L'Institute of Internal Auditors a publié les Normes mondiales d'audit interne 2024 le 9 janvier 2024, et elles sont devenues obligatoires le 9 janvier 2025. Ces normes ont restructuré le Cadre de référence international des pratiques professionnelles (CRIPP ou IPPF en anglais) en cinq domaines intégrés, créant un système standardisé pour la pratique de l'audit interne à l'échelle mondiale. Les organisations doivent appliquer ces normes obligatoires pour maintenir leur conformité et maximiser la valeur de l'audit interne au sein de leurs entreprises.
L'Institute of Internal Auditors est l'organisme professionnel mondialement reconnu responsable de l'établissement des normes, des certifications et des orientations pour les praticiens de l'audit interne dans tous les secteurs. Avec des membres dans plus de 115 pays, l'IIA sert d'autorité de référence sur la pratique de l'audit interne, garantissant que les fonctions d'audit interne du monde entier fonctionnent selon des lignes directrices cohérentes qui respectent l'intégrité professionnelle et l'efficacité.
Les Normes mondiales d'audit interne établissent le cadre fondamental qui guide la pratique de l'audit interne à l'échelle mondiale et permet aux organisations d'évaluer la qualité de l'audit. Sans adhésion à ces normes obligatoires, les activités d'audit interne manquent de crédibilité auprès des parties prenantes et compromettent leur capacité à fournir une assurance significative sur la gouvernance, la gestion des risques et les contrôles organisationnels.
Un cadre d'audit interne efficace fondé sur les normes IIA apporte des avantages essentiels :
Premièrement, il établit des attentes claires en matière de performance, garantissant la cohérence entre les fonctions d'audit à l'échelle mondiale et permettant aux équipes d'audit de comparer leurs pratiques avec celles d'organisations homologues.
Deuxièmement, les normes créent un langage commun entre l'audit interne, la direction générale et les organes de gouvernance concernant ce que l'audit doit accomplir, comment une équipe d'audit doit se comporter et quelles ressources la fonction nécessite.
Troisièmement, l'adhésion signale aux régulateurs, aux investisseurs et aux parties prenantes que l'organisation maintient une fonction d'audit professionnelle fournissant une assurance fiable et s'est engagée en faveur d'une supervision de qualité.
Quatrièmement, le cadre permet à l'audit interne de démontrer sa conformité par le biais d'évaluations qualité formelles, créant une transparence sur l'efficacité de l'audit et les domaines d'amélioration.
Les organisations qui adoptent ces normes sont mieux positionnées pour identifier les risques émergents avant qu'ils ne se transforment en crises organisationnelles, maintenir des contrôles efficaces au milieu des changements opérationnels et de la transformation numérique, et fournir des informations stratégiques soutenant les objectifs organisationnels.
Les normes établissent également des mécanismes de responsabilisation protégeant le statut professionnel et l'indépendance des auditeurs internes, leur permettant de fournir des évaluations franches sans influence indue ni interférence de la direction.
Le Conseil international des normes d'audit interne supervise le développement et l'évolution des Normes mondiales d'audit interne, garantissant que l'IPPF reflète les pratiques actuelles de gouvernance organisationnelle, les risques émergents et les attentes de la profession d'audit mondiale.
Les Normes mondiales d'audit interne 2024 consolident les éléments séparés de l'ancien IPPF (Définition de l'audit interne, Principes fondamentaux, Code de déontologie et Normes internationales) en un cadre unifié organisé en cinq domaines interconnectés, créant une approche intégrée qui reflète la manière dont l'audit interne fonctionne réellement au sein des organisations.
Le Domaine I s'appuie sur les Normes 1000 et 1100, en articulant pourquoi les fonctions d'audit interne existent : pour améliorer et protéger la valeur organisationnelle par une assurance objective et fondée sur les risques. Le domaine souligne que la mission de l'audit interne s'étend au-delà de la conformité à la création de valeur stratégique et aborde explicitement les exigences relatives à la charte d'audit interne précédemment trouvées dans la Norme 1000, aidant à justifier les budgets d'audit et les besoins en ressources auprès de la direction générale et des conseils d'administration.
Le Domaine II remplace l'ancien Code de déontologie autonome et intègre la Norme 1200 (Compétence et conscience professionnelle). Les cinq principes fondamentaux (Faire preuve d'intégrité, Maintenir l'objectivité, Faire preuve de compétence, Exercer la conscience professionnelle et Maintenir la confidentialité) consolident le cadre comportemental obligatoire précédemment dispersé dans le Code de déontologie et les normes de la série 1200. En intégrant l'éthique directement dans les normes obligatoires, le cadre signale que la compétence et le comportement éthique sont non négociables et fondamentaux pour la pratique de l'audit interne.
Le Domaine III s'inspire largement des Normes 1300 et 2000, établissant trois principes de gouvernance fondamentaux : le Principe 6 (Mandaté par le conseil) issu de la Norme 1000, le Principe 7 (Positionné de manière indépendante) issu de la Norme 1100, et le Principe 8 (Supervisé par le conseil) issu de la Norme 1300. Le domaine introduit des « conditions essentielles », c'est-à-dire des activités spécifiques que le conseil d'administration et la direction générale doivent accomplir pour que l'audit interne réussisse. Cela représente une amélioration significative qui reconnaît que l'efficacité de l'audit interne dépend du soutien actif du conseil et de la direction.
Le Domaine IV consolide les Normes 2000 à 2060, abordant la planification stratégique, la gestion des ressources, la communication avec les parties prenantes et l'amélioration de la qualité. Alors que les normes précédentes abordaient la planification (2010), la gestion des ressources (2030) et la communication (2020) séparément, le Domaine IV intègre ces éléments dans un cadre complet avec une plus grande spécificité concernant la planification stratégique et les indicateurs clés de performance qu'auparavant.
Le Domaine V remplace les Normes 2100 à 2600, maintenant le cadre de planification des missions de la Norme 2200 tout en ajoutant des exigences explicites pour l'évaluation des risques des missions et l'analyse des causes profondes (par rapport aux Normes 2300 et 2320). Le domaine souligne que les constats nécessitent la compréhension des causes sous-jacentes pour une remédiation efficace, et exige des conclusions de mission concernant l'efficacité de la gouvernance, de la gestion des risques et du contrôle. Il s'agit d'une amélioration par rapport aux normes de communication précédentes (série 2400).
Les quinze principes fondamentaux intégrés dans les domaines fournissent la base d'un audit interne efficace et sont des éléments obligatoires que les fonctions d'audit interne doivent démontrer.
Le principe « Faire preuve d'intégrité » établit que les auditeurs internes doivent agir avec honnêteté, transparence et éthique, car la crédibilité organisationnelle dépend de la conviction des parties prenantes que l'auditeur rapportera la vérité même lorsque les constats sont défavorables. Les principes « Maintenir l'objectivité » et « Faire preuve de compétence » garantissent des évaluations impartiales fondées sur des connaissances et une expertise expertes.
Le principe « Exercer la conscience professionnelle » oblige les auditeurs à appliquer les compétences, la diligence et le scepticisme professionnel appropriés lors de la planification et de l'exécution du travail. « Maintenir la confidentialité » protège les informations sensibles consultées pendant les audits, permettant à la direction et au conseil de partager des perspectives franches avec l'audit interne.
Les dix principes restants abordent les dimensions structurelles et opérationnelles. « Mandaté par le conseil » et « Positionné de manière indépendante » établissent une autorité claire et une distance appropriée par rapport à la direction opérationnelle. « Supervisé par le conseil » reflète le fait que les comités d'audit doivent surveiller activement la performance de l'audit interne et fournir des retours.
Les principes « Planifier de manière stratégique » et « Gérer les ressources » garantissent l'alignement avec les objectifs organisationnels et un approvisionnement adéquat en ressources financières, humaines et technologiques. « Communiquer efficacement » reconnaît que la valeur de l'audit dépend de la compréhension par les parties prenantes des constats et des recommandations.
« Améliorer la qualité » et « Planifier les missions efficacement » abordent l'amélioration continue et les approches d'audit disciplinées. « Réaliser le travail de mission » et « Communiquer les résultats de mission et assurer le suivi des plans d'action » complètent le cadre pour l'exécution de l'audit et garantissent que la direction donne suite à la remédiation.
La mise en œuvre réussie des Normes mondiales d'audit interne 2024 nécessite une approche structurée commençant par une évaluation honnête et une planification systématique de remédiation. Le directeur de l'audit interne porte la responsabilité première de diriger cette mise en œuvre, bien que l'effort nécessite une collaboration avec le conseil d'administration, la direction générale et l'ensemble de l'équipe d'audit.
Les activités clés de mise en œuvre comprennent :
L'Institut Français de l'Audit et du Contrôle Internes (IFACI), représentant français de l'IIA, accompagne les organisations françaises dans cette transition vers les normes 2024. L'IFACI propose des formations certifiantes, des outils d'auto-évaluation en français et des benchmarks sectoriels permettant aux auditeurs internes d'évaluer leur maturité par rapport aux quinze principes fondamentaux. Pour les organisations françaises multi-sites ou les filiales de groupes internationaux, l'IFACI offre également un réseau de pairs facilitant le partage de bonnes pratiques sur des enjeux spécifiques comme l'audit des processus de conformité RGPD, l'évaluation des dispositifs anti-corruption (loi Sapin II) ou l'audit des risques ESG. Cette infrastructure de soutien locale rend la mise en œuvre des normes IIA plus accessible pour les équipes d'audit de toutes tailles, des PME aux multinationales.
Les organisations doivent également initier des conversations directes avec les comités d'audit et les conseils d'administration concernant les conditions essentielles du Domaine III, garantissant une compréhension complète du soutien que le conseil et la direction générale doivent fournir pour permettre l'efficacité de l'audit interne. Ces conversations doivent aborder la responsabilité du conseil d'approuver le mandat, la charte, le plan, le budget et les ressources, ainsi que l'interaction régulière pour superviser l'efficacité de la fonction.
Les normes IIA complètent d'autres cadres d'assurance importants auxquels les organisations sont confrontées. Le Public Company Accounting Oversight Board (PCAOB) américain exige que les cabinets d'audit externe évaluent la compétence et l'objectivité de l'audit interne lors de la détermination du périmètre d'audit. En France, le Haut Conseil du Commissariat aux Comptes (H3C) assure une mission similaire de supervision de la profession des commissaires aux comptes.
Les équipes d'audit externe peuvent s'appuyer plus fortement sur le travail de l'audit interne lorsqu'elles ont confiance que la fonction fonctionne selon des normes rigoureuses et mondialement reconnues, créant un lien direct entre la conformité aux normes IIA et l'efficacité de l'audit externe.
L'ISO 19011, la norme internationale pour l'audit des systèmes de management, démontre une cohérence substantielle avec les normes IIA. Les sept principes d'audit de l'ISO 19011 (intégrité, présentation impartiale, conscience professionnelle, confidentialité, indépendance, approche fondée sur les preuves et approche fondée sur les risques) s'alignent étroitement avec les quinze principes fondamentaux de l'IIA. Alors que l'ISO 19011 fournit des orientations spécifiques à l'audit des systèmes de management, les normes IIA établissent des exigences plus larges pour les fonctions d'audit interne organisationnel à travers tous les types d'audit et domaines de risque.
L'ISO 31000 et les normes IIA se complètent en matière de gestion des risques. L'ISO 31000 guide la façon dont les organisations doivent gérer les risques, tandis que les normes IIA définissent comment l'audit interne évalue l'efficacité des processus de gestion des risques et de contrôle.
Ces cadres permettent aux organisations de construire des écosystèmes d'assurance intégrés où les fonctions d'audit interne, d'audit externe et de gestion des risques travaillent ensemble.
Les normes mondiales d'audit interne reflètent l'environnement de risque de plus en plus complexe auquel les organisations sont confrontées et le rôle élargi de l'audit interne dans la création et la protection de la valeur organisationnelle. En consolidant les orientations précédentes en cinq domaines intégrés soutenus par quinze principes fondamentaux, les normes créent un cadre cohérent s'alignant avec la manière dont les organisations fonctionnent réellement.
Les fonctions d'audit interne qui mettent en œuvre ces normes de manière réfléchie (par le biais de chartes mises à jour, de stratégies formalisées, d'évaluations qualité, de conversations de gouvernance renforcées et d'engagement des parties prenantes) fourniront l'assurance indépendante, les informations fondées sur les risques et les orientations stratégiques dont les organisations ont besoin pour naviguer dans l'incertitude et atteindre leurs objectifs.