 ou COSO-ERM (référentiel de gestion des risques).
Global Technology Audit Guide / Guide pratique d'audit des technologies de l'information (GTAG)
modifierLes GTAG sont écrits en langage pratique pour traiter d'un problème urgent lié à l'informatique (TIC), à la gestion, au contrôle et à la sécurité.
Les Global Technology Audit Guides (GTAG) sont des bonnes pratiques pour l'évaluation des risques liés aux technologies de l'information. Les 8 premiers volumes ont été traduits en français. Ils concernent :
- les contrôles des systèmes de l'information (GTAG 1) ;
- contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation (GTAG 2) ;
- audit continu : répercussions sur l'assurance, le pilotage et l'évaluation des risques (GTAG 3) ;
- management de l'audit des systèmes d'information (GTAG 4) ;
- le management et l'audit des risques d'atteinte à la vie privée (GTAG 5) ;
- gérer et auditer les vulnérabilités des technologies de l'information (GTAG 6) ;
- l'infogérance (GTAG 7) ;
- audit des contrôles applicatifs (GTAG 8).
À ce jour, l'IIA a publié les GTAGs suivantes, non encore traduites par l'IFACI :
- GTAG 9: Identity and Access Management
- GTAG 10: Business Continuity Management
- GTAG 11: Developing the IT Audit Plan
- GTAG 12: Auditing IT Projects
- GTAG 13: Fraud Prevention and Detection in an Automated World
Voir aussi
modifierArticles connexes
modifier- Audit
- La norme ISO 19011:2002 : Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental ;
- Contrôle interne
- Inspection générale
Liens externes
modifier- L'IFACI, Chapitre français de l'IIA
- Analyse exploratoire des normes IFACI, S. Trébucq et C. Diard <http://cermat.iae.univ-tours.fr/IMG/pdf/Communication_Diard_-_Trebucq.pdf>