Audit interne

Autres supports

CRITÈRES D’ÉVALUATIONNote de bas de page 1

RÔLE DE L’AUDIT INTERNENote de bas de page 2

La fonction Audit interne donne au conseil d'administration (par le biais de son comité d’audit) et à la haute direction d’une institution financière fédérale (l’institution) l’assurance indépendante de l’efficacité et du respect des processus de contrôle interne, de gestion des risques et de gouvernance de l’institution.

En vertu du Cadre de surveillance du BSIF et de son modèle des trois lignes de défense.

  • La gestion de première ligne (première ligne de défense) est chargée de maintenir des contrôles internes (politiques, procédures et personnel) et des processus de gestion des risques efficaces pour gérer les risques et favoriser l’atteinte quotidienne des objectifs de l’institution;

  • Les fonctions indépendantes de supervision dans l’ensemble de l’entreprise (la deuxième ligne de défense), notamment la Finance, la Conformité, l’Actuariat et la Gestion des risques (et la haute direction lorsque cette dernière assume la responsabilité de la supervision) sont chargées d’aider à créer des processus de contrôle interne et de gestion des risques de la première ligne de défense pour en surveiller l’efficacité;

  • La fonction Audit interne (la troisième ligne de défense) confirme à la haute direction et au conseil d’administration l’efficacité des processus de contrôle interne, de gestion des risques et de gouvernance utilisés par les deux premières lignes de défense et les fonctions de gouvernance d’entreprise fondées sur le niveau le plus élevé d’indépendance et d’objectivité au sein de l’institution. L’Audit interne peut également offrir des services de consultation et des conseils sur la façon d’améliorer les processus.

  • La haute direction et le conseil d’administration (ou « gouvernance d’entreprise ») sont chargés de fixer des objectifs et d’instaurer la propension à prendre des risques, de définir des stratégies pour atteindre ces objectifs à l’intérieur de la propension à prendre des risques, et d’établir des structures et processus de gouvernance pour gérer les risques liés à l’atteinte des objectifs.

QUALITÉ DE LA SUPERVISION EXERCÉE PAR L’AUDIT INTERNE

Les énoncés qui suivent décrivent les catégories de cotes d’évaluation de la fonction Audit interne.

La cote globale de la fonction tient compte de la pertinence de ses caractéristiques et de l’efficacité de l’exécution de son mandat, compte tenu de la nature, de la portée, de la complexité et du profil de risque de l’institution.  Les caractéristiques et des exemples d’indicateurs de rendement qui orientent le jugement de l’organisme de réglementation pour fixer une cote convenable sont énoncés ci‑dessous.
Supérieure

Les caractéristiques de la fonction Audit interne respectent ou surpassent les attentes prudentielles à l’égard de ce qui est considéré nécessaire compte tenu de la nature, de la portée, de la complexité et du profil de risque de l’institution. Elle est d’une grande efficacité. Ses caractéristiques et son rendement surpassent les attentes prudentielles.

Acceptable

Les caractéristiques de la fonction Audit interne satisfont aux attentes prudentielles à l’égard de ce qui est considéré nécessaire compte tenu du mandat, de la portée, de la complexité et du profil de risque de l’institution. Ses caractéristiques et son rendement satisfont aux attentes prudentielles.

Besoin d’amélioration

Les caractéristiques de la fonction Audit interne satisfont généralement aux attentes prudentielles à l’égard de ce qui est considéré nécessaire compte tenu du mandat, de la portée, de la complexité et du profil de risque de l’institution, mais pourraient être améliorés à certains égards, sans quoi cela pourrait nuire à son efficacité à l’avenir ou dans certaines circonstances. Elle estest généralement efficace, mais doit améliorer sa prestation à l’égard d’aspects clés de son mandat. À condition d’être apportées sans tarder, les améliorations requises ne sont pas nature à soulever des craintes en matière de surveillance prudentielle. Ses caractéristiques ou son rendement dérogent parfois aux attentes prudentielles.

Inférieure

Les caractéristiques de la fonction Audit interne ne satisfont pas aux attentes prudentielles à l’égard de ce qui est considéré  nécessaire compte tenu de la nature, de la portée, de la complexité et du profil de risque de l’institution, ce qui pourrait nuire à son efficacité à l’avenir ou dans certaines circonstances. Ses caractéristiques ou son rendement satisfont rarement aux attentes prudentielles.

CARACTÉRISTIQUES DE L’AUDIT INTERNENote de bas de page 3

Les critères énoncés ci‑dessous décrivent les caractéristiques qu’utilise le BSIF pour évaluer la qualité de l’analyse indépendante de la fonction Audit interne et l’efficacité des rapports sur les contrôles internes, la gestion des risques et la gouvernance de l’institution qui sont remis à la haute direction et au conseil d’administration. L’application et la pondération de chaque critère dépendent de la nature, de la portée, de la complexité et du profil de risque de l’institution; elles sont évaluées collectivement, de concert avec le rendement de la fonction Audit interne, pour noter l’efficacité globale de cette dernière.

Éléments essentiels Critères
1. Mandat

1.1 Mesure dans laquelle le mandat de la fonction établit les éléments suivants :

  1. des objectifs et attributions pour la fonction et l’auditeur interne en chef (AIC);

  2. le pouvoir global qui englobe toutes les activités de l’institution, y compris toutes les entités juridiques, les activités dans des pays étrangers et les activités imparties. Ce pouvoir doit embrasser les processus de contrôle interne, de gestion des risques et de gouvernance utilisés par l’institution aux deux premières lignes de défense, et les fonctions de gouvernance de l’entreprise;

  3. le pouvoir d’exécuter ses attributions sans lien de dépendance avec les fonctions auditées. La fonction doit être dénuée de conflits d’intérêts ou d’influence excessive de la direction des entités auditées ou de la haute direction de l’institution. La fonction ne doit pas participer directement à la gestion, à la prise de décisions ou à l’exécution des activités auditées;

  4. le droit d’accès aux documents, aux renseignements et aux employés de l’institution;

  5. l’obligation de se prononcer sur l’efficacité et le respect des processus de contrôle interne, de gestion des risques et de gouvernance de l’institution, ce qui comprend (entre autres) une opinion sur les questions de réglementation ou de prudence, notamment les processus de gestion des fonds propres et des liquidités; la conception et les processus du cadre de propension à prendre des risques, les processus de technologie et les processus de planification stratégique;

  6. le pouvoir de faire un suivi auprès de la direction au sujet des mesures prises à la suite des constatations et des recommandations d’audit.

1.2 Mesure dans laquelle le mandat est disséminé au sein l’échelle de l’institution.

2. Structure organisationnelle

2.1 Pertinence du statut, de l’accès et du pouvoir de l’AIC au sein de l’organisation, pour remettre en question la gestion des activités dont il est chargé de l’audit, et ne pas être excessivement influencé par la haute direction de l’institution. Bien que la structure hiérarchique puisse varier d’une institution à l’autre selon la nature, la portée, la complexité de l’institution, l’AIC relève idéalement du premier dirigeant sur le plan administratif et du conseil d’administration (le comité d’audit) au plan fonctionnel. Le BSIF s’attend que l’AIC occupe un poste de haute direction ou de niveau équivalent, et que les responsables de l’audit dans les filiales, les succursales et les divisions occupent des postes de niveau semblable dans la haute direction de ces entités. L’AIC doit être en mesure d’assister aux réunions du comité de direction à titre d’observateur.

2.2 Pertinence de la structure hiérarchique de la fonction pour qu’elle puisse exécuter son mandat, y compris la mesure dans laquelle les activités sont hébergées entièrement par l’institution (plutôt qu’imparties).

2.3 Mesure dans laquelle la fonction est indépendante des activités qu’elle audite et ne participe pas à la gestion, à la prise de décisions ou à l’exécution des activités qu’elle audite.
3. Ressources

3.1 Mesure dans laquelle les processus de la fonction lui permettent d’établir :

  1. le niveau des ressources nécessaire pour exécuter les attributions et, dans la foulée des changements apportés aux activités opérationnelles et aux stratégies de l’institution, de même qu’à son contexte opérationnel;

  2. les qualités et compétences du personnel;

  3. les programmes de perfectionnement professionnel continu pour rehausser les compétences du personnel.

3.2 Adéquation des ressources, et pertinence des qualités et des compétences collectives au regard de l’exécution du mandat de la fonction.

3.3 Adéquation des programmes au regard du perfectionnement du personnel.

4. Méthodes et pratiques d’audit

4.1 Adéquation des politiques et pratiques de la fonction au regard des mesures à prendre pour veiller à ce que les méthodes d’audit soient conformes, le cas échéant, aux pratiques sectorielles généralement reconnues et aux normes professionnelles actuelles (y compris les normes de l’Institut des auditeurs internes).

4.2 Pertinence des méthodes et pratiques de l’audit pour exécuter le mandat de la fonction.

4.3 Mesure dans laquelle la méthodologie d’audit de la fonction est fondée sur les risques.

5. Planification

5.1 Mesure dans laquelle le processus annuel de planification de l’audit repose sur une évaluation robuste des risques et offre une protection convenable sur une période raisonnable.

5.2 Adéquation des politiques et des pratiques en vigueur au regard de l’examen des cycles d’audit et des évaluations périodiques des risques afin de s’adapter proactivement à l’évolution du contexte, du profil de gestion des risques et de la stratégie de l’institution.

5.3 Mesure dans laquelle le processus annuel de planification de l’audit détermine avec précision les objectifs de l’audit et la portée des prochains audits prévus.
6. Rapports

6.1 Adéquation des politiques et des pratiques en vigueur au regard de la communication des constatations et recommandations importantes de l’audit à la direction pour que des correctifs soient appliqués sans tarder.

6.2 Adéquation des politiques et des pratiques en vigueur au regard de la surveillance et du suivi de la mise en œuvre efficace des mesures apportées par la direction à la suite des constatations et des recommandations de l’audit.

7. Amélioration et assurance de la qualité

7.1 Adéquation du programme d’amélioration et d’assurance de la qualité (PAAQ) qui :

  1. englobe toutes les activités de la fonction (c’est‑à‑dire la planification, les ressources, l’exécution des audits et les rapports, l’interaction avec la haute direction et le conseil d’administration (ou le comité d’audit) de l’institution;

  2. évalue l’efficience et l’efficacité de ces activités, et apporte les améliorations pertinentes;

  3. surveille le personnel de la fonction d’audit pour veiller à ce qu’il se conforme aux normes professionnelles et utilise des méthodes approuvées pour exécuter ses examens.

7.2 Mesure dans laquelle les politiques et pratiques de la fonction garantissent une indépendance suffisante des processus du PAAQ par rapport aux autres activités de la fonction.

8. Lien avec les fonctions de supervision de la deuxième ligne de défense

8.1 Mesure dans laquelle la fonction évalue les fonctions de supervision de la deuxième ligne de défense de l’institution, et l’adéquation et l’efficacité de ses processus au regard de l’utilisation de ses travaux et de la réduction au minimum du dédoublement des efforts, le cas échéant.

8.2 Mesure dans laquelle la fonction partage l’information et coordonne ses activités avec les fonctions de supervision de la deuxième ligne de défense pour garantir une protection convenable et l’intégration de méthodes, et pour minimiser le dédoublement des efforts.

9. Supervision exercée par la haute direction

9.1 Adéquation des politiques et pratiques de la haute direction au regard des mesures à prendre pour appuyer le conseil d’administration (ou le comité d’audit) concernant :

  1. la nomination et(ou) la destitution, l’examen du rendement, la rémunération et le plan de relève du responsable de la fonction;

  2. le mandat, le budget et les ressources (dotation et compétences) de la fonction;

  3. le plan de travail annuel de la fonction, y compris les modifications importantes qui lui sont apportées.

9.2 Adéquation des politiques et des pratiques en vigueur au regard de l’évaluation de l’efficacité de la fonction, notamment de la communication des résultats à la haute direction et, le cas échéant, au conseil d’administration (ou à l’un de ses comités).

9.3 Adéquation des politiques et des pratiques en vigueur au regard du rapport périodique des problèmes et recommandations à la haute direction, et le cas échéant, leur signalement au conseil d’administration.

9.4 Adéquation des processus au regard du perfectionnement des talents et de la planification de la relève pour les principaux rôles de la fonction.
10. Supervision exercée par le conseil d’administration (et du comité d’audit)

10.1 Adéquation des politiques et des pratiques en vigueur au regard de mesures permettant au conseil d’administration (ou ses comités) d’approuver ce qui suit :

  1. la nomination et(ou) la destitution, l’examen du rendement, la rémunération et le plan de relève du responsable de la fonction;

  2. le mandat, le budget et les ressources (dotation et compétences) de la fonction;

  3. le plan de travail annuel de la fonction, y compris les modifications importantes qui lui sont apportées.

10.2 Mesure dans laquelle le conseil d’administration (ou ses comités) reçoit des rapports périodiques sur les tendances ou les risques généralisés qui influent sur l’organisation.

10.3 Mesure dans laquelle le conseil d’administration (ou ses comités) démontre sa capacité d’agir de façon indépendante de la haute direction en appliquant des pratiques comme des réunions périodiques (ou celles de ses comités), notamment des séances en l’absence des membres de la haute direction.

RENDEMENT DE L’AUDIT INTERNE

La qualité du rendement de la fonction Audit interne repose sur son efficacité globale à fournir à la haute direction et au conseil d’administration l’assurance de l’efficacité et du respect des processus de contrôle interne, de gestion des risques et de gouvernance de l’institution.

L’évaluation tient compte de la mesure dans laquelle la fonction Audit interne favorise un contexte de contrôle sain qui atténue les risques, fait en sorte que les lacunes de contrôle sont dûment traitées et donne au conseil d’administration et à la haute direction des garanties raisonnables quant à l’efficacité et au respect des processus de contrôle interne, de gestion des risques et de gouvernance. Le BSIF recherche des indicateurs de rendement efficace pour l’aider à former son jugement dans le cours de ses activités de surveillance. Ces activités peuvent comprendre :

  1. des discussions avec les administrateurs, les membres de la direction, y compris l’auditeur interne en chef, et les vérificateurs externes;

  2. la façon dont les examens des constations importantes et les réponses de la direction à cet effet sont abordés par le comité d’audit;

  3. l’évaluation des pratiques et des rapports d’AAQ;

  4. l’examen des plans d’audit et des documents de travail, etc.

Parmi les exemples d’indicateurs qui pourraient être utilisés pour former un jugement, mentionnons la mesure dans laquelle l’Audit interne répond aux attentes que voici :

  1. être perçu par le comité d’audit et la haute direction comme exécutant son mandat de façon efficace;

  2. mobiliser périodiquement le comité d’audit sur l’adéquation du budget, des ressources (dotation et compétences) et du plan d’audit interne;

  3. communiquer activement au comité d’audit les constatations importantes et générales, et les mesures appliquées par la direction à leur égard;

  4. examiner les objectifs, les stratégies, les situations, les initiatives et les opérations de changement qui pourraient influer de façon sensible sur l’institution pour que les processus de contrôle interne, de gestion des risques et de gouvernance demeurent pertinents et efficaces;

  5. rechercher activement de l’information auprès de l’équipe de la gestion des risques, de l’actuaire désigné, des agents de conformité, des auditeurs externes, du BSIF, des auditeurs de la société mère ou d’autres sources pour corroborer ou améliorer son évaluation des risques et faire en sorte que les lacunes soient dûment prises en compte dans son plan d’audit;

  6. effectuer activement le suivi et fait rapport sur les principaux problèmes de contrôle interne, de gestion des risques et de gouvernance pour garantir un règlement opportun, et le cas échéant, leur signalement au conseil d’administration et à la haute direction;

  7. démontrer sa capacité d’apporter les changements nécessaires aux activités de l’institution en réponse aux lacunes importantes cernées;

  8. tenir dûment compte de l’ampleur et de l’importance de ses constatations, tant pour les activités individuelles que pour les mesures collectives dans l’ensemble de l’institution;

  9. établir efficacement une distinction entre les constatations de l’audit qui influent sur la sûreté et la solidité et celles qui portent sur l’efficience opérationnelle, et la façon de communiquer ces différences et d’en assurer le suivi.

Notes de bas de page

Note de bas de page 1

Les critères d’évaluation doivent être interprétés à la lumière du Cadre de surveillance.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Aux fins des présentes, le terme Audit interne équivaut à Vérification interne de la version de décembre 2010 du Cadre de surveillance du BSIF. Cette modification est apportée dans le but de s’aligner sur la terminologie en vigueur.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Exemples de documents que le BSIF pourrait examiner dans le cadre de l’évaluatoin de la  fonction Audit interne :  curriculum vitæ des membres du personnel, programmes de formation professionnelle, mandats, manuels, plans de travail et rapports d’audit de la fonction Audit interne, documents pertinents discutés avec le comité d’audit et la haute direction, et les documents de suivi se rapportant aux constatations issues de l’audit, les examens d’autoévaluation et les documents de travail de l’Audit.

Retour à la référence de la note de bas de page 3