Lignes directrices sur les audits de conformité relatives aux ... - ISSAI

ISSAI 4100Les Normes internationales des institutions supérieures de contrôle des finances publiques(ISSAI) sont publiées par l’Organisation internationale des institutions supérieures decontrôle des finances publiques (INTOSAI). Pour plus de renseignements visitez le sitewww.issai.orgI N T O S A ILignes directrices sur lesaudits de conformité dissociésdes audits d’états financiers1

INTOSAI Professional Standards CommitteePSC-SecretariatRigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • DenmarkTel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: info@rigsrevisionen.dkI N T O S A IEXPERIENTIA MUTUAEXPERIENTIA MUTUAOMNIBUS PRODESTOMNIBUSPRODESTINTOSAI General Secretariat - RECHNUNGSHOF(Austrian Court of Audit)DAMPFSCHIFFSTRASSE 2A-1033 VIENNAAUSTRIATel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69E-MAIL: intosai@rechnungshof.gv.at;WORLD WIDE WEB: http://www.intosai.org2

PréfaceLa série de lignes directrices sur les audits de conformitécomprend:la norme ISSAI 4000: introduction générale aux lignesdirectrices sur les audits de conformité;la norme ISSAI 4100: lignes directrices sur les auditsde conformité dissociés des audits d’états financiers.Les travaux de cette nature peuvent être réalisés dans lecadre d’un audit de la performance ou en tant qu’auditappartenant à une catégorie spécifique d’audit;la norme ISSAI 4200: lignes directrices sur les auditsde conformité associés à un audit d’états financiers.3

Table des matières1 Introduction ___________________________________________________________ 62 Champ d’application des lignes directrices ___________________________________ 92.1 Étendue et nature d’un audit de conformité __________________________________ 92.2 Assurance raisonnable ou assurance limitée _________________________________ 102.3 Mission d’attestation ou mission d’appréciation directe _______________________ 113 Objectifs à atteindre ____________________________________________________ 134 Définitions ___________________________________________________________ 145 Considérations préliminaires _____________________________________________ 175.1 Considérations d’ordre déontologique ______________________________________ 175.2 Contrôle de la qualité ____________________________________________________ 176 Planification et conception d’un audit de conformité _________________________ 196.1 Identification des parties concernées/établissement de la base juridique __________ 196.2 Sujet considéré et informations y afférentes _________________________________ 196.3 Critères _______________________________________________________________ 206.4 Connaissance de l’entité auditée et de son environnement _____________________ 236.5 Stratégie et plan d’audit _________________________________________________ 246.6 Connaissance du contrôle interne en place dans l’entité auditée _________________ 256.7 Importance relative _____________________________________________________ 246.8 Évaluation des risques ___________________________________________________ 286.8.1 Considérations relatives à l’évaluation du risque lié à la fraude _________________________ 296.8.2 Considérations relatives à l’évaluation du risque lié aux relations entre entités du secteur public 296.9 Planification des procédures d’audit _______________________________________ 307 Réalisation des audits de conformité et collecte des éléments probants ____________ 317.1 Collecte et évaluation des éléments probants ________________________________ 327.1.1 Observation _________________________________________________________________ 337.1.2 Inspection __________________________________________________________________ 337.1.3 Demande d’informations _______________________________________________________ 327.1.4 Confirmation ________________________________________________________________ 347.1.5 Réexécution _________________________________________________________________ 357.1.6 Procédures analytiques ________________________________________________________ 357.2 Documentation _________________________________________________________ 357.3 Communications _______________________________________________________ 367.4 Considérations relatives à l’établissement de rapports sur les soupçons d’actesillégaux ______________________________________________________________________ 378 Évaluation des éléments probants et formulation de conclusions ________________ 394

8.1 Considérations d’ordre général sur l’évaluation des éléments probants et sur laformulation de conclusions ______________________________________________________ 398.2 Déclarations écrites des fonctionnaires responsables __________________________ 408.3 Événements postérieurs à l’audit __________________________________________ 409 Établissement de rapports _______________________________________________ 429.1 Forme et contenu des rapports relatifs aux audits de conformité ________________ 429.1.1 Rapports relatifs à un audit de conformité _________________________________________ 439.1.2 Rapports spéciaux relatifs à un audit de conformité («rapports longs») ___________________ 479.2 Processus de suivi _______________________________________________________ 5010 Orientations complémentaires à l’intention des auditeurs du secteur publictravaillant dans une ISC exerçant une fonction juridictionnelle _____________________ 5210.1 Réalisation d’audits dans une ISC exerçant une fonction juridictionnelle _________ 5210.2 Communication et application de la loi _____________________________________ 5310.3 Processus en place dans différents types d’ISC exerçant une fonctionjuridictionnelle _______________________________________________________________ 54Annexe 1 - Exemples de sujets considérés, d’informations y afférentes et de critèresappropriés, dans le contexte des audits de conformité _____________________________ 55Annexe 2 – Exemples de sources à utiliser pour acquérir une connaissance de l’entitéauditée et pour définir les critères appropriés ____________________________________ 61Annexe 3 – Exemples de facteurs liés à l’évaluation des risques lors d’audits deconformité ________________________________________________________________ 63Annexe 4 - Exemples de facteurs de risque liés à un sujet considéré particulier ________ 67Annexe 5 - Exemples de procédures d’audit de conformité à mettre en œuvre pour dessujets sélectionnés __________________________________________________________ 69Annexe 6 - Exemples d’écarts de conformité ____________________________________ 72Annexe 7 - Exemple de «rapport court» relatif à un audit de conformité ______________ 74Annexe 8 - Exemple de conclusion avec réserve formulée lors d’un audit de conformité _ 76Annexe 9 - Exemple de conclusion défavorable formulée lors d’un audit de conformité _ 77Annexe 10 - Exemple illustrant une impossibilité de formuler une conclusion lors d’unaudit de conformité _________________________________________________________ 78Annexe 11 - Exemple de paragraphe d’observation et de paragraphe sur d’autres points 79Annexe 12 - Exemple de rapport relatif à un examen de conformité aboutissant àl’expression d’une assurance limitée ___________________________________________ 805

1 Introduction1. La déclaration de Lima de l’INTOSAI donne du but du contrôle dans le secteurpublic une description où apparaît la notion d’audit de conformité: «L’institution ducontrôle est immanente à l’administration des finances publiques laquelle constitueune gestion fiduciaire. Le contrôle des finances publiques n’est pas une fin en soimais il est un élément indispensable d’un système régulatoire qui a pour but designaler en temps utile les écarts par rapport à la norme ou les atteintes aux principesde la conformité aux lois, de l’efficience, de l’efficacité et de l’économie de lagestion financière de manière à ce que l’on puisse, dans chaque cas, prendre desmesures correctives, préciser la responsabilité des parties en cause, obtenir réparationou prendre des mesures pour empêcher, ou du moins rendre plus difficile, laperpétration d’actes de cette nature».2. L’audit de conformité concerne la mesure dans laquelle l’entité auditée respecte lesrègles, les lois et les règlements, la politique, les codes existants ou les termesconvenus, comme les termes d’un contrat ou ceux d’une convention de financement.Les principes fondamentaux de contrôle de l’INTOSAI (paragraphes 38 et 39 de lanorme ISSAI 100) introduisent la notion d’audit de conformité, qui est plusamplement décrite dans la norme ISSAI 4000 – introduction aux lignes directricessur les audits de conformité.3. Dans le secteur public, les notions de transparence, d’obligation de rendre compte, debonne gestion et de bonne gouvernance constituent d’importants principes de base.Les lois et les règlements peuvent définir les activités que les entités du secteurpublic sont chargées de réaliser pour les citoyens, toute limite ou restriction imposéesà ces activités, les objectifs généraux à atteindre, ainsi que la façon de protéger lesdroits des citoyens de bénéficier des garanties prévues par la loi. Par ailleurs, desfonds publics sont confiés aux entités du secteur public pour leur propre gestion. Ilincombe à ces organismes et à leurs fonctionnaires de faire preuve de transparencedans leurs actions, de rendre compte aux citoyens de l’utilisation des fonds qui leursont confiés et de bien gérer ceux-ci.4. L’une des fonctions importantes en matière de contrôle du secteur public consiste às’assurer que les activités des entités du secteur public sont conformes aux texteslégislatifs et réglementaires en vigueur qui les régissent et que les droits des citoyensde bénéficier des garanties prévues par la loi sont préservés. L’audit du secteurpublic en général et l’audit de conformité en particulier permettent aux auditeurs dusecteur public de vérifier si les principes de base susmentionnés sont respectés et misen œuvre. Dans le contexte des audits de conformité, cette responsabilité implique,entre autres, de déterminer si les informations liées à un sujet particulier sontconformes, dans tous leurs aspects significatifs, aux critères pertinents comme leslois, les règlements, les directives, les termes de contrats ou d’accords en vigueur,etc. Les résultats de ces audits font l’objet d’un rapport adressé à l’entité auditée ainsiqu’au législateur et sont en outre normalement accessibles au public, ce qui permetde renforcer l’obligation de rendre compte et la transparence dans le secteur public.6

5. Les présentes lignes directrices abordent plusieurs aspects de l’audit de conformitédans le secteur public. Or, d’un pays à l’autre, ce type d’audit s’exerce dans le cadrede mandats très différents et est assorti d’objectifs très divers. Dans un régimedémocratique, l’obligation de rendre compte aux citoyens, et notamment auxreprésentants qu’ils désignent, est un aspect primordial de la gestion d’une entité dusecteur public et un élément essentiel de la bonne gouvernance publique. Les entitésdu secteur public sont généralement instituées en vertu de la législation et leursopérations sont régies par différents textes législatifs et réglementaires qui endécoulent. La direction d’une entité du secteur public doit rendre compte de sonfonctionnement en s’assurant qu’il est conforme aux dispositions des lois, desrèglements et des autres textes législatifs et réglementaires en vigueur. Dès lors quela législation et les autres textes législatifs et réglementaires en vigueur sont lesprincipaux moyens dont disposent les législateurs pour contrôler la perception et lesdépenses de fonds par le secteur public, l’audit de la conformité à ces textes faitgénéralement partie intégrante du mandat ou des termes de la mission et en constituehabituellement un volet essentiel lors de la plupart des audits d’entités du secteurpublic. Les textes réglementaires et législatifs étant très divers, leurs dispositions sontparfois contradictoires et susceptibles de faire l’objet d’interprétations différentes.Par ailleurs, les textes législatifs et réglementaires établis en vertu d’une délégationdu pouvoir réglementaire sont parfois incohérents par rapport aux dispositions ou auxlimites prescrites par les lois d’habilitation. C’est pourquoi une évaluation de laconformité à un texte législatif ou réglementaire dans le secteur public nécessitel’exercice d’un jugement professionnel très sûr et revêt une importance particulière.6. Les présentes lignes directrices (norme ISSAI 4100 sur les audits de conformitédissociés des audits d’états financiers) concernent les audits de conformité lorsqu’ilsconstituent un audit en soi ou qu’ils s’inscrivent dans le cadre d’un audit de laperformance, et non lorsque leur réalisation est spécifiquement associée à un auditd’états financiers. Elles reposent sur les principes fondamentaux de contrôle del’INTOSAI (cités, dans ce document, sous les noms de normes ISSAI 100 àISSAI 400, précédemment appelées «normes de contrôle de l’INTOSAI»). Lesprésentes lignes directrices ont été conçues afin d’aider les auditeurs du secteurpublic et les ISC à appliquer ces principes.7

Documentation, communication et contrôle de la qualité7. En règle générale, le processus présenté dans le schéma ci-après et décrit dans lessections suivantes des lignes directrices est suivi lors de la réalisation d’audits deconformité.Processus suivi lors des audits de conformitéConsidérationspréliminaires(sections 3, 4 et 5)• Déterminer l’objectif et l’étendue de l’audit deconformité• Tenir compte des principes déontologiques (parexemple l’indépendance et l’objectivité)• S’assurer que des procédures de contrôle de la qualitésont en placePlanification de l’audit(section 6)• Identifier les parties concernées/établir la basejuridique• Déterminer le sujet considéré et les critères• Connaître l’entité auditée et son environnement• Élaborer une stratégie et un plan d’audit• Comprendre comment fonctionne le contrôle internede l’entité auditée• Déterminer l’importance relative en vue de laplanification• Évaluer les risques• Planifier des procédures d’audit permettant d’obtenirune assurance raisonnableRéalisation de l’audit etcollecte d’élémentsprobants (section 7)Évaluation des élémentsprobants et formulationde conclusions (section 8)• Collecter des éléments probants par différentsmoyens• Actualiser continuellement la planification etl’évaluation des risques• En cours d’audit, documenter, communiquer etassurer le contrôle de la qualité• Prendre en considération les cas de non-conformitésusceptibles d’éveiller des soupçons d’actes illégaux• Évaluer si les éléments probants collectés sontsuffisants et appropriés• Tenir compte de l’importance relative en vue del’établissement du rapport• Formuler des conclusions• Obtenir des déclarations écrites s’il y a lieu• Traiter les événements postérieurs, le cas échéantÉtablissement du rapport(section 9)• Établir le rapport• Y inclure les recommandations et les réponses del’entité auditée, le cas échéant• Assurer le suivi des rapports précédents s’il y a lieu8

2 Champ d’application des lignes directrices2.1 Étendue et nature d’un audit de conformité8. En règle générale, le mandat de l’ISC détermine si elle est habilitée ou non àeffectuer des audits de conformité. Lorsqu’elle l’est, l’ISC se charge normalementelle-même de définir l’étendue et la nature des travaux à effectuer, ainsi quel’approche d’audit appropriée. Dans certains cas, le législateur, par exemple unparlement, peut demander à l’ISC de réaliser un type d’audit particulier. Cesdemandes peuvent être acceptées tant que l’indépendance de l’auditeur n’est pascompromise (paragraphe 2.16 de la norme ISSAI 200). Néanmoins, le choix del’approche d’audit appropriée et de la méthodologie à utiliser devrait relever del’ISC.9. Les sujets considérés lors des audits de conformité ont une portée très étendue etpeuvent fortement varier d’un audit à l’autre. Ils peuvent avoir un caractère généralou être très spécifiques. Des indications supplémentaires sur les sujets considérés lorsdes audits de conformité sont fournies à la section 6.2 ci-après.10. Selon les principes fondamentaux de contrôle, l’audit de conformité est importantparce que les activités, les programmes et les organismes gouvernementaux sontsouvent créés en vertu de lois et de règlements spécifiques. Les décideurs doiventsavoir si les lois et règlements en vigueur sont respectés, si leurs résultats sontconformes aux objectifs et, sinon, quelles modifications s’imposent (paragraphe 4.2de la norme ISSAI 300). Les lois, les règlements et les autres exigences en matière deconformité régissant l’entité auditée peuvent être importants pour les objectifsparticuliers de l’audit, que celui-ci soit réalisé séparément ou qu’il soit associé à unaudit de la performance ou à un audit d’états financiers. Les auditeurs du secteurpublic planifient et réalisent donc des travaux dont l’étendue et la nature doivent leurpermettre de transmettre aux parties concernées un rapport constructif.11. Dans certains cas, le mandat d’audit définit le sujet et l’étendue d’un audit deconformité donné. Dans d’autres, ces derniers reposent sur le jugement professionnelde l’auditeur du secteur public. Les facteurs susceptibles d’influencer ladétermination, par les auditeurs du secteur public, du sujet et de l’étendue de l’auditsont, entre autres:a) les exigences prévues dans le mandat d’audit ou les lois et les règlements envigueur, comme les lois portant ouverture de crédits ou les lois sur lesmarchés publics;b) les cas de non-conformité détectés précédemment au sein de l’entité, parexemple les écarts de conformité décelés lors d’audits précédents;c) les constatations et les recommandations formulées lors d’audits réalisés pardes auditeurs extérieurs à l’ISC;d) les évaluations des risques effectuées en relation avec des audits financiers oudes audits de la performance, qui ont permis de mettre en évidence des9

domaines spécifiques où le risque de non-conformité est réel (par exemple lessecteurs comme la passation de marchés publics, ou les grands domainesd’activité propres à un secteur comme la perception des recettes, la défense,les prestations sociales, etc.);e) l’intérêt ou les attentes du public (concernant, par exemple, les soupçons defraude, la mauvaise gestion ou les problèmes de non-conformité relevés parles médias, etc.);f) les domaines qui ont fait spécifiquement l’objet d’une attention considérablede la part du législateur (par exemple les questions environnementales et lerespect des accords internationaux dans le domaine de l’environnement);g) les demandes émanant du législateur, des organismes de financement ou desorganisations donatrices (par exemple en matière de respect des termes desconventions de financement);h) le versement, par des organisations donatrices, de crédits importants à l’entitéauditée, lorsque la poursuite de ce financement est subordonnée au respectdes termes d’un contrat ou d’une convention.12. Lorsque l’étendue et la nature de l’audit de conformité ne découlent pas directementdu mandat d’audit ou de la législation en vigueur mais reposent sur le jugementprofessionnel de l’auditeur du secteur public, il serait utile de les communiquer parécrit à l’entité auditée. Cela permettrait de mieux comprendre les rôles et lesresponsabilités des différentes parties, entre autres les éléments couverts par l’auditainsi que les limitations particulières, les informations à fournir, le type de rapport àpublier et son(ses) destinataire(s), le calendrier des travaux, etc.13. Dans le présent document, toutes les mentions «audits de conformité» concernent destravaux réalisés par des ISC, ou dont une ISC est responsable.14. Des indications supplémentaires sur les communications à l’entité concernantl’étendue et la nature de l’audit figurent dans les documents ci-après: les normes ISSAI 1210 et 1300; le paragraphe intitulé «Les institutions concernées doivent être correctementinformées» de la section 2.3 des lignes directrices de l’INTOSAI pour la mise enœuvre des normes de vérification des résultats; la norme internationale sur les missions d’assurance (norme ISAE 3000) del’IFAC.2.2 Assurance raisonnable ou assurance limitée15. Les principes fondamentaux de contrôle relatifs à la conformité disposent que l’auditdoit être conçu de manière à ce qu’il offre une garantie raisonnable de détectiond’erreurs, d’irrégularités et d’illégalités pouvant influencer de manière significativeles objectifs du contrôle (paragraphe 4.1 de la norme ISSAI 300).10

16. Dans la plupart des types de mission, il existe deux niveaux d’assurance: l’assuranceraisonnable (exprimée de façon positive) et l’assurance limitée (exprimée de manièrenégative). L’assurance raisonnable correspond à un niveau d’assurance élevé, maispas absolu. Étant donné les limites qui lui sont inhérentes (voir section ci-aprèsrelative à l’évaluation des risques), un audit ne permet normalement pas de fournirune assurance absolue. En général, les missions d’assurance raisonnable sontconçues de façon à aboutir à une conclusion exprimée sous une forme positive,comme «nous sommes d’avis que le sujet considéré est/n’est pas conforme, dans tousses aspects significatifs, aux critères établis…». Les missions d’assurance limitée nesont pas considérées comme des audits, mais plutôt comme des examens. Le niveaud’assurance qu’ils fournissent est inférieur à celui d’un audit. Ils sont conçus defaçon à aboutir à une conclusion exprimée sous une forme négative, comme «nousn’avons eu connaissance d’aucun élément indiquant que le sujet considéré n’est pasconforme, dans tous ses aspects significatifs, aux critères…».17. Les missions d’assurance raisonnable et celles d’assurance limitée impliquent laconnaissance du sujet considéré et l’obtention d’éléments probants suffisants etappropriés pour étayer la conclusion de l’auditeur du secteur public. Les missionsd’assurance raisonnable comprennent l’évaluation des risques, la réalisation deprocédures d’audit permettant de faire face à ces derniers, ainsi que l’appréciation ducaractère suffisant et adéquat des éléments probants recueillis. Lors d’une missiond’assurance limitée, les seules procédures mises en œuvre sont généralement lesprocédures analytiques et les demandes d’informations. Les auditeurs du secteurpublic exercent leur jugement professionnel pour déterminer la nature, le calendrieret la portée des procédures mises en œuvre, aussi bien pour les missions d’assuranceraisonnable que pour celles d’assurance limitée. Ces dernières s’avèrent souventappropriées lorsque le sujet considéré concerne plusieurs entités, car cette situationest susceptible de soulever des questions plus complexes que lorsqu’une seule entitéest en cause.18. Les présentes lignes directrices s’appliquent à des tâches d’audit qui doiventpermettre d’obtenir des éléments probants suffisants et appropriés pour étayer lesconstatations. La conclusion peut faire l’objet d’une déclaration d’assurance ou êtreprésentée sous une forme plus élaborée.2.3 Mission d’attestation ou mission d’appréciation directe19. Dans certains cas, la direction de l’entité auditée élabore une assertion ou unedéclaration de conformité spécifique. Dans d’autres, l’assertion peut être implicite.20. Lors d’un audit de conformité, qu’il soit dissocié d’un audit de la performance ouassocié à celui-ci, l’assertion prend parfois la forme d’une déclaration de conformitéaux lois et aux règlements, d’une déclaration de conformité aux termes d’un contratou d’une déclaration relative à l’efficacité d’un processus ou d’un systèmespécifique. À titre d’exemple, il existe une assertion implicite lorsqu’un audit portesur des indicateurs de performance clés présentés en partant de l’hypothèseintrinsèque qu’aucun cas de non-réalisation des niveaux de performance fixés parceux-ci n’a été occulté.11

21. Lors de bon nombre d’audits dans le secteur public, l’entité auditée ne met aucuneassertion ou déclaration de conformité spécifique à la disposition des utilisateurs. Lesinformations sur le sujet considéré figurent plutôt dans le rapport de l’auditeur, soitparmi les données/informations, soit dans une déclaration explicite en guise deconclusion. Les audits de ce type sont désignés comme des «missions d’appréciationdirecte». Les constatations d’audit sont communiquées de façon appropriée auxparties concernées, comme l’entité auditée et le législateur. Ces rapports sontgénéralement mis à la disposition du public.22. Le rapport peut prendre des formes variées en fonction du jugement professionnel del’auditeur concernant la manière la plus efficace de communiquer avec lesutilisateurs présumés. Les rapports peuvent être «courts» ou «longs». Des indicationssupplémentaires sur l’établissement des rapports sont présentées dans la section adhoc du présent document.23. Les présentes lignes directrices ont été élaborées en fonction des missionsd’appréciation directe mais elles peuvent, le cas échéant, s’appliquer également auxmissions d’attestation.12

3 Objectifs à atteindre24. Les objectifs particuliers d’un audit de conformité doivent être adaptés auxcirconstances, compte tenu du sujet considéré et des critères en cause. Lorsqu’ilsréalisent des audits de conformité, les auditeurs du secteur public poursuivent enrègle générale les objectifs suivants:a) collecter des éléments probants suffisants et appropriés pour pouvoir formulerdes conclusions indiquant si les informations relatives au sujet considéré sont,dans tous leurs aspects significatifs, conformes à un ensemble de critèresdonné;b) transmettre au législateur et/ou à d’autres instances s’il y a lieu un rapport surleurs constatations et conclusions.25. S’agissant des ISC exerçant une fonction juridictionnelle, lorsque des aspects liés àcette dernière sont concernés, comme l’identification de l’autorité/agent responsableet la détermination d’une infraction éventuelle, l’objectif est également decommuniquer aux organes compétents les cas de non-respect ou les écarts deconformité ou d’engager la procédure devant aboutir à un jugement formel.13

4 Définitions26. Dans les présentes lignes directrices, les termes ci-après sont employés dans le senscorrespondant aux définitions suivantes.1. Assertion - Déclaration, explicite ou implicite, résultant des activités, destransactions financières ou des informations relatives à l’entité auditée, utilisée parl’auditeur dans le cadre de son examen des anomalies potentielles. Dans le contextedes audits de conformité, l’assertion de conformité indiquerait que l’entité, ycompris ses fonctionnaires responsables, agit en conformité avec les textes législatifset réglementaires applicables (et, pour les audits portant sur la bonne administration,avec les attentes correspondantes du public). Les assertions peuvent découler desinformations sur le sujet considéré présentées par l’entité auditée ou figurerexplicitement dans une lettre de déclaration de la direction.2. Textes législatifs et réglementaires - Lois ou résolutions pertinentes émanant dulégislateur ou autres textes réglementaires, dispositions et lignes directricesapplicables émises par des organismes du secteur public dotés de pouvoirsstatutaires en la matière, auxquels l’entité auditée doit se conformer. Ces élémentssont parfois appelés collectivement «textes d’autorités législatives» ou simplement«textes». Le terme correspondant en anglais, à savoir «authorities», ne doit pas êtreconfondu avec le mot «autorités» dans son acception signifiant organes ou personnesexerçant le pouvoir ou le commandement, comme les «autorités chargées del’application de la loi» ou les «autorités de contrôle». Les termes utilisés pour seréférer à ces organes ou à ces personnes dans un texte sont précisément: «autoritéschargées de l’application de la loi» ou «autorités de contrôle», etc.3. Audit de conformité - Les audits de conformité visent à déterminer dans quellemesure l’entité auditée respecte les règles, les lois et les règlements, les politiques,les codes existants ou les termes et conditions convenus, etc. Les audits deconformité peuvent couvrir une large gamme de sujets. En règle générale, un auditde conformité a pour but de fournir aux utilisateurs présumés une assuranceconcernant le résultat de l’évaluation ou de la mesure d’un sujet en fonction decritères pertinents.Dans le contexte des principes fondamentaux de contrôle de l’INTOSAI, les deuxnotions ci-après revêtent une importance considérable lors de la réalisation d’auditsde conformité:a) la régularité - notion indiquant que les activités, les transactions et lesinformations relevant d’une entité auditée sont conformes aux autorisationslégislatives, aux règlements publiés en vertu d’une législation en vigueur, ainsiqu’aux autres lois, règlements et conventions applicables, y compris aux loisbudgétaires, et qu’elles sont dûment approuvées;b) la bonne administration - notion incluant les principes généraux de bonnegestion financière du secteur public et de bonne conduite des fonctionnaires.14

En fonction du mandat de l’ISC, un audit de conformité peut porter sur la régularitéou sur la bonne administration, ou sur les deux notions à la fois.Étant donné que la bonne administration peut difficilement être vérifiée de manièreobjective, il est parfois malaisé voire, dans certains cas, impossible de réaliser unaudit en la matière permettant d’obtenir une assurance raisonnable. Il n’existesouvent aucun élément de référence clair et objectif pour apprécier la bonneadministration. En effet, ce qui est toléré dans une branche du secteur public ne l’estpas forcément dans une autre.Lorsque le mandat d’une ISC l’habilite à effectuer un audit de la bonneadministration, il arrive que les critères ne soient pas clairement définis au départ. Laquestion des critères pertinents est traitée de façon plus détaillée dans les sectionssuivantes du présent document. Lorsque le mandat prévoit un audit de la bonneadministration, les principes énoncés dans les présentes lignes directrices peuvents’appliquer en fonction des circonstances. La forme et le contenu des rapports sur labonne administration peuvent varier en fonction du mandat de l’ISC et decirconstances particulières.4. Écart de conformité - Non-respect ou non-conformité de l’entité auditée eu égard:a) aux textes législatifs et réglementaires, dans le cas des audits de conformitéportant sur la régularité; oub) aux principes généraux de bonne gestion des finances publiques et de conduitedes fonctionnaires, dans le cas des audits de conformité portant sur la bonneadministration.5. Conclusion – Le rapport de l’auditeur sur des sujets liés à la conformité comportenormalement une conclusion fondée sur les travaux d’audit réalisés. Lorsqu’un auditde conformité est associé à un audit d’états financiers, la conclusion peut êtreexprimée sous la forme d’une opinion (voir définition du terme «opinion»). Laconclusion peut également se présenter comme une réponse plus élaborée à desquestions d’audit spécifiques.6. Législateur – Le pouvoir législatif du pays, par exemple un Parlement. Dans lecontexte des audits de conformité, il peut s’agir également d’autres organismes dusecteur public ayant le pouvoir d’adopter des textes législatifs ou des résolutions àcaractère budgétaire.15

7. Opinion – Le rapport de l’auditeur sur les états financiers peut ajouter à l’opinionsur ces derniers une opinion écrite et explicite concernant la conformité. L’auditeurpeut formuler une opinion sans réserve lorsqu’il conclut que les activités, lestransactions et les informations financières présentées dans les états financiers sont,dans tous leurs aspects significatifs, conformes aux textes législatifs etréglementaires qui les régissent.8. Parties prenantes – Personnes, groupes, organisations ou autres types d’entités quimanifestent une préoccupation ou un intérêt pour les activités et les opérations dusecteur public, pour le financement des entités du secteur public, ainsi que pour lamise en œuvre concluante des programmes financés sur des fonds publics.16

5 Considérations préliminaires5.1 Considérations d’ordre déontologique27. Les principes fondamentaux de contrôle définissent les principes déontologiques prisen considération avant de commencer l’audit (paragraphe 2.1 de la normeISSAI 200). Ces principes portent sur:a) l’indépendance de l’ISC et de l’auditeur, y compris sa neutralité politique;b) les mesures prises pour éviter tout conflit d’intérêts entre les auditeurs etl’entité auditée;c) l’obligation, pour l’auditeur et pour l’ISC, de disposer des compétencesrequises;d) l’exercice, par l’ISC et par l’auditeur, de diligences dans l’application desprincipes fondamentaux de contrôle.28. Si, pour l’une ou l’autre raison, l’ISC ou l’auditeur n’est pas en mesure de respecterles principes fondamentaux de contrôle qui sont d’ordre déontologique, il convientde prendre les mesures appropriées afin de s’assurer que les menaces susceptiblesd’affecter la conformité sont éliminées avant le début de l’audit. Ces mesurespeuvent inclure, par exemple, la réaffectation du personnel chargé de l’audit,l’organisation de formations supplémentaires ou le recours à des experts.29. Des indications supplémentaires figurent également dans les documents ci-après:le code de déontologie de l’INTOSAI;les sections 2.2 et 2.3 des lignes directrices de l’INTOSAI pour la mise en œuvredes normes de vérification des résultats;la norme ISAE 3000 de l’IFAC.5.2 Contrôle de la qualité30. Comme pour les autres types d’audit, il importe que l’ISC chargée des audits deconformité prévoie des processus et des procédures afin de s’assurer que les travauxréalisés sont d’une qualité suffisante, que les auditeurs du secteur public affectés àces audits disposent collectivement des compétences et aptitudes nécessaires, et quele travail de l’équipe soit dirigé, supervisé et contrôlé d’une façon adéquate. Lesprincipes fondamentaux de contrôle de l’INTOSAI établissent des éléments deréférence et fournissent des directives visant à assurer la qualité des travaux(paragraphes 1.26 et 2.36 de la norme ISSAI 200).31. Des indications supplémentaires relatives au contrôle de la qualité figurent dans lesdocuments ci-après: le [projet de] code de la qualité de l’INTOSAI et la norme ISSAI 1220; les annexes 4 des lignes directrices de l’INTOSAI pour la mise en œuvre desnormes de vérification des résultats;17

la norme internationale 1 de l’IFAC sur le contrôle de la qualité (InternationalStandard on Quality Control - ISQC);la norme ISAE 3000 de l’IFAC.18

6 Planification et conception d’un audit de conformité32. Les principes fondamentaux de contrôle disposent que l’auditeur doit programmer lavérification de manière à obtenir un contrôle de qualité effectué de façonéconomique, rentable, efficace et dans les délais fixés (paragraphe 1.1 de la normeISSAI 300). En outre, les responsables de la programmation du contrôle doivents’informer des exigences afférentes à l’unité contrôlée (paragraphe 4.3 de la normeISSAI 300).33. Les auditeurs du secteur public planifient et effectuent leurs audits tout en faisantpreuve d’esprit critique.6.1 Identification des parties concernées/établissement de la base juridique34. Les auditeurs du secteur public s’assurent que les conditions préalables nécessairessont remplies pour permettre une réalisation efficace de l’audit. Lors de laplanification des audits de conformité, cela peut impliquer l’identification, au départ,des principales parties concernées. Celle-ci est importante pour établir la basejuridique sous-tendant la réalisation de l’audit, comme le mandat de l’ISC, quicomprend les responsabilités des auditeurs du secteur public, ainsi que le statutconstitutionnel et les responsabilités de l’entité auditée.35. En outre, il importe d’identifier les utilisateurs du rapport d’audit. La forme et lecontenu du rapport dépendent du jugement professionnel qu’exerce l’auditeur pourdéterminer la manière la plus efficace de communiquer avec les utilisateursprésumés. Les besoins des utilisateurs seront différents selon qu’il s’agira dulégislateur, d’un organisme de financement, d’une organisation donatrice, descitoyens ou d’autres parties prenantes concernées.6.2 Sujet considéré et informations y afférentes36. L’une des premières étapes de la planification et de la réalisation d’un audit deconformité consiste à déterminer le sujet considéré et les informations y afférentes.37. Les sujets considérés sont de plusieurs ordres et présentent des caractéristiques trèsvariables. Ils peuvent avoir un caractère général ou être très spécifiques. Certainssont d’ordre quantitatif et peuvent souvent être facilement mesurés (par exemple laperformance ou la situation financières), tandis que d’autres sont de naturequalitative et plus subjective (par exemple la conduite). Néanmoins, le sujetconsidéré doit pouvoir être déterminé et apprécié en fonction de critères appropriés.En outre, le sujet considéré doit être de nature à permettre la collecte d’un nombred’éléments probants sur les informations y afférentes suffisant pour étayer uneconclusion.19

38. Dans certains cas, le sujet considéré peut être déterminé par la loi en vigueur ou parle mandat d’audit. Dans d’autres, la sélection du sujet considéré relève d’un choixstratégique de l’ISC ou des auditeurs du secteur public, fondé sur une évaluation desrisques et sur le jugement professionnel.39. Lorsque l’audit porte sur la conformité aux lois budgétaires ou à d’autres résolutionsbudgétaires pertinentes, les recettes et le financement de l’entité, ainsi que sesdépenses, sont également examinés.40. Le mandat d’une ISC peut également comprendre la réalisation d’audits portant surla conformité avec les hypothèses budgétaires et les lignes directrices sous-tendantl’élaboration du budget avant la décision correspondante du pouvoir législatif.41. L’annexe 1 présente plusieurs exemples de sujets considérés et d’informations yafférentes dans le contexte des audits de conformité.6.3 Critères42. Il convient également de définir les critères, ou les éléments de référence, aveclesquels le sujet sera comparé. La définition des critères est une étape essentielle duprocessus de planification des audits de conformité. Plusieurs exemples de critèresrelatifs à ces derniers sont présentés à l’annexe 1.43. Il peut s’agir de critères formels, comme une loi ou un règlement, une directiveministérielle ou les termes d’un contrat ou d’une convention. Il existe aussi descritères moins formels, comme un code de bonne conduite ou des principes relatifs àla bonne administration. Les critères peuvent concerner des attentes relatives à laconduite, par exemple le niveau qui peut être considéré comme acceptable pour lesconditions de confort de la classe ou de l’hébergement lors d’un voyage, ainsi quepour les frais de représentation à la charge de l’État, si aucune limite n’est prévueexplicitement en la matière. Les lignes directrices administratives utilisées commecritères doivent être conformes aux lois et aux règlements. Les sources sous-tendantl’établissement des critères d’audit peuvent elles-mêmes faire partie de l’audit deconformité.44. Les critères doivent être appropriés, c’est-à-dire présenter les caractéristiques ciaprès.a) Pertinence: des critères pertinents répondent valablement aux besoins enmatière d’information et de prise de décision des utilisateurs présumés durapport d’audit.b) Fiabilité: des critères fiables permettent d’aboutir à des conclusionsraisonnablement cohérentes lorsqu’ils sont utilisés par un autre auditeur dansles mêmes conditions.c) Exhaustivité: des critères exhaustifs sont suffisants pour les besoins de l’auditet ne négligent aucun facteur pertinent. Ils sont valables et permettent de20

fournir aux utilisateurs présumés une vision concrète répondant à leurs besoinsen matière d’information et de prise de décision.d) Objectivité: des critères objectifs sont neutres et ne comportent aucun partipris de la part de l’auditeur ou de la part de la direction de l’entité auditée. Ilsne peuvent donc pas être informels au point que l’évaluation des informationssur le sujet considéré en fonction de ces critères serait très subjective etsusceptible d’aboutir à une conclusion différente si l’audit était réalisé pard’autres auditeurs du secteur public.e) Compréhensibilité: des critères compréhensibles sont clairement formulés etcontribuent à aboutir à des conclusions claires et intelligibles aux utilisateursprésumés. Ils ne donnent pas lieu à des interprétations très différentes.f) Comparabilité: des critères comparables sont cohérents avec ceux utiliséspour des audits similaires réalisés par d’autres organismes du même type oupour des activités semblables, ainsi qu’avec ceux utilisés pour des auditsantérieurs de l’entité auditée.g) Acceptabilité: des critères acceptables sont des critères généralement agrééspar les experts indépendants du domaine concerné, par les entités auditées, parle législateur, par les médias et par le public.h) Disponibilité: les critères d’audit doivent être communiqués aux utilisateursprésumés afin qu’ils comprennent la nature des travaux réalisés et les élémentssur lesquels se fonde le rapport d’audit.45. Les critères tiennent compte des questions susceptibles d’avoir une incidenceconsidérable sur l’objectif d’un audit donné. C’est pourquoi, lorsqu’ils réalisent unaudit de conformité, les auditeurs du secteur public déterminent les critèresappropriés et pertinents pour le sujet considéré et les objectifs de l’audit en cours.Lorsque des critères appropriés présentant les caractéristiques susmentionnées ont étédéfinis, ils doivent ensuite être correctement «utilisés» au regard des circonstancesparticulières de chaque audit, pour permettre d’aboutir à des conclusions d’auditvalables.46. La détermination des critères peut être simple mais, dans certains cas, elle s’avèreplus complexe. Les auditeurs du secteur public estiment parfois que les listes decontrôle constituent un bon moyen d’obtenir une vue d’ensemble des critèresappropriés à utiliser. Les auditeurs du secteur public exploitent un certain nombre desources qui facilitent la détermination des critères. L’annexe 2 présente plusieursexemples de sources.47. Dans bon nombre d’audits de conformité, les critères applicables seront clairementdéfinissables. Ce peut être le cas lorsqu’une loi ou un règlement clairs et simplesconstituent les critères. Les exposés d’intention ou les principes relatifs auxrésolutions du législateur peuvent également aider l’auditeur à définir les critèresappropriés.21

48. Lorsque des doutes apparaissent quant à l’interprétation correcte de la loi, durèglement ou du texte législatif ou réglementaire en vigueur, les auditeurs du secteurpublic peuvent juger utile de tenir compte des intentions et des principes établis lorsde l’élaboration de la loi, ou de consulter l’organisme responsable de la législation encause. Les auditeurs peuvent aussi prendre en considération les décisions pertinentesprises précédemment par les autorités chargées de l’application de la loi.49. La définition des critères peut toutefois s’avérer plus difficile lors des audits deconformité relatifs à la bonne administration, car ces derniers sont parfois moinsformels et sont susceptibles de tenir compte des attentes du public concernant lesactions et la bonne conduite des fonctionnaires. Le cas échéant, les travaux desauditeurs du secteur public en vue de déterminer les critères appropriés devront êtreplus approfondis. Si les circonstances le justifient, la nécessité de définir des critèresappropriés ne doit pas empêcher les auditeurs du secteur public de faire état des casoù les fonctionnaires n’ont pas fait preuve d’une conduite jugée acceptable.50. Lors de la détermination des critères appropriés, les auditeurs du secteur publictiennent compte de l’importance du risque éventuel de non-conformité pour chaquethème audité (une loi à caractère budgétaire, d’autres lois spécifiques, les termesd’un contrat, etc., ainsi que la bonne administration le cas échéant). Les élémentsd’appréciation de l’importance relative comportent des aspects quantitatifs (ordre degrandeur) et qualitatifs (nature et caractéristiques).51. Les auditeurs du secteur public s’assurent que les critères à utiliser prennent bien enconsidération l’ensemble du thème à auditer. Si l’étendue de l’audit est limitée et sicelui-ci ne couvre que certaines parties d’une loi ou d’un règlement, il convient d’enfaire clairement état dans le rapport de l’auditeur, mais c’est rarement le cas. Si, pourdéterminer les critères d’audit appropriés, les auditeurs du secteur public utilisent deslignes directrices, des listes de contrôle ou tout autre élément matériel fourni parl’entité auditée ou par d’autres autorités administratives, ils doivent faire preuve deprudence et de diligence en mettant en œuvre les procédures d’audit adéquates pours’assurer que cet élément matériel reflète correctement les lois et les règlements envigueur, etc.52. Les dispositions de la législation applicable sont parfois imprécises, par exemplelorsqu’un acte législatif prévoit l’élaboration, par l’organe administratif compétent,de dispositions plus spécifiques et que cela n’a pas encore été fait. Le cas échéant, lesauditeurs du secteur public doivent mentionner clairement dans leur rapport lesobligations qui, à leur avis, sont prévues dans la législation en vigueur, ou préciserque l’étendue de l’audit a été limitée tout en expliquant pourquoi. L’auditeur peut parexemple indiquer dans son rapport que le manque de clarté de la loi a limité la portéedes critères d’audit appliqués et que des mesures correctrices doivent être prises.53. Dans de rares cas, les critères peuvent être contradictoires, par exemple lorsquedifférentes sources de droit se contredisent et que les autorités administratives oujudiciaires compétentes n’ont pas tranché la question. Il est alors fondamental decomprendre les intentions qui sous-tendent les critères particuliers et de déterminerles conséquences éventuelles de cette antinomie. L’auditeur devra peut-êtreégalement traiter cette question des critères contradictoires dans son rapport, afin queles organismes compétents prennent des mesures correctrices.22

54. Lorsque ce type de problèmes se pose, les approches utilisées pour définir les critèresappropriés peuvent comporter:a) l’application d’une approche «théorique», en demandant à des experts dudomaine de répondre à des questions comme: «Quels sont les résultats idéauxsusceptibles d’être obtenus dans des conditions parfaites d’après un mode depensée rationnel ou les pratiques comparables les mieux connues?»;b) la définition de critères bien fondés et réalistes ainsi que l’obtention d’unsoutien en la matière, en appliquant une approche «empirique» dans le cadrede laquelle des discussions ont lieu avec les parties prenantes et les décideurs.55. Il est également possible de subdiviser l’approche d’audit en plusieurs étapes ou delimiter l’étendue, afin que des critères clairement identifiables puissent êtreappliqués.56. Sans préjudice de ce qui précède, les critères doivent être communiqués auxutilisateurs présumés et à des tiers le cas échéant; en l’occurrence, ils peuvent parexemple figurer dans le rapport de l’auditeur ou faire l’objet d’une référence s’ilssont facilement disponibles sous un autre format.57. Si, pour l’une ou l’autre raison, les critères d’audit ne sont pas jugés appropriés,l’ISC peut encourager les organismes compétents à formuler clairement les principesgénéraux que les entités du secteur public doivent suivre.6.4 Connaissance de l’entité auditée et de son environnement58. Comme cela est expliqué dans les paragraphes précédents, la réalisation d’audits deconformité commence, entre autres, par la détermination du sujet considéré et descritères appropriés. Celle-ci implique que les auditeurs du secteur public acquièrentune connaissance de l’entité auditée et des conditions dans lesquelles s’inscrit l’audit.Cette connaissance fournit aux auditeurs du secteur public une base sur laquelles’appuyer lorsqu’ils exercent leur jugement professionnel tout au long du processusd’audit. La connaissance de l’entité, de son environnement et des domaines d’activitépertinents pour l’audit est d’autant plus importante qu’elle permettra de déterminerl’importance relative et d’évaluer les risques. L’annexe 2 présente plusieursexemples de sources susceptibles d’être exploitées pour acquérir cette connaissance.59. Le point 5 de la norme ISSAI 4000 dispose que les lignes directrices sur les audits deconformité concernent les audits de conformité effectués à tous les niveaux del’administration publique. C’est pourquoi elles sont applicables, le cas échéant, à unensemble d’entités, lorsque celles-ci font l’objet d’un audit transversal préalablementplanifié. La responsabilité de(s) (l’) auditeur(s) concernant l’audit de cet ensembled’entités doit alors être clairement indiquée.23

6.5 Stratégie et plan d’audit60. La planification de l’audit afin d’en assurer une réalisation efficace comporte desentretiens avec les principaux membres de l’équipe d’audit, ainsi que l’établissementd’une stratégie générale et d’un plan d’audit. La stratégie et le plan d’audit doiventfaire l’objet d’un document écrit. La planification n’est pas une phase isolée del’audit mais un processus continu et itératif. La stratégie générale et le plan d’auditsont mis à jour autant que nécessaire au cours de l’audit. La planification tientégalement compte de considérations liées à l’orientation, à la supervision et à larevue des travaux de l’équipe affectée à la mission.61. Lors de l’établissement de la stratégie générale pour l’audit de conformité, lesauditeurs du secteur public prennent en considération:a) les objectifs, l’étendue, le sujet, les critères et les autres caractéristiques del’audit de conformité, compte tenu du mandat de l’ISC et des éléments de ladéfinition de l’audit de conformité;b) les obligations et les objectifs en ce qui concerne l’établissement du rapport,ainsi que son(ses) destinataire(s), le calendrier des travaux et la forme queprendra le rapport;c) les facteurs essentiels susceptibles d’avoir une incidence sur l’orientation del’audit;d) l’importance relative et l’évaluation du risque d’audit;e) l’expérience acquise lors d’audits précédents ou d’audits connexes;f) la composition de l’équipe d’audit et la répartition du travail au sein de celleci,ainsi que, le cas échéant, la nécessité de recourir à des experts;g) le calendrier de l’audit.62. Les auditeurs du secteur public élaborent un plan de l’audit de conformité. Lastratégie d’audit est un élément essentiel de ce plan, lequel comporte:a) une description des critères définis et liés au champ d’application et auxcaractéristiques de l’audit de conformité, ainsi qu’au cadre législatif,réglementaire ou budgétaire applicable;b) une description de la nature, du calendrier et de l’étendue des procéduresd’évaluation des risques, qui soit suffisante pour apprécier les risques denon-conformité correspondant aux différents critères d’audit;c) une description de la nature, du calendrier et de l’étendue des procéduresd’audit prévues correspondant aux différents critères de l’audit deconformité et aux évaluations des risques.24

63. La planification comprend également:a) l’acquisition d’une connaissance générale du cadre législatif, réglementaireet budgétaire, ainsi que des termes et conditions pertinents et convenusapplicables en ce qui concerne l’étendue de l’audit et l’entité auditée;b) la prise de connaissance de la façon dont la direction de l’entité auditées’assure du respect des textes législatifs et réglementaires applicables, entreautres des contrôles internes de gestion contribuant à garantir la conformitéà ces textes;c) la prise de connaissance des textes législatifs et réglementaires en vigueur,entre autres des règles, des lois, des règlements, des politiques, des codes,des contrats ou des conventions de subvention importants, etc.;d) s’agissant des audits de la bonne administration, la prise de connaissancedes principes applicables en matière de bonne gestion financière du secteurpublic et des attentes relatives à la conduite des fonctionnaires.64. Des indications supplémentaires sur la planification de l’audit et sur les critèresd’audit figurent dans les documents ci-après: les normes ISSAI 1210 et 1300; la partie 3 et les annexes 2 des lignes directrices de l’INTOSAI pour la mise enœuvre des normes de vérification des résultats; le cadre d’assurance d’audit et la norme ISAE 3000 de l’IFAC.6.6 Connaissance du contrôle interne en place dans l’entité auditée65. La connaissance du contrôle interne fait normalement partie intégrante de laconnaissance de l’entité et du sujet considéré. Selon les principes fondamentaux decontrôle, les auditeurs du secteur public examinent et évaluent la fiabilité du contrôleinterne lorsqu’ils effectuent un audit (paragraphe 3.1 de la norme ISSAI 300).S’agissant de l’audit de conformité, cela inclut la connaissance et l’évaluation descontrôles qui aident les administrateurs à respecter les lois et les réglementations(paragraphe 3.2 de la norme ISSAI 300).66. Le type particulier de contrôles évalué dépend du sujet considéré, de la nature et del’étendue de l’audit de conformité en cause. Lorsqu’ils évaluent les contrôlesinternes, les auditeurs du secteur public apprécient le risque que l’unité contrôlée nepuisse pas prévenir ou relever des cas de non-conformité (paragraphe 4.6 de lanorme ISSAI 300). Le système de contrôle interne d’une entité peut égalementcomprendre des contrôles destinés à corriger les cas de non-conformité significatifsrelevés. Les auditeurs du secteur public acquièrent une connaissance du contrôleinterne ayant une incidence sur l’objectif de l’audit et soumettent à des tests lescontrôles sur lesquels ils ont l’intention de s’appuyer. L’assurance résultant del’évaluation des contrôles internes aidera les auditeurs à déterminer le niveau deconfiance et, par suite, l’étendue des procédures d’audit à mettre en œuvre.25

67. Des indications supplémentaires sur la connaissance de l’entité auditée figurent dansles documents ci-après: la norme ISSAI 1315; la sous-section intitulée «Comprendre le programme» de la section 3.3, ainsi quela sous-section 2 intitulée «Formulation de la question ou définition du problèmede l’audit» des annexes 1 des lignes directrices de l’INTOSAI pour la mise enœuvre des normes de vérification des résultats; les lignes directrices de l’INTOSAI sur les normes de contrôle interne àpromouvoir dans le secteur public; la norme ISAE 3000 de l’IFAC.6.7 Importance relative68. L’importance relative est déterminée en fonction de facteurs tant quantitatifs quequalitatifs. Lors des audits de conformité, l’importance relative est définie à des fins:a) de planification;b) d’évaluation des éléments probants collectés et des effets des cas de nonconformitérelevés;c) d’établissement de rapports sur les résultats des travaux d’audit.69. Les auditeurs du secteur public planifient et effectuent leur audit afin de déterminersi les informations relatives au sujet considéré sont, dans tous leurs aspectssignificatifs, conformes aux critères fixés.70. Comme cela est indiqué dans les principes fondamentaux de contrôle, «c'est souventun critère de valeur qui permet de définir l’importance relative; cependant, la natureou les caractéristiques d’un élément ou d’un groupe d’éléments peuvent égalementparticiper de cette définition lorsque, par exemple, les dispositions législatives ouréglementaires exigent que celui-ci – quel qu’en soit le montant – soit mentionnéséparément» (paragraphe 10 de la norme ISSAI 100). Les principes disposent enoutre que, lorsqu’un audit de conformité est associé à un audit de la performance, ilest plus important, pour déterminer l’importance relative de tel ou tel point, de s’entenir à sa nature et à son contexte qu’à sa valeur (paragraphe 29 de lanorme ISSAI 400).71. Lors de la phase de planification, des informations sur l’entité sont recueillies afind’évaluer le risque et de définir les seuils d’importance relative en vue del’élaboration des procédures d’audit. Les éléments probants ainsi collectés doiventensuite être évalués afin d’étayer les conclusions et de servir à l’établissement durapport. La notion d’importance relative est cruciale pour cette évaluation.72. La détermination de l’importance relative en vue de la planification peut constituerune tâche simple. C’est le cas lorsqu’une loi, un règlement ou des dispositions26

convenues prévoient une obligation inconditionnelle en matière de conformité, parexemple quand la constitution interdit tout dépassement du budget approuvé.73. Il est possible d’attribuer à certains sujets une importance relative inférieure - entermes de valeur ou d’incidence - à celle déterminée de manière générale. Il s’agit,entre autres:a) de la fraude;b) des actes illégaux ou de non-conformité intentionnels;c) de la communication à la direction, à l’auditeur ou au législateurd’informations incorrectes ou incomplètes (dissimulation);d) de l’indifférence volontaire à l’égard du suivi des demandes émanant de ladirection, des autorités ou des auditeurs;e) de la réalisation d’événements et de transactions malgré l’absence notoire debase juridique pour les étayer.74. Dans les autres cas, la détermination de l’importance relative relève normalement dujugement professionnel.75. Lors de l’évaluation des éléments probants collectés, la détermination del’importance relative peut être influencée par des facteurs quantitatifs comme lenombre de personnes ou d’entités affectées par le sujet considéré ou les montants encause. Dans certains cas, les facteurs qualitatifs sont plus importants que les facteursquantitatifs. La nature, la visibilité et le caractère plus ou moins sensible d’undomaine d’activité ou d’un sujet donné peuvent jouer un rôle. À titre d’exemple, lesutilisateurs, une commission des comptes publics, toute autre commission similairede l’organe législatif ou les organismes régulateurs ont la possibilité de mettrel’accent sur un sujet et donc d’influencer la détermination de l’importance relative.Les attentes et l’intérêt du public sont également des facteurs qualitatifs susceptiblesd’avoir une incidence sur la détermination de l’importance relative par l’auditeur dusecteur public. La gravité du cas de non-conformité est aussi prise en considération.Même s’ils ne sont pas forcément illégaux, le dépassement du montant des créditsautorisés par le législateur ou l’introduction d’un nouveau service dont les créditsapprouvés n’assurent pas le financement peuvent constituer, de part leur nature, descas graves de non-conformité.76. L’auditeur tient également compte de questions comme les critères, les conditions,les causes et les effets liés à un cas de non-conformité lorsqu’il en appréciel’importance relative.77. La section ci-après relative à l’évaluation des éléments probants et à la formulationdes conclusions comprend des indications supplémentaires sur l’importance relativeliée aux cas de non-conformité détectés.78. Des indications supplémentaires sur l’importance relative figurent dans lesdocuments ci-après:27

les normes ISSAI 1320 et 1450; la sous-section intitulée Importance relative, pertinence et objectivité de la section5.3 et la sous-section 1.3 intitulée «Des preuves suffisantes» des annexes 3 deslignes directrices de l’INTOSAI pour la mise en œuvre des normes de vérificationdes résultats; la norme ISAE 3000 de l’IFAC.6.8 Évaluation des risques79. L’évaluation des risques est un élément essentiel d’une mission d’assuranceraisonnable. Du fait des limitations inhérentes à tout audit, un audit de conformité nefournit aucune garantie ou assurance absolue quant à la détection de l’ensemble descas de non-conformité. Les limitations inhérentes à un audit de conformité peuventconsister, entre autres, dans les facteurs suivants:a) la direction peut exercer un jugement en interprétant les lois et les règlements;b) des erreurs humaines peuvent se produire;c) les systèmes peuvent être conçus de manière inappropriée ou fonctionner demanière inefficace;d) les contrôles peuvent être contournés;e) il peut arriver que des éléments probants soient dissimulés ou ne soient pasdivulgués.80. Au cours des audits de conformité, les auditeurs du secteur public apprécient lesrisques et mettent en œuvre les procédures d’audit nécessaires. Ce faisant, ils visent àramener le degré de risque d’audit à un niveau suffisamment faible pour êtreacceptable dans des circonstances données et, par suite, à obtenir une assuranceraisonnable permettant d’étayer leur conclusion.81. Les risques et les facteurs de risques varieront en fonction du sujet de l’audit ou descirconstances particulières dans lesquelles il se déroule. En général, les auditeurs dusecteur public examinent les trois éléments du risque d’audit - le risque inhérent, lerisque lié au contrôle et le risque de non-détection - en fonction du sujet considéré etde la situation en cause. En outre, l’évaluation du risque doit également tenir comptede la probabilité que le problème surviendra et, le cas échéant, des conséquenceséventuelles.28

6.8.1 Considérations relatives à l’évaluation du risque lié à la fraude82. Dans le cadre de l’audit, les auditeurs du secteur public mettent en évidence etévaluent le risque de fraude, puis collectent, par la mise en œuvre de procéduresd’audit adéquates, suffisamment d’éléments probants appropriés relatifs aux risquesde fraude mis au jour. En cas de soupçon de fraude, les auditeurs du secteur publicprennent des mesures pour s’assurer qu’ils apportent les réponses appropriées enfonction du mandat de l’ISC et des circonstances particulières.83. Les risques de fraude et les appréciations de l’importance relative en matière defraude sont pris en considération dans le contexte plus large des audits du secteurpublic. Dans ce secteur, les domaines et les situations généralement susceptibles dedonner lieu à des fraudes sont, entre autres:a) les subventions et les allocations à des tiers;b) les marchés publics;c) l’exercice, par les fonctionnaires, des responsabilités et des pouvoirs qui leursont conférés;d) les déclarations intentionnellement fausses ou inexactes concernant desrésultats ou des informations;e) la privatisation d’organismes publics;f) les relations entre fonctionnaires ou entités.6.8.2 Considérations relatives à l’évaluation du risque lié aux relations entre entités dusecteur public84. Les relations entre les différentes entités du secteur public sont prises enconsidération lors de l’évaluation du risque d’audit, et notamment du risque defraude ou de non-conformité. Ces risques peuvent, par exemple, concerner une entitéqui, en exerçant une influence sur une autre, l’incite à prendre des mesuresinappropriées. Ces mesures entraînent parfois le non-respect des textes législatifs etréglementaires et, dans certains cas, des actes illégaux. Dans le secteur public, il peutégalement exister des exigences particulières en ce qui concerne les activités et lestransactions entre différentes entités du secteur public. Des obligations spécifiques enmatière de présentation d’informations relatives à ces activités ou transactions sontégalement prévues et ont une incidence sur les procédures d’audit planifiées, sur laconclusion de l’audit ou sur le rapport de l’auditeur.85. L’annexe 3 présente des exemples de facteurs liés à l’évaluation des risques lors desaudits de conformité. Par ailleurs, l’annexe 4 donne un exemple indicatif de facteursde risque liés à un audit de conformité portant sur la passation de marchés.86. Des indications supplémentaires sur l’évaluation des risques et sur le risque lié à lafraude figurent dans les documents ci-après:29

les normes ISSAI 1240, 1315 et 1550; la sous-section intitulée «Risques ou incertitudes» des lignes directrices del’INTOSAI pour la mise en œuvre des normes de vérification des résultats; le cadre d’assurance d’audit et la norme ISAE 3000 de l’IFAC.6.9 Planification des procédures d’audit87. La planification des procédures d’audit comprend la conception de procédures visantà répondre aux risques de non-conformité mis au jour. La nature exacte, le calendrieret l’étendue des procédures d’audit à mettre en œuvre peuvent varier fortement d’unaudit à l’autre. Néanmoins, les procédures d’audit de conformité comportent engénéral la détermination des critères pertinents, à savoir des textes législatifs etréglementaires qui régissent l’entité, suivie de l’appréciation, en fonction de cestextes, des informations pertinentes sur le sujet considéré. De plus amplesinformations sur les procédures d’audit figurent dans la section ci-après sur laréalisation des audits de conformité et sur la collecte d’éléments probants.30

7 Réalisation des audits de conformité et collecte des élémentsprobants88. Les principes fondamentaux de contrôle disposent que les auditeurs du secteur publicchoisissent et appliquent des mesures et procédures de contrôle qui, selon leurjugement professionnel, sont appropriées aux circonstances (voir paragraphe 4.5 dela norme ISSAI 300). Les principes fondamentaux de contrôle disposent égalementque ces mesures et procédures doivent être conçues de manière à obtenir des preuvessuffisantes, valables et pertinentes, de nature à étayer raisonnablement les jugementset les conclusions de l’auditeur (paragraphe 4.5 de la norme ISSAI 300).L’évaluation des systèmes de contrôle interne de l’entité et l’appréciation des risquesque ces derniers ne puissent pas prévenir ou détecter les cas de non-conformité fontnormalement partie des tâches à effectuer lors d’un audit de conformité(paragraphe 4.6 de la norme ISSAI 300).89. Les procédures d’audit à mettre en œuvre dépendront du sujet considéré et descritères définis, ainsi que du jugement professionnel de l’auditeur. Le lien entre lesprocédures et les risques mis au jour doit être clairement établi. Si les risques de nonconformitésont élevés et que les auditeurs du secteur public prévoient de s’appuyersur les contrôles en place, ces derniers doivent être testés. Si les auditeurs du secteurpublic jugent que ceux-ci ne sont pas fiables, ils programment et mettent en œuvredes tests de validation afin de faire face aux risques mis en évidence. D’autres testsde validation sont également effectués lorsque le risque de non-conformité est élevé.Si l’approche d’audit repose exclusivement sur des tests de validation, des tests dedétail (et pas uniquement des tests analytiques) sont effectués.90. Dans de rares cas, l’obtention d’éléments probants suffisants et appropriés pourétayer les conclusions peut s’avérer difficile ou avoir un coût presque prohibitif. Lesauditeurs du secteur public doivent alors apprécier le rapport coûts/avantages de lacollecte des éléments probants, ainsi que les conséquences de l’absence d’élémentsprobants suffisants et appropriés pour la réalisation des objectifs d’audit et le rapportde l’auditeur. La réponse de l’auditeur à ce type de problème variera en fonction ducontexte, du mandat, des considérations d’intérêt public, des attentes du public et dela capacité à rendre compte de ces constatations. L’auditeur peut estimer qu’il y alieu d’établir un rapport spécifique sur ce sujet à l’intention du législateur ou d’autresutilisateurs présumés. Toutefois, ces difficultés ou ces coûts ne peuvent à eux seulsjustifier que l’auditeur renonce aux procédures de collecte d’éléments probantsplanifiées, même si aucune procédure alternative satisfaisante n’existe.91. L’annexe 5 présente plusieurs exemples de procédures d’audit de conformité pour lessujets sélectionnés.31

7.1 Collecte et évaluation des éléments probants92. Lorsqu’ils effectuent une mission d’assurance raisonnable, les auditeurs du secteurpublic recueillent des éléments probants suffisants et appropriés pour pouvoir étayerleurs conclusions. Les principes fondamentaux de contrôle disposent que «pourétayer le jugement et les conclusions qu’il doit formuler à propos de l’établissement,du service, du programme, de l’activité ou de la fonction contrôlés, l’auditeur doitpouvoir obtenir des preuves suffisantes, pertinentes et d’un coût d’obtentionraisonnable» (paragraphe 5.1 de la norme ISSAI 300).93. Le caractère suffisant des éléments probants dépend de leur quantité, tandis que leurcaractère probant, pertinent, fiable et approprié est tributaire de leur qualité. Lesauditeurs du secteur public exercent leur jugement professionnel tout au long de lacollecte des éléments probants pour déterminer s’ils sont suffisants et appropriés.94. Le processus de collecte d’éléments probants est systématique et itératif etcomprend:a) la collecte d’éléments probants par la mise en œuvre de procédures d’auditappropriées;b) l’évaluation du caractère suffisant (quantité) et approprié (qualité) des élémentsprobants collectés;c) la réévaluation du risque et la collecte d’éléments probants supplémentaires, lecas échéant.95. Le processus de collecte des éléments probants se poursuit jusqu’à ce que l’auditeurdu secteur public estime qu’ils sont suffisants et appropriés pour étayer saconclusion.96. Dans bon nombre de cas, les contrôles par sondage peuvent servir à détecter les casde non-respect de textes législatifs et réglementaires. Le recours à des techniquesd’audit informatique est souvent utile et fait fréquemment partie intégrante d’un auditde conformité.97. L’auditeur recourt à toute une série de techniques pour collecter des élémentsprobants, entre autres:a) l’observation;b) l’inspection;c) la demande d’informations;d) la réexécution;e) la confirmation;f) les procédures analytiques.32

98. Les procédures permettant de collecter des éléments probants sont réparties en deuxcatégories principales:a) les tests des contrôles;b) les tests de validation, comme les procédures analytiques ou les tests dedétail.7.1.1 Observation99. L’observation comporte l’examen d’un processus ou de l’exécution d’une procédure.Lors de la réalisation d’un audit de conformité, l’observation peut consister àexaminer la mise en œuvre d’une procédure d’appel d’offres ou le traitement desprestations versées.7.1.2 Inspection100. L’inspection consiste en l’examen de livres, d’enregistrements et d’autres dossiers detravail ou de biens matériels. Lors de la réalisation d’un audit de conformité,l’inspection peut comporter l’examen des livres et des enregistrements afin dedéterminer comment les fonds consacrés à un projet ont été comptabilisés, ainsi quela comparaison entre la comptabilité et les termes de l’accord relatif au projet.L’inspection des dossiers de travail peut comprendre l’analyse de tous les documentspertinents pour établir si les bénéficiaires de prestations respectent les conditionsd’éligibilité. L’inspection consiste aussi parfois dans l’examen d’un bien, comme unpont ou un bâtiment, afin de vérifier si le cahier des charges y afférent a été respecté.101. Les auditeurs du secteur public vérifient la fiabilité de tous les documents examinés,tiennent compte du risque de fraude et envisagent la possibilité que ces documents nesoient pas authentiques. En cas de fraude, il est possible que deux séries de livres etd’enregistrements aient été tenues. Les auditeurs du secteur public peuventégalement interroger différentes personnes sur la source des documents ou sur lescontrôles relatifs à leur élaboration ou à leur tenue.7.1.3 Demande d’informations102. La demande d’informations consiste en la recherche d’informations auprès despersonnes concernées, à l’intérieur comme à l’extérieur de l’entité auditée. Lagamme des demandes d’informations va des demandes écrites et formelles à desdiscussions orales et informelles. Elle peut se dérouler sous la forme d’entretiensavec les personnes compétentes - y compris des experts - ou de questions adressées àcelles-ci. Il peut s’agir d’entretiens directs ou indirects (par exemple des appelstéléphoniques ou des réunions sur le Web). La demande d’informations comprendparfois l’élaboration et l’envoi de questionnaires ou d’enquêtes.33

103. La demande d’informations est généralement utilisée de façon extensive au cours del’audit et accompagne la mise en œuvre d’autres procédures d’audit. À titred’exemple, lorsque l’auditeur observe des processus en cours comme les versementsde prestations susmentionnés, des demandes d’informations sont souvent adresséesaux personnes compétentes afin de savoir comment elles déterminent et interprètentla législation en vigueur, notamment ses dernières modifications et actualisations.Ces demandes d’informations permettront parfois de constater, suivant l’endroit, desdifférences dans la façon de mettre en œuvre les procédures, ce qui peut donner lieuà des cas de non-conformité.104. Des demandes d’informations sont souvent adressées à des personnes extérieures à lafonction auditée. Par exemple, si une demande d’informations concerne le personnelchargé de la comptabilité, il peut être utile d’en transmettre une également aupersonnel des services juridique et technique.105. La demande d’informations n’est généralement pas suffisante en soi. Pour obtenirsuffisamment d’éléments probants appropriés, il faut y associer d’autres types deprocédures. La demande d’informations atteint une efficacité maximale lorsqu’elleest adressée à des personnes informées et compétentes, c’est-à-dire des personnesoccupant des postes hiérarchiques élevés, autorisées à se prononcer ou à formuler desopinions au nom de l’entité.7.1.4 Confirmation106. La confirmation est un type de demande d’informations. Elle vise à obtenir d’untiers, indépendant de l’entité auditée, une réponse au sujet d’informationsparticulières. S’agissant des audits de conformité, cette confirmation peut consisterdans l’obtention, par l’auditeur, d’informations en retour transmises directement parles bénéficiaires de subventions ou d’autres fonds que l’entité auditée affirme avoirversés. Il peut également s’agir de la confirmation que ces fonds ont été utilisés auxfins prévues par la convention de subvention ou de financement correspondante. Laconfirmation peut également comporter la transmission, par le législateur,d’orientations concernant l’interprétation à donner à un texte législatif donné.107. L’auditeur peut également obtenir de la direction des confirmations écrites dedéclarations verbales formulées pendant l’audit. Ces déclarations écrites de ladirection peuvent par exemple concerner:a) une assertion par laquelle la direction affirme qu’elle s’est conformée à untexte législatif applicable en la matière, aux termes d’une convention, etc.;b) la communication, par la direction, de tous les cas de non-conformité dont ellea connaissance;c) la transmission à l’auditeur, par la direction, d’informations exhaustives sur lesujet considéré.34

7.1.5 Réexécution108. La réexécution comporte la réalisation, de manière indépendante, de procéduresidentiques à celles effectuées par l’entité auditée. La réexécution peut être effectuéemanuellement ou à l’aide de techniques d’audit assistées par ordinateur. À titred’exemple, des études de dossiers de travail peuvent être réalisées afin de tester sil’entité auditée a pris les décisions adéquates ou a fourni le service approprié,conformément aux critères applicables. L’auditeur peut reproduire les différentesétapes du processus afin de vérifier, par exemple, le caractère approprié de visas oude permis de séjour octroyés, ou l’exercice de l’autorité budgétaire. Si les critèresd’attribution d’allocations familiales prévoient que celles-ci sont octroyées auxparents dont les enfants n’ont pas encore atteint un certain âge, les auditeurs dusecteur public peuvent envisager de refaire la sélection des bénéficiaires opérée parl’entité auditée à partir d’une base de données publique, en utilisant des techniquesd’audit assistées par ordinateur pour tester l’exactitude du processus suivi par laditeentité. De la même manière, si la sélection de soumissionnaires lors d’une procédured’appel d’offres dépend du respect de certains critères, l’auditeur pourrait effectuerde nouveau la procédure afin de vérifier que les soumissionnaires sélectionnésremplissent effectivement ces conditions. Lorsque l’audit porte sur des sujets trèstechniques (par exemple s’il s’agit de refaire le calcul des droits à pension ou dereproduire des modèles techniques), l’auditeur fait éventuellement appel à desexperts.7.1.6 Procédures analytiques109. Les procédures analytiques impliquent la comparaison de données ou l’investigationdes fluctuations ou des rapports relevés qui semblent incohérents. S’agissant desaudits de conformité, l’auditeur comparera par exemple l’augmentation, d’une annéeà l’autre, des pensions de retraite versées avec des informations d’ordredémographique, comme le nombre de citoyens ayant atteint l’âge de la retraite aucours de la dernière année. Lorsque les critères sont liés aux termes d’un accord quisubordonnent, par exemple, le financement d’un projet à des niveaux de performanceà atteindre, comme le nombre de personnes intégrées sur le marché du travail, toutemodification concernant le financement du projet pourra être comparée auxchangements observés dans les statistiques relatives à l’emploi.110. Les techniques comme l’analyse de régression ou d’autres méthodes mathématiquespeuvent permettre aux auditeurs du secteur public de comparer les résultats réels auxrésultats escomptés.111. Des indications supplémentaires sur les éléments probants et les procédures decollecte d’éléments probants figurent dans les documents ci-après: les normes ISSAI 1330, 1450, 1500, 1505, 1520, 1530, 1610 et 1620; la partie 4 et les annexes 3 des lignes directrices de l’INTOSAI pour la mise enœuvre des normes de vérification des résultats; le cadre d’assurance d’audit et la norme ISAE 3000 de l’IFAC.35

7.2 Documentation112. Les principes fondamentaux de contrôle disposent que les preuves d’audit recueilliesdoivent être étayées par un nombre suffisant de preuves documentaires(paragraphes 5.5 et 5.6 de la norme ISSAI 300). S’agissant des audits de conformité,la documentation inclut l’apport de preuves documentaires suffisantes sur lesquestions importantes pour étayer les conclusions formulées et les rapports publiés.La documentation d’audit doit être suffisamment complète et détaillée pourpermettre à un auditeur expérimenté, n’ayant pas participé à cet audit, de comprendrela nature du travail accompli pour étayer les conclusions (paragraphe 5.7 de lanorme ISSAI 300).113. L’apport de documents s’effectue tout au long du processus d’audit. Les auditeurs dusecteur public élaborent la documentation relative à l’audit de conformité en tempsopportun et tiennent à jour celle où sont consignés les critères utilisés, les travauxaccomplis, les éléments probants collectés, ainsi que les appréciations et les revuesréalisées. Les auditeurs du secteur public élaborent la documentation d’auditpertinente avant la publication de leur rapport. La documentation d’audit estconservée pendant une période appropriée.114. Des indications supplémentaires sur la documentation des audits de conformitéfigurent dans: la norme ISSAI 1230; les annexes 3 des lignes directrices de l’INTOSAI pour la mise en œuvre desnormes de vérification des résultats; la norme ISAE 3000 de l’IFAC.7.3 Communications115. Une bonne communication avec l’entité auditée au cours du processus d’audit peutcontribuer à rendre ce dernier plus efficace et constructif. La communications’effectue lors de différentes phases et à différents niveaux, par exemple:a) au cours de la phase initiale de planification, entre autres dans le cadre dediscussions au sujet de la stratégie d’audit, du calendrier, de la logistique, desresponsabilités, des critères de vérification pertinents et d’autres éléments de laplanification, avec des personnes occupant le niveau hiérarchique appropriéainsi que, le cas échéant, avec les personnes constituant le gouvernementd’entreprise, dans les limites prévues par les lois et les règlements en vigueur;b) au cours de la phase de réalisation de l’audit proprement dite et tout au long decelui-ci, entre autres par la collecte des éléments probants et des demandesd’informations aux personnes compétentes, le cas échéant. Toutes lesdifficultés majeures rencontrées au cours de l’audit, ainsi que les casimportants de non-conformité sont rapidement communiqués aux personnesoccupant le niveau hiérarchique approprié ou aux personnes constituant legouvernement d’entreprise. D’autres constatations moins importantes, qui nesont pas considérées comme significatives, ou qui ne sont pas appelées àfigurer dans le rapport de l’auditeur du secteur public, peuvent également être36

communiquées à la direction pendant l’audit. Cela permettra éventuellement àl’entité auditée de remédier aux cas de non-conformité et d’éviter que dessituations similaires se reproduisent à l’avenir. C’est pourquoi bon nombred’auditeurs du secteur public communiquent à la direction l’ensemble des casde non-conformité relevés;c) au cours de la phase d’établissement du rapport, entre autres par la publicationen temps opportun de rapports écrits à l’intention des utilisateurs présumés, del’entité auditée et d’autres personnes, le cas échéant.116. En vertu de leur mandat, certaines ISC peuvent ordonner à l’entité auditée decorriger les cas de non-conformité relevés. Dans ce cas, les auditeurs du secteurpublic déterminent si leur indépendance et leur objectivité risquent d’êtrecompromises et prennent les mesures appropriées afin d’éviter que cela se produise.117. Des indications supplémentaires sur la communication figurent dans les documentsci-après: la norme ISSAI 1260; les annexes 4 des lignes directrices de l’INTOSAI pour la mise en œuvre desnormes de vérification des résultats; la norme 3000 de l’IFAC.7.4 Considérations relatives à l’établissement de rapports sur les soupçonsd’actes illégaux118. Bien que la détection des actes potentiellement illégaux, entre autres des cas defraude, ne constitue normalement pas l’objectif premier d’un audit de conformité, lesauditeurs du secteur public intègrent les facteurs de risque de fraude dans leurévaluation des risques et sont attentifs, lors de leurs travaux, aux signes révélateursd’actes illégaux, y compris de cas de fraude.119. Lorsqu’ils réalisent des audits de conformité et qu’ils sont confrontés à des cas denon-conformité susceptibles d’être révélateurs d’actes illégaux ou de fraudes, lesauditeurs du secteur public font preuve de la diligence et de la prudenceprofessionnelles voulues de manière à ne pas entraver de futures investigations oupoursuites judiciaires possibles. Les auditeurs du secteur public peuvent envisager deconsulter des conseils juridiques ou les autorités de contrôle compétentes(paragraphe 4.7 de la norme ISSAI 300). En outre, ils peuvent faire part de leurssoupçons aux personnes occupant le niveau hiérarchique approprié ou aux personnesconstituant le gouvernement d’entreprise, puis vérifier si des mesures adéquates ontété prises. Étant donné que le mandat et la structure organisationnelle des ISCprésentent des différences au niveau international, il incombe à chacune d’entre ellesde déterminer les mesures appropriées à prendre en ce qui concerne les cas de nonconformitéliés à la fraude ou à de graves irrégularités (paragraphe 0.7, point b) de lanorme ISSAI 400).37

120. Compte tenu des limitations inhérentes à un audit, le risque que des actes illégaux, ycompris la fraude, la corruption ou le vol, se produisent et ne soient pas détectés parles auditeurs du secteur public est inévitable. Il peut s’agir d’actes destinés à cacherintentionnellement l’existence de fraudes. Il peut y avoir collusion entre la direction,des employés et des tiers, ou falsification de documents. Il n’est pas raisonnable, parexemple, de s’attendre à ce que les auditeurs du secteur public décèlent que desdemandes de subventions ou d’allocations sont étayées par des documents falsifiés,sauf s’il s’agit de faux plutôt grossiers. En outre, les auditeurs du secteur public n’ontpas toujours des pouvoirs d’enquête ni des droits d’accès auprès des personnes oudes organisations dont émanent ces demandes.121. Seul un tribunal est habilité à décider si une transaction donnée est illégale. Bienqu’ils n’établissent pas si un acte illégal a été commis, les auditeurs du secteur publicdoivent vérifier si les transactions en question sont conformes aux lois et auxrèglements en vigueur.122. Par leur nature même, les transactions frauduleuses ne sont pas conformes aux loisen vigueur. Les auditeurs du secteur public peuvent également établir que destransactions, dont le caractère frauduleux est soupçonné mais non encore prouvé, nesont pas en conformité avec la loi en vigueur. Si des actes illégaux significatifs sontconstatés, la conclusion d’audit est normalement modifiée.123. Si des soupçons d’actes illégaux apparaissent en cours d’audit, les auditeurs dusecteur public peuvent en informer les personnes occupant le niveau hiérarchiqueapproprié ou celles constituant le gouvernement d’entreprise, pour autant que la loiles y autorise. Ces dernières seront en l’occurrence probablement des fonctionnairesoccupant des postes hiérarchiques très élevés au sein d’organes ministériels ouadministratifs. Les auditeurs du secteur public assurent un suivi en veillant à ce quela direction ou les personnes constituant le gouvernement d’entreprise prennent lesmesures appropriées à l’égard des soupçons, par exemple la communication de cesderniers aux autorités compétentes chargées de l’application de la loi. Les auditeursdu secteur public communiquent parfois eux-mêmes ces informations aux autoritésen cause.124. Des indications supplémentaires sur les considérations en matière de traitement dessoupçons de fraude figurent dans les documents ci-après: la norme ISSAI 1240; la sous-section intitulée «Conformité aux lois et réglementations» de la partie 3des lignes directrices de l’INTOSAI pour la mise en œuvre des normes devérification des résultats.38

8 Évaluation des éléments probants et formulation deconclusions8.1 Considérations d’ordre général sur l’évaluation des éléments probantset sur la formulation de conclusions125. Les auditeurs du secteur public évaluent si les éléments probants collectés sontsuffisants et appropriés pour permettre de réduire le risque d’audit à un niveau assezfaible pour être acceptable. Pour effectuer cette évaluation, l’auditeur exerce unjugement professionnel et fait preuve d’esprit critique. Il doit également tenir comptedes éléments probants qui étayent les informations sur le sujet considéré et de ceuxqui semblent les contredire.126. Les éléments probants collectés sont évalués en fonction des niveaux d’importancerelative définis afin de détecter les cas potentiels de non-conformité significative. Ladétermination de la portée des constatations repose sur la notion d’importancerelative expliquée ci-dessus. Les constatations formulées lors d’audits de conformitédoivent être placées dans une perspective correcte; par exemple l’importance de lanon-conformité peut être exprimée en fonction du nombre de cas de non-conformitéou de la valeur monétaire correspondante (paragraphe 19 de la norme ISSAI 400).Les ISC exerçant une fonction juridictionnelle ont la possibilité de rendre unjugement sur les comptes et, en cas de non-conformité, d’imposer le remboursementdes montants indûment perçus et d’infliger des amendes ou d’autres pénalités.127. Les auditeurs du secteur public évaluent si, sur la base des éléments probantscollectés, ils ont obtenu une assurance raisonnable que les informations sur le sujetconsidéré sont, dans tous leurs aspects significatifs, conformes aux critères définis.Compte tenu des limitations inhérentes à un audit, les auditeurs du secteur public nesont pas censés détecter tous les cas de non-conformité.128. L’appréciation, par les auditeurs du secteur public, de ce qui constitue un écart deconformité significatif relève de leur jugement professionnel et s’appuie sur desconsidérations concernant le contexte, ainsi que les aspects quantitatifs et qualitatifsdes transactions ou des questions en cause.129. Un certain nombre de facteurs sont pris en considération lorsque l’auditeur exerceson jugement professionnel pour déterminer si un cas de non-conformité est ou nonsignificatif. Ces facteurs sont, entre autres:a) les quantités en cause (il peut s’agir de sommes d’argents ou d’autres mesuresquantitatives, comme le nombre de citoyens ou d’entités concernés, lesniveaux d’émissions de carbone, les retards par rapport à un délai imparti,etc.);b) les circonstances;c) la nature du cas de non-conformité;39

d) la cause du cas de non-conformité;e) les éventuels effets et conséquences du cas de non-conformité;f) la visibilité et le caractère plus ou moins sensible du programme en cause, (parexemple, «Fait-il l’objet d’un intérêt significatif de la part du public?», «A-t-ilune incidence sur les citoyens vulnérables?», etc.);g) les besoins et les attentes du législateur, du public ou d’autres utilisateurs durapport d’audit;h) la nature des textes législatifs et réglementaires en vigueur;i) l’ampleur de la non-conformité ou la somme d’argent qu’elle concerne.130. L’annexe 6 présente plusieurs exemples d’écarts de conformité et de considérationsconcernant l’importance relative et la formulation de conclusions.131. Des indications supplémentaires sur la formulation de conclusions figurent dans lesdocuments ci-après: la norme ISSAI 1700; la section 4.5 des lignes directrices de l’INTOSAI pour la mise en œuvre desnormes de vérification des résultats; la norme ISAE 3000 de l’IFAC.8.2 Déclarations écrites des fonctionnaires responsables132. Lors de l’évaluation des éléments probants et de la formulation des conclusions, lesauditeurs du secteur public peuvent essayer, si les circonstances l’imposent, d’obtenirdes déclarations écrites pour corroborer les éléments probants collectés. Cesdéclarations peuvent contenir l’affirmation que les activités, les transactionsfinancières et les informations de l’entité sont conformes aux textes législatifs etréglementaires qui les régissent, ou que des systèmes de contrôle donnés ontfonctionné de manière efficace pendant toute la période couverte par l’audit.133. Des indications supplémentaires sur les déclarations écrites figurent dans lanorme ISSAI 1580.8.3 Événements postérieurs à l’audit134. Les auditeurs du secteur public mettent en œuvre des procédures permettant dedéterminer si des événements postérieurs aux travaux d’audit sur le terrain etantérieurs au rapport d’audit de conformité sont susceptibles d’entraîner desanomalies significatives en matière de conformité et, par suite, de requérir uneinformation particulière ou d’avoir une incidence sur la conclusion ou le rapport del’auditeur. Ces procédures consistent normalement en une demande d’informations,40

en l’obtention de déclarations écrites de la direction ou en l’examen de lacorrespondance pertinente, des procès-verbaux de réunions, des rapports publiés oudes informations financières sur les périodes ultérieures (élaborés sur base mensuelleou trimestrielle), etc. L’ampleur des travaux relatifs aux événements postérieurs àl’audit dépendra de la nature des sujets concernés et du temps écoulé entre la fin destravaux sur le terrain et la publication du rapport.135. Des indications supplémentaires sur les événements postérieurs figurent dans lesdocuments ci-après: la norme ISSAI 1560; la norme ISAE 3000 de l’IFAC.41

9 Établissement de rapports136. L’établissement de rapports est un élément essentiel d’un audit du secteur public. Ilconsiste notamment à faire état des écarts de conformité et des atteintes aux normesen vigueur, afin que des mesures correctrices puissent être prises et que les personnesresponsables soient tenues de rendre compte. À cet effet, les principes fondamentauxde contrôle disposent qu’un rapport écrit exposant les constatations de façonappropriée doit être établi au terme de chaque audit (paragraphe 7, point a) de lanorme ISSAI 400).137. L’intégralité des informations, l’objectivité et le respect des délais sont des principesimportants pour l’établissement de rapports sur la conformité. Les auditeurs dusecteur public veillent à ce que les rapports contiennent des données factuellesexactes et présentent les constatations dans une perspective correcte et de manièreéquilibrée. Cela implique le respect du droit à la contradiction, qui comporte lavérification des faits avec l’entité auditée et, le cas échéant, l’intégration desréponses des fonctionnaires responsables dans le rapport.9.1 Forme et contenu des rapports relatifs aux audits de conformité138. La forme du rapport écrit peut varier en fonction des circonstances. Toutefois, uneprésentation harmonisée du rapport de l’auditeur aide les utilisateurs à comprendreles travaux d’audits réalisés et les conclusions formulées, ainsi qu’à repérer lescirconstances inhabituelles lorsqu’elles surviennent.139. De nombreux facteurs sont susceptibles d’influencer la forme du rapport relatif à laconformité. Parmi ceux-ci figurent, entre autres, le mandat de l’ISC, la législation oules règlements en vigueur, l’objectif d’un audit de conformité particulier, lespratiques courantes en matière d’établissement de rapports et la complexité desquestions examinées dans le cadre de ceux-ci. De plus, la forme du rapport peutdépendre des besoins des utilisateurs présumés, selon qu’il doit être transmis aulégislateur ou à d’autres tiers, comme des organisations donatrices, des organismesinternationaux ou régionaux, ou encore des institutions financières.140. Compte tenu des facteurs susmentionnés, une ISC peut juger qu’il convientd’élaborer soit un «rapport court», soit un «rapport long». Les rapports longs (parfoisappelés aussi «rapport spécial relatif à un audit de conformité») exposentgénéralement en détail les constatations et les conclusions d’audit, y compris lesconséquences potentielles et les recommandations constructives. En revanche, lesrapports courts sont, comme leur nom l’indique, plus succincts et leur format estsouvent plus normalisé.141. Des indications sur la forme et le contenu des rapports sont présentées ci-après. Pourdes raisons pratiques, les exemples figurant dans les annexes 7 à 12 des présenteslignes directrices sont des rapports courts. Compte tenu de la taille des rapportslongs, aucun exemple n’en est donné ici. Les auditeurs du secteur public sont42

toutefois invités à naviguer sur les sites Web des ISC pour trouver des exemplesvalables de rapports spéciaux relatifs à un audit de conformité.142. Même si le mandat d’une ISC prévoit une forme de rapport différente de cellesenvisagées dans les présentes lignes directrices, ces dernières peuvent cependants’avérer utiles pour les auditeurs du secteur public, qui pourront toujours lesappliquer en les adaptant, le cas échéant, aux circonstances particulières.9.1.1 Rapports relatifs à un audit de conformité143. En règle générale, un rapport relatif à un audit de conformité comprend les élémentsci-après (qui peuvent être présentés dans un ordre différent):1. un intitulé;2. le destinataire;3. les objectifs et l’étendue de l’audit, y compris la période couverte;4. la mention ou la description des informations sur le sujet considéré (et, le caséchéant, du sujet considéré);5. les critères définis;6. une explication des responsabilités des différentes parties (base juridique);7. le recensement des normes d’audit appliquées lors des travaux d’audit;8. une synthèse des travaux réalisés;9. une conclusion;10. les réponses de l’entité auditée (le cas échéant);11. les recommandations (le cas échéant);12. la date du rapport;13. une signature.144. Les paragraphes ci-après donnent des indications sur les éléments d’un rapport relatifà un audit de conformité qui méritent une attention particulière de la part desauditeurs du secteur public.43

9.1.1.1 Critères identifiés145. Les critères en fonction desquels le sujet considéré est évalué sont mentionnés dansle rapport de l’auditeur. S’agissant des audits de conformité, ces critères peuventvarier considérablement d’un audit à l’autre. Il est donc important de définirclairement les critères dans le rapport relatif à l’audit de conformité, afin que sesutilisateurs comprennent les éléments étayant les travaux et les conclusions desauditeurs du secteur public. Le texte du rapport peut soit mentionner ces critères soity faire référence s’ils sont présentés dans une assertion de la direction ou dans uneautre source fiable et facilement accessible.146. Si les critères sont difficiles à cerner ou ont dû être déterminés à partir de sourcespertinentes, ceux qui sont appliqués lors de l’audit doivent être clairement définisdans la section ad hoc du rapport de l’auditeur. Si les critères sont contradictoires,ces contradictions devront être expliquées. Le cas échéant et dans la mesure dupossible, une explication des conséquences éventuelles et des recommandationsdevra également être fournie.9.1.1.2 Conclusions147. En fonction de l’étendue de l’audit et du mandat correspondant, la conclusion peutêtre exprimée sous la forme d’une déclaration d’assurance ou d’une réponse plusélaborée à des questions d’audit spécifiques. Le type de libellé peut dépendre dumandat de l’ISC et du cadre juridique dans lesquels s’inscrit l’audit.148. Si aucun cas significatif de non-conformité n’est relevé, l’auditeur formule uneconclusion sans réserve. À titre d’exemple, une conclusion sans réserve peut êtreformulée comme suit (la formulation idoine doit figurer dans les parenthèses): «Surla base des travaux d’audit réalisés, nous sommes d’avis que [les informations del’entité auditée sur le sujet considéré] sont, dans tous leurs aspects significatifs,conformes [aux critères appliqués].»149. Les auditeurs du secteur public peuvent, le cas échéant, modifier leur conclusionlorsqu’ils relèvent:a) des cas significatifs de non-conformité qui, en fonction de l’ampleur de celleci,donneront lieu à:i. une conclusion avec réserve («Sur la base des travaux d’audit réalisés,nous sommes d’avis que, à l’exception de [décrire la réserve], lesinformations de l’entité auditée sur le sujet considéré sont, dans tousleurs aspects significatifs, conformes [aux critères appliqués]…»),ii.une conclusion défavorable («Sur la base des travaux d’audit réalisés,nous sommes d’avis que les informations sur le sujet considéré ne sontpas conformes…»);b) une limitation de l’étendue de l’audit qui, en fonction de son ampleur, donneralieu à:44

i. une conclusion avec réserve («Sur la base des travaux d’audit réalisés,nous sommes d’avis que, à l’exception de [décrire la réserve], lesinformations de l’entité auditée sur le sujet considéré sont, dans tousleurs aspects significatifs, conformes [aux critères appliqués]…»),ii.une impossibilité de formuler une conclusion («Sur la base des travauxd’audit réalisés, nous ne sommes pas en mesure d’aboutir à uneconclusion. En conséquence, nous ne formulons aucune conclusionsur…»)150. Les auditeurs du secteur public fournissent des informations sur les raisons qui lesont amenés à modifier leur conclusion. Pour ce faire, ils peuvent décrire, dans lerapport, les cas particuliers de non-conformité significative, par exemple en ajoutant,avant leur conclusion, un paragraphe ou une section présentant les éléments surlesquels elle s’appuie.151. Les auditeurs du secteur public peuvent estimer nécessaire d’approfondir des pointsparticuliers qui ne remettent pas en cause la conclusion relative à la conformité. Dansces circonstances, ils présentent ces points dans:a) un paragraphe d’observation (quand l’observation en question porte sur unélément présenté et relevé dans les assertions de la direction qui n’est pasaffecté par des inexactitudes significatives, par exemple si elle souligne unefaiblesse systématique ou une incertitude qui ne pourra être levée qu’enfonction d’événements futurs, comme lorsqu’une autorité compétente doitencore déterminer si un élément est conforme à la loi);b) un paragraphe sur d’autres points (portant sur des points, autres que ceuxprésentés et relevés dans les assertions de la direction, qui ne remettent pas encause la conclusion relative à la conformité, par exemple la nécessité, pour lelégislateur, de prendre des mesures en cas de conflit entre deux sources dedroit différentes).Des exemples figurent à l’annexe 11.9.1.1.3 Réponses de l’entité auditée152. La prise en considération du point de vue des fonctionnaires responsables parl’intégration des réponses de l’entité auditée dans le rapport fait partie du principe dudroit à la contradiction. Ce principe est une caractéristique unique et importante del’audit du secteur public. Il s’agit de présenter les insuffisances ou de formuler lescritiques de manière à encourager l’adoption de mesures correctrices (paragraphes 20et 24 de la norme ISSAI 400). Cela implique que l’auditeur et l’entité auditée semettent d’accord sur les faits afin de s’assurer qu’ils sont complets, précis etprésentés objectivement. Il peut s’avérer nécessaire de reprendre intégralement ousous forme résumée les réponses de l’entité auditée au sujet des points sur lesquelsl’auditeur s’est interrogé.45

9.1.1.4 Formulation de recommandations constructives153. Les principes fondamentaux de contrôle soulignent également que les rapportsdoivent être constructifs. Cela signifie que le rapport de l’auditeur peut comporter, lecas échéant, des recommandations susceptibles d’apporter des améliorations. Cesrecommandations peuvent être constructives pour l’entité auditée, mais elles nedoivent pas être trop détaillées de façon à ne pas porter atteinte à l’objectivité del’auditeur lors de futurs audits (paragraphes 4, 20 et 25 de la norme ISSAI 400).9.1.1.5 Date du rapport154. La date du rapport ne doit pas être antérieure à celle de la collecte, par les auditeursdu secteur public, d’un nombre suffisant d’éléments probants appropriés pour étayerleur conclusion.9.1.1.6 Signature155. Le rapport est signé par la personne disposant de l’autorité voulue pourreprésenter l’ISC. Il peut s’agir de l’auditeur général, d’un fonctionnaire habilité, oude deux fonctionnaires auxquels l’autorité voulue a été déléguée.9.1.1.7 Rapports d’assurance limitée156. À titre exceptionnel, les présentes lignes directrices peuvent, moyennant certainesadaptations le cas échéant, s’appliquer à des rapports relatifs à une missiond’assurance limitée. Comme cela est expliqué dans la section des présentes lignesdirectrices consacrée à l’étendue de l’audit, la conclusion peut être formulée commesuit (la formulation idoine doit figurer dans les parenthèses) lors des missionsd’assurance limitée: «Nous n’avons eu connaissance d’aucun élément indiquant que[les informations de l’entité auditée sur le sujet considéré] ne sont pas, dans tousleurs aspects significatifs, conformes [aux critères appliqués].»157. Lors des missions d’assurance limitée, les travaux réalisés doivent représenter unequantité suffisante afin qu’une conclusion puisse être formulée, même si cettequantité est inférieure à celle permettant d’aboutir à une conclusion avec uneassurance raisonnable. Néanmoins, les auditeurs du secteur public vérifient sisuffisamment d’éléments probants appropriés ont été collectés pour pouvoir formulerune conclusion avec une assurance limitée.9.1.1.8 Constatations incidentes158. Les auditeurs du secteur public sont souvent confrontés à des exemples de nonconformitéqui relèvent d’autres types d’audit en cours. Même si l’auditeur necherchait pas activement à découvrir si une situation donnée existait ou non, lesattentes du public peuvent avoir une influence sur sa décision de faire part de cesconstatations incidentes dans son rapport. Bien que les auditeurs du secteur public46

aient la possibilité de communiquer ces constatations, elles ne font pas partie del’étendue de l’audit de conformité. En principe, l’auditeur ne cherche pas à obtenirou à fournir une assurance raisonnable quant à l’existence ou non de la situation liéeaux constatations incidentes, sauf en cas de réévaluation de l’étendue de l’audit etd’intégration de ces constatations incidentes dans l’audit de conformité en cours.Toutefois, il se peut que l’auditeur soit en mesure de formuler une conclusion avecune assurance limitée, en fonction des circonstances. En tout état de cause, lorsque cetype de situation est exposé dans le rapport, il convient, le cas échéant, d’informer lelecteur sur le niveau d’assurance en cause (raisonnable ou limitée).9.1.2 Rapports spéciaux relatifs à un audit de conformité («rapports longs»)159. Suivant les besoins des utilisateurs et l’objectif particulier de l’audit de conformité,une ISC peut décider de communiquer les résultats d’un audit de conformité dans unrapport spécial. Ces rapports spéciaux s’apparentent davantage aux rapportshabituellement établis dans le cadre d’audits de la performance et présentent lesobservations, les conclusions et les recommandations d’audit d’une façon plusdétaillée que les rapports courts mentionnés dans la section précédente. Dans certainscas, ce type de rapport vient s’ajouter à un rapport court relatif à un audit deconformité.160. Comme pour les rapports courts, une certaine harmonisation du rapport spécial del’auditeur sur le plan formel peut aider les utilisateurs à comprendre les travauxd’audits réalisés et les conclusions formulées, ainsi qu’à repérer les circonstancesinhabituelles lorsqu’elles surviennent.161. En règle générale, les rapports spéciaux relatifs à un audit de conformitécomprennent tous les éléments mentionnés dans les indications sur les rapportscourts. La structure des rapports longs comporte néanmoins souvent les sections ciaprès(dont l’ordre peut varier).a) Page de titreb) Table des matièresc) Glossaire (le cas échéant)d) Synthèsee) Introduction, objectifs et étenduef) Observations et constatationsg) Conclusions et recommandationsh) Réponses de l’entité auditéei) Annexes (le cas échéant)47

9.1.2.1 Page de titre, table des matières et glossaire162. La page de titre présente clairement le titre du rapport, sa date, son(ses)destinataire(s) et le responsable de son élaboration, à savoir, en principe, l’ISC.163. L’ajout d’une table des matières, surtout en cas de rapport volumineux, permet destructurer celui-ci et d’orienter le lecteur vers les domaines qui l’intéressent plusparticulièrement.164. Un glossaire peut également s’avérer utile aux lecteurs si une terminologie techniqueou inhabituelle, des acronymes, des abréviations ou des termes utilisés dans uneacception très contextuelle apparaissent à de nombreuses reprises dans le rapport.9.1.2.2 Synthèse165. La synthèse est l’un des éléments cruciaux d’un rapport dans la mesure où c'estsouvent la partie la plus lue par les utilisateurs. Elle doit refléter de manière exacte etcomplète, ainsi que de façon concise et équilibrée, le contenu du rapport. Pourqu’elle soit efficace, sa longueur ne doit normalement pas dépasser une à deux pages.166. La synthèse est principalement centrée sur les critères définis (questions importantesauxquelles une réponse doit être apportée) et comprend un résumé des principalesconclusions et recommandations d’audit, formulées en fonction de ces critères(réponses aux questions).167. Dans certains cas, un organigramme ou un diagramme permet de présenter desconclusions d’audit majeures sous une forme facilitant la compréhensiond’informations complexes ou volumineuses par les utilisateurs. Il pourrait alorss’avérer utile, pour ces derniers, que des informations graphiques soient intégréesdans la synthèse.9.1.2.3 Introduction, objectifs et étendue168. L’introduction définit le contexte de l’audit, y compris les objectifs et l’étendue decelui-ci, la mention ou la description du sujet considéré ou des informations yafférentes, les critères définis, les responsabilités des différentes parties concernées,ainsi que les normes d’audit appliquées lors de la réalisation des travaux.169. L’introduction est généralement brève et ne comporte pas beaucoup de détails. Lecas échéant, des informations détaillées et pertinentes peuvent figurer dans lesannexes.48

9.1.2.4 Observations et constatations170. La section présentant les observations et les constatations constitue le corps durapport spécial relatif à un audit de conformité. Elle décrit les travaux d’audit réaliséset les constatations correspondantes. Sa structure doit être logique, normalementarticulée autour des critères définis; elle doit aider le lecteur à suivre l’enchaînementlogique des éléments concernant un argument donné.171. S’agissant de la présentation des observations et des constatations d’audit,l’utilisateur doit pouvoir repérer les quatre éléments ci-après afin de mieuxcomprendre les travaux d’audit réalisés, ainsi que l’importance et les conséquencesdes constatations.a) Les critères: les éléments de référence ou les mesures en fonction desquels laperformance est comparée ou évaluée.b) Les conditions: la situation rencontrée.c) La cause: la source et les raisons de la situation rencontrée.d) L’effet: l’incidence et les conséquences de la situation rencontrée(l’importance relative des constatations, leur incidence sur le budget, sur lescitoyens ou sur les utilisateurs, les répercussions sur les principes de bonnegestion du secteur public, etc.).172. Lorsqu’une grande quantité de données sont présentées pour étayer les constatationsd’audit, il est souvent préférable de les faire figurer en annexe.9.1.2.5 Conclusions et recommandations173. L’objectif premier de la section contenant les conclusions et les recommandations durapport est double:a) donner des réponses claires (conclusions) aux questions d’audit (critèresdéfinis),b) formuler, le cas échéant, des recommandations constructives et pratiques envue d’améliorations.174. L’efficacité des recommandations est maximale lorsque leur tonalité est positive etqu’elles visent les résultats, en indiquant clairement quelles mesures doivent êtreprises et en précisant à quel moment et par qui elles doivent être mises en œuvre. Ilconvient de tenir compte des coûts lorsque les modalités pratiques liées auxrecommandations sont définies.175. Quand des écarts importants de conformité sont constatés, des recommandations sontformulées si les observations ont montré qu’une amélioration significative estpossible. Il peut être utile, pour les utilisateurs, que les auditeurs du secteur publicmettent en évidence les mesures correctrices en cours.49

176. Des recommandations constructives et pratiques permettent certes de promouvoirune gestion saine du secteur public. Toutefois, les auditeurs du secteur public veillentà ne pas formuler des recommandations détaillées relevant de la responsabilité de ladirection, afin de ne pas compromettre leur propre objectivité.9.1.2.6 Réponses de l’entité auditée177. Comme cela est précisé dans les indications concernant les rapports courts, leprincipe du droit à la contradiction - qui implique d’obtenir l’accord de l’entitéauditée sur les faits et d’intégrer ses réponses dans le rapport - s’applique égalementlors de l’établissement de rapports longs. Il peut s’avérer nécessaire de reprendreintégralement ou sous forme résumée les réponses de l’entité auditée au sujet despoints sur lesquels l’auditeur s’est interrogé.178. Les réponses de l’entité auditée peuvent figurer dans une section distincte du rapportspécial ou dans une annexe, en fonction de leur volume.179. La présentation, dans le rapport, des points de vue des fonctionnaires responsablespermet d’assurer la mise en œuvre pratique des recommandations et d’obliger cesderniers à rendre compte de leurs actions.9.1.2.7 Annexes180. Le cas échéant, l’auditeur peut fournir des informations détaillées ou supplémentairessur l’audit aux utilisateurs dans des annexes. Ces informations peuvent apparaîtresous forme de texte ou de tableau, ou encore faire l’objet d’une présentationgraphique (diagrammes, organigrammes ou photographies). Ces informationspeuvent aider à comprendre les constatations d’audit, leurs causes et leurs effets.181. Des indications supplémentaires sur l’établissement de rapports figurent dans lesdocuments ci-après: les normes ISSAI 1700, 1705 et 1706; la partie 5 des lignes directrices de l’INTOSAI pour la mise en œuvre des normesde vérification des résultats; la norme ISAE 3000 de l’IFAC et la «norme internationale sur les missionsd’examen de l’information financière» ou norme ISRE 2400.9.2 Processus de suivi182. Les principes fondamentaux de contrôle mettent l’accent sur la formulation derecommandations constructives dans le rapport et sur le suivi supplémentaire àassurer éventuellement en ce qui concerne la correction des insuffisances mises aujour (paragraphe 26 de la norme ISSAI 400). La nécessité de suivre les cas de nonconformitérelevés précédemment dépendra de leur nature et des circonstances50

particulières dans lesquelles ils s’inscrivent. Ce suivi peut consister, pour l’auditeur,à adresser formellement des rapports au législateur, ainsi qu’à l’entité auditée ou auxautres organismes concernés. Il existe d’autres processus de suivi, qui peuvents’articuler autour de rapports, de revues et d’évaluations internes réalisées par l’entitéauditée ou par d’autres entités, d’un audit de suivi, de conférences et de séminairesorganisés pour ou par l’entité auditée, etc. En règle générale, un processus de suivifacilite la mise en œuvre effective des actions correctrices et permet le retourd’informations utiles vers l’entité auditée et vers les utilisateurs du rapport et lesauditeurs du secteur public pour la planification d’audits futurs. Les processus desuivi sont parfois prévus dans le mandat de l’ISC.183. Des indications supplémentaires sur les processus de suivi figurent dans le documentci-après:partie 5.5 des lignes directrices de l’INTOSAI pour la mise en œuvre des normesde vérification des résultats.51

10 Orientations complémentaires à l’intention des auditeurs dusecteur public travaillant dans une ISC exerçant une fonctionjuridictionnelle184. En raison du statut de juridiction qui leur est conféré, les ISC exerçant une fonctionjuridictionnelle disposent du pouvoir de prononcer des jugements et des arrêtsconcernant les comptes et les personnes responsables, y compris les comptables et lesordonnateurs (paragraphe 21 de la norme ISSAI 100).10.1 Réalisation d’audits dans une ISC exerçant une fonctionjuridictionnelle185. Lorsqu’ils réalisent des audits de conformité des différents comptes publics ou dubudget général de l’État, les auditeurs d’une ISC exerçant une fonctionjuridictionnelle veillent également à:a) obtenir une assurance raisonnable quant à savoir si les informations présentéesdans les différents comptes publics et les transactions sous-jacentes sont, danstous leurs aspects significatifs, conformes aux textes législatifs etréglementaires qui les régissent;b) déterminer si le budget de l’État a été exécuté, dans tous ses aspectssignificatifs, conformément aux textes législatifs et réglementaires applicablesen la matière et régissant les différents comptes publics;c) porter les constatations à la connaissance des parties concernées.186. Le statut particulier de juridiction évoqué ci-dessus peut également obliger lesauditeurs du secteur public travaillant dans une ISC exerçant une fonctionjuridictionnelle à tenir compte d’éléments supplémentaires lorsqu’ils programment etréalisent des audits de conformité. Il peut s’agir, entre autres:a) d’identifier la(les) personne(s) susceptible(s) d’être considérée(s) commeresponsable(s) d’actes non conformes, en raison des implications juridiquesque le jugement de l’ISC est susceptible d’avoir pour elle(s). Lesfonctionnaires peuvent être personnellement tenus pour responsables de laperte ou du gaspillage de deniers publics et, par suite, se voir contraints derembourser intégralement le montant de ces pertes;b) de prendre en considération le délai de prescription en vigueur, les actesinterruptifs de prescription de la responsabilité personnelle et la périodeexacte pendant laquelle les fonctionnaires peuvent être tenus pourresponsables;c) d’opérer une distinction entre la responsabilité personnelle pour des actes nonconformes et la responsabilité pour des actes illégaux (soupçons de fraude).52

Pour ces derniers, la mise en œuvre de procédures d’audit supplémentairessera peut-être nécessaire;d) de collaborer, s’il y a lieu, avec les procureurs et la police pour acquérir uneconnaissance de l’entité auditée et de son environnement, évaluer les risquesde non-conformité, traiter les cas de non-conformité susceptibles d’êtrerévélateurs d’une fraude, ainsi qu’établir des rapports sur ces questions;e) d’envisager la nécessité de recourir à des procédures supplémentaires àdifférents niveaux ou à des procédures plus formalisées en matière decontrôle de la qualité;f) de demander les informations par écrit (et non de vive voix);g) de s’assurer que la documentation d’audit est conforme aux régimesprobatoires en vigueur;h) de communiquer les informations de manière très formelle;i) de mentionner dans le rapport les critères précis en fonction desquels lesfonctionnaires peuvent être tenus pour responsables, y compris les montantsprobablement en cause;j) de réfléchir à la manière la plus appropriée de présenter les conclusions, ycompris les recommandations, la détermination des préjudices subis, ou lesdécisions de justice susceptibles de donner lieu à une décharge formelleconcernant une responsabilité ou à l’attribution formelle d’une responsabilité.10.2 Communication et application de la loi187. Par ailleurs, les auditeurs d’une ISC exerçant une fonction juridictionnelle font étatdes problèmes de conformité - susceptibles de causer des préjudices, de donner lieu àune action en justice ou à des poursuites judiciaires pour une infraction criminelle -au juge, au procureur, à la section de l’ISC habilitée à traiter les questions relativesaux jugements, ou, le cas échéant, à tout autre organisme compétent. En outre,les ISC exerçant une fonction juridictionnelle peuvent également adresser auxfonctionnaires responsables de l’entité auditée des remarques d’ordre plus général oude caractère informatif découlant des travaux d’audit.188. Lorsque des ISC exerçant une fonction juridictionnelle appliquent la législationrelative à la fonction publique, leurs décisions sont soumises à un certain nombred’éléments:a) le respect des garanties prévues par la loi et l’audience publique;b) la divulgation publique;53

c) l’information des autorités chargées de l’application de la loi s’il existe despreuves d’une infraction criminelle.10.3 Processus en place dans différents types d’ISC exerçant une fonctionjuridictionnelle189. S’agissant des ISC exerçant une fonction juridictionnelle, les travaux réaliséspeuvent comporter différentes phases, dont l’audit, l’instruction et le jugementformel.190. Plusieurs ISC exerçant une fonction juridictionnelle appliquent la procédure d’auditdécrite dans les présentes lignes directrices. Au terme des différentes phases que sontla planification, la réalisation et la collecte des éléments probants, des questionssupplémentaires et spécifiques peuvent toutefois se poser et donner lieu à l’ouvertured’une procédure d’instruction et, finalement, à un jugement formel.191. Si un juge ou un procureur décident d’instruire une affaire, l’objectif de l’instructionest de collecter suffisamment d’éléments probants attestant la culpabilité oul’innocence du fonctionnaire soupçonné d’avoir causé un préjudice, de sorte qu’unjugement puisse être rendu.192. Dans plusieurs ISC exerçant une fonction juridictionnelle, les auditeurs peuventparfois jouer le rôle de juges et être habilités non seulement à auditer mais aussi àrendre des jugements formels. Le cas échéant, la phase de l’instruction fait partieintégrante des phases de l’audit, à savoir la planification, la réalisation et la collected’éléments probants, afin que l’audit soit programmé de manière à les couvrir toutes.54

Annexe 1 - Exemples de sujets considérés, d’informations yafférentes et de critères appropriés, dans le contexte des audits deconformitéLe tableau ci-après fournit des exemples de sujets considérés, d’informations y afférentes etde critères appropriés. Cette liste n’est pas censée être exhaustive. Le sujet considéré, lesinformations y afférentes et les critères peuvent varier en fonction d’une série de facteurscomme le mandat de l’ISC et l’objectif d’un audit particulier.Sujet considéré1 La performancefinancière etl’utilisation des créditsmis à disposition.Ce sujet peutcomprendre l’exécutionbudgétaire et impliquer,entre autres, lavérification quel’utilisation des fondsest conforme auxobjectifs et auxintentions dulégislateur. Dans bonnombre d’ISC, ce typed’audit de conformitépeut être associé à unaudit de la régularité,qui comporte lecontrôle des étatsfinanciers.Des indications plusspécifiques sur cethème particulierfigurent à l’annexe 1-A de lanorme ISSAI 4200.2 La performancefinancière, par exempleles recettes sous forme: de fondsconsacrés à unprojet par desorganismesInformations sur le sujetconsidéréLes informations financières(les états financiers parexemple)Les informations financièressur un projet/les comptesrelatifs à un projetCritèresLe droit budgétaire en vigueur,comme une loi portantouverture de créditsLe budget approuvéLa législation en vigueurrelative à l’utilisation desfonds du gouvernement fédéral(par exemple un «single auditact» (loi sur le contrôle uniquedes États-Unis d’Amérique))55

Sujet considérédonateurs, de fonds degouvernementsfédéraux, d’autres typesde fondssimilaires,et leur utilisation3 La performancefinancière, par exempleles recettes perçuessous forme desubventions, ainsi quel’utilisation des recettes4 La performancefinancière, par exemplela conformité desrecettes ou desdépenses par rapportaux dispositions d’uncontrat ou d’un contratde prêt, ainsi que leurutilisation5 La passation demarchés publicsInformations sur le sujetconsidéréLes informations financièresliées à l’utilisation de lasubventionLes informations financièresliées au contrat ou au contratde prêtLes informations financièresCritèresLes activités pour lesquellesl’entité auditée a été mandatéeLes termes de la convention definancementLes activités pour lesquellesl’entité auditée a été mandatéeLes termes de la convention definancementLes termes du contrat ou ducontrat de prêtLa législation et laréglementation en vigueur enmatière de passation demarchés publics (aux niveauxnational et international)Les termes d’un contrat passéavec un fournisseur6 Les dépenses Les informations financièresUne déclaration deconformitéLe droit budgétaire en vigueur,comme une loi portantouverture de créditsUne autre législation envigueurLes directives ministérielles envigueur, les exigences liées àla politique du gouvernementet les résolutions émanant dulégislateur56

Sujet considéré7 Les activités dans lecadre du programme8 La fourniture d’unserviceInformations sur le sujetconsidéréLes indicateurs ou rapportsd’activitéUne déclaration relative à lafourniture du serviceCritèresLes termes d’un contratLes niveaux convenus deperformance, comme ceuxfixés par les lois et lesrèglements, les directivesministérielles, les objectifsacceptés par le législateur oupar l’entité, les traitésinternationaux, les protocoles,les conventions ou les accords,un accord de niveau de service,les termes d’un contrat, lesnormes industriellesgénéralement admises ou lesattentes raisonnables du public.Quelques exemples peuventêtre cités: le nombre de places enjardin d’enfants par rapportau nombre d’enfantséligibles, le nombre d’infirmiers etde médecins qualifiés parrapport au nombre decitoyens, le nombre de milles deroute revêtue, la durée, en mois, de laprocédure permettantd’obtenir les versements deprestations ou des permisde bâtir, la fréquence et la qualitédes informationscomptables à fournir par unorganisme de service, le nombre d’inspectionsd’un bâtiment à réaliser aucours d’une périodedonnée, l’analyse des résultats liés àla qualité de l’eau, etc.La législation ou les directivesapplicables57

Sujet considéré9 La rectitude d’unedécision administrativede nature publiqueInformations sur le sujetconsidéréLes informations renduespubliquesLe registre de plaintes descitoyensLes informations renduespubliquesCritèresLa législation ou les directivesapplicables10 La responsabilitésociale institutionnelle,par exemple l’audit desprojets financés par lesdeniers publics dans lespays en développement11 La bonneconduite/administration12 Les obligations demembres13 Les processus relatifs àla santé et à la sécuritéUne déclaration deconformité avec lesdispositions en matièrede responsabilité socialeinstitutionnelle (ou l’absenced’une telle déclaration)Une déclaration deconformité, par exemple unedéclaration relative àl’indépendance (compétencejuridique).Dans le secteur public, cette«déclaration» est parfoisimplicite et liée aux notionsde probité et de bonneadministration (voir sectionsur les critères).Une déclaration deconformitéUne déclaration deconformitéLa législation ou les directivesen vigueur dans les domainescomme les droits humains etcivils, l’égalité entre leshommes et les femmes, le lieude travail, l’environnement,etc.La législation ou les directivesen vigueur concernant la bonneconduite des fonctionnairesUn code de déontologie ou uncode de conduite élaboré eninterne.Les valeurs déclarées ou lesprincipes en matièred’encadrementLes politiques, les manuels etles lignes directrices internesLes termes de référence del’organisation, ses règlementsadministratifs ou similairesLes termes d’un contrat (parexemple les exigencesconvenues en matière deconfidentialité ou dequarantaine à la suite decertaines situations de travail)Les conditions d’adhésionLa législation en vigueur enmatière de santé et de sécurité58

Sujet considéré14 Les processus relatifs àla protection del’environnement15 Les processus decontrôle interne16 Les processusparticuliers auxactivités et auxopérations de l’entité,Informations sur le sujetconsidéréLes transactions financièresUne déclaration deconformitéLes transactions financièresUne déclaration deconformitéLes transactions financièresUne déclaration deconformitéLes transactions financièresCritèressur le lieu de travail, parexemple concernant l’accèsaux handicapésLes politiques, les processus,les manuels, les lignesdirectrices, etc.La législation en vigueur enmatière d’environnement, parexemple celle liée à la qualitéde l’eau, à l’élimination desdéchets ou aux niveauxd’émissions de carboneLes dispositions des traités, desprotocoles, des conventions oudes accords internationauxdans le domaine del’environnementLes politiques, les processus,les manuels, les lignesdirectrices, etc.Un cadre de contrôle interne,par exemple celui du COSO oucelui du Conseil sur les critèresde contrôle ( 1 ) ou un cadresimilaire, ou des exigences enmatière de contrôle interneétablies par la législation envigueur ou généralementadmises dans une collectivitépubliqueLes politiques, les processus,les manuels, les lignesdirectrices, etc.La législation ou les directivesen vigueurLes politiques, les processus,1 Le COSO est le Committee of Sponsoring Organizations of the Treadway Commission (organisation bénévole du secteur privé dont le butest d’améliorer la qualité de la présentation des informations financières grâce à l’éthique d’entreprise, à des contrôles internes efficaces et augouvernement d’entreprise). Le Conseil sur les critères de contrôle fait partie de l’Institut Canadien des Comptables Agréés.59

Sujet considérécomme le paiement despensions de retraite oudes prestations sociales,la procédure en vue del’octroi d’un passeportou de la nationalité,l’évaluation desamendes ou d’autresformes de peines17 Des caractéristiquesphysiques18 Les recettes fiscales,les obligations descontribuables ou touteautre exigenceimpliquant l’obligationde rendre compte auxautorités de contrôleInformations sur le sujetconsidéréUn document relatif auxspécifications ou l’objetphysique proprement ditLes déclarations d’impôts surles personnes physiques oules déclarations d’impôts surles sociétésLes autres formulairesfiscaux soumis aux autoritésde contrôle (comme lesformulaires relatifs àla TVA, les rapports desorganismes propres auxsecteurs réglementés commele secteur bancaire etfinancier, les produitspharmaceutiques, etc.)Critèresles manuels, les lignesdirectrices, etc.Un code de construction (taille,hauteur, fonction, mesures detaux d’occupation dans unezone particulière, etc.)Les termes d’un contrat deconstruction ou de tout autretype de contratLa législation en vigueur ou lescodes spécifiques de l’industrieUn code des impôts, un codedes recettes ou tout codesimilaire60

Annexe 2 - Exemples de sources à utiliser pour acquérir uneconnaissance de l’entité auditée et pour définir les critèresappropriésLa liste ci-après - qui n’est pas exhaustive - présente des sources auxquelles les auditeurs dusecteur public peuvent recourir pour identifier les critères d’audit appropriés:a) les lois et les règlements, y compris les exposés d’intention et des principes yafférents;b) le droit budgétaire/le budget ou les crédits approuvés;c) les documents du législateur relatifs aux lois ou aux résolutions budgétaires,ainsi que les principes ou les dispositions spécifiques liés à l’utilisation decrédits approuvés, ou à des transactions financières, des fonds et des soldesfinanciers;d) les directives législatives ou ministérielles;e) les informations des autorités de contrôle;f) les registres officiels de réunions de l’organe législatif, de la commission descomptes publics ou de toute autre commission similaire de l’organe législatif,ou encore d’autres organismes publics;g) les principes de droit;h) les précédents juridiques;i) les codes de bonne pratique ou les codes de conduite;j) les descriptions, à usage interne, de politiques, de plans et de procéduresopérationnels et stratégiques;k) les manuels ou les lignes directrices écrites;l) des conventions formelles, comme des contrats;m) les conventions de prêt ou de subvention;n) les normes industrielles;o) une théorie bien établie (par exemple une théorie qui fait l’objet d’unconsensus général. Il est possible de trouver ce type de théorie, par exemple,dans des informations publiées comme la littérature technique et laméthodologie, les revues professionnelles, etc., ou en demandant des61

informations auprès de sources bien informées comme des experts dans undomaine particulier);p) les normes généralement acceptées pour un domaine particulier (il s’agitsouvent de normes clairement identifiables, qui trouvent leur source danscertaines formes de législation et résultent de pratiques établies et deprécédents juridiques, par exemple les «principes comptables généralementacceptés» dans un pays donné);q) s’agissant d’audits portant sur la bonne administration: les principes de bonnegestion financière dans le secteur public et de bonne conduite desfonctionnaires. Les principes de bonne conduite peuvent résulter des attentesdu législateur ou du public concernant la conduite des fonctionnaires. Danscertains cas, ces principes ne sont documentés que de façon fragmentaire.Parfois il n’est possible de les définir que lorsqu’ils ne sont pas respectés.Il existe d’autres sources susceptibles d’être exploitées par les auditeurs du secteur publicpour acquérir une connaissance de l’entité auditée, de son environnement et des domainesd’activité correspondants, à savoir entre autres:a) le rapport annuel de l’entité;b) les propositions législatives et les discours;c) les sites Web;d) les rapports publiés, les articles publiés dans les journaux ou les revues, lesautres sources médiatiques, etc.;e) les connaissances acquises lors d’audits précédents;f) les informations obtenues lors de réunions ou par l’intermédiaire d’autrescommunications;g) les procès-verbaux de réunions du conseil d’administration ou d’autresréunions de la direction;h) les rapports d’audit interne;i) les statistiques officielles.62

Annexe 3 – Exemples de facteurs liés à l’évaluation des risqueslors d’audits de conformitéLes exemples ci-après sont des facteurs susceptibles d’être pris en considération lors del’évaluation des risques dans le cadre d’un audit de conformité. La liste n’est pas censée êtreexhaustive et les facteurs varieront en fonction des circonstances particulières de l’audit.Objectif et mandat de l’entité auditée1. L’objectif, le mandat et la capacité juridique de l’entité auditée sont-ilsclairement établis et est-il facile d’en prendre connaissance?2. Le mandat, les objectifs ou les domaines d’activité ont-ils été modifiésrécemment?3. Les domaines d’activité ou les sujets considérés sont-ils clairement identifiables?4. Les domaines d’activité recouvrent-ils dans une large mesure ceux d’autresentités, entraînant de la sorte un risque de double emploi ou de dispersion?Structure organisationnelle1. Quelle est la base juridique de l’entité (ministère, direction, organisme, etc.) etsur quel(s) élément(s) fonde-t-elle son autorité?2. L’entité auditée a-t-elle des rôles et des responsabilités clairement définis etdispose-t-elle des compétences nécessaires en la matière?3. Ces rôles, ces responsabilités et ces compétences sont-ils clairementcommuniqués et compris au sein de l’entité?4. Si l’entité fait partie d’une structure hiérarchique et est supervisée par une autreentité, comment cette supervision est-elle assurée?5. Dans le cadre de ses opérations, l’organisation se concentre-t-elle sur l’évaluationet la gestion des risques, y compris des risques de non-conformité?6. L’organisation de l’entité a-t-elle été modifiée récemment?7. Des activités sont-elles externalisées à d’autres entités?8. Si des activités sont externalisées, comment la conformité et la performance sontellescontrôlées?9. Existe-t-il des risques potentiels liés à l’externalisation?10. Les membres du personnel disposent-ils des compétences adéquates et font-ilspreuve d’un comportement éthique?11. Les membres du personnel cherchent-ils les informations pertinentes et celles-cisont-elles facilement accessibles?12. Les informations sont-elles communiquées en temps opportun au sein del’organisation?13. Des aspects de la structure organisationnelle pourraient-ils contribuer àaugmenter le risque de fraude?63

Considérations d’ordre politique1. À quel niveau de gouvernement l’entité appartient-elle et est-elle liée à d’autresniveaux?2. Quelles sont les responsabilités (constitutionnelles ou autres) des ministrescompétents ou de la direction de l’entité?3. Comment la gestion politique et la gestion administrative de l’entité sont-ellesenvisagées?4. Existe-t-il un consensus politique ou des points de vue différents sont-ilslibrement exprimés?5. Comment la gestion politique est-elle intégrée?6. Quels sont les domaines d’activité qui, du point de vue politique, présentent unintérêt, assurent une visibilité ou ont un caractère plus ou moins sensible?7. Comment s’articulent les relations de travail entre la direction politique et ladirection administrative?8. Quels sont les domaines faisant l’objet d’un intérêt particulier de la part dupublic?9. Une entité a-t-elle pu exercer une influence défavorable sur d’autres entitésapparentées dans la hiérarchie du secteur public?10. Existe-t-il l’une ou l’autre considération d’ordre politique susceptibled’augmenter le risque de fraude?11. Les lois et les règlements contiennent-ils des exigences en matière de neutralitépolitique en ce qui concerne l’utilisation de ressources et de fonds, et quelles sontles expériences antérieures dans ce domaine?Lois, règlements et autres textes législatifs et réglementaires en vigueur1. Les lois, les règlements et les autres textes législatifs et réglementairesapplicables à l’entité auditée et au sujet considéré apparaissent-ils clairement?2. Existe-t-il des chevauchements ou des incohérences entre différents ensembles detextes législatifs?3. L’entité est-elle un organe législatif et, dans l’affirmative, quelle incidence leprocessus législatif peut-il avoir sur les droits des personnes?4. Si l’entité est un organe législatif, a-t-elle délégué l’une ou l’autre compétence àd’autres entités, comme les autorités de contrôle ou des entités du secteur privé?5. La législation en vigueur est-elle relativement récente ou s’agit-il de textes bienétablis?6. Si la législation est récente, sa forme et son contenu sont-ils clairs et, partant,permettent-ils qu’elle soit clairement comprise et appliquée?7. S’il s’agit de textes bien établis, sont-ils cohérents par rapport au précédentjuridique et donc clairement compris et appliqués?8. Les opérations effectuées dans le domaine d’activité sont-elles soumises demanière significative à l’exercice du jugement?9. Lorsque la part de jugement est significative, celui-ci est-il exercé conformémentaux intentions qui sous-tendent les lois et les règlements?10. Lorsque la part de jugement est significative, celui-ci est-il exercé de façoncohérente?11. A-t-il fallu faire appel à d’autres organismes pour interpréter ou pour compléterla législation en vigueur?64

12. L’entité a-t-elle accompli sa mission en temps opportun de façon à préserver lesdroits des personnes et à se prémunir contre toute conséquence financièrenégative et significative due à son inaction?13. Les moyens permettant aux parties lésées d’introduire une plainte ou un appelont-ils été utilisés de manière appropriée?14. Les droits des personnes/de l’organisation ont-ils été compromis de l’une oul’autre façon en raison de l’interprétation et de l’application, par l’entité, d’unelégislation ou de règlements particuliers?15. Certains aspects des lois, des règlements ou des autres textes législatifs etréglementaires pourraient-ils augmenter le risque de fraude?Événements et transactions importantsDirection1. Des événements ou des transactions importants sont-ils susceptibles de donnerlieu à des risques (de fraude) significatifs (par exemple des passations de marchéspour des montants élevés, des contrats à long terme dans le domaine de laconstruction, des transactions impliquant des instruments financiers comme lescontrats de change, les prêts portant sur des montants élevés ou la spéculationfinancière, une privatisation, etc.)?2. L’entité possède-t-elle l’autorité et la compétence nécessaires pour engager etmettre en œuvre des événements et des transactions importants?3. Des experts ont-ils été engagés dans le cadre d’événements et de transactionsimportants?4. Lorsque des experts sont engagés, quelles précautions ont-elles été prises pours’assurer de leurs compétences et de leur objectivité?5. Comment les travaux des experts sont-ils suivis?1. L’équipe de la direction est-elle stable ou les membres du personnel occupant despostes clés ont-ils été remplacés?2. Comment les membres de la direction sont-ils recrutés (s’agit-il de procéduresouvertes et transparentes avec concurrence réelle ou d’une procédure purementsymbolique)?3. La direction est-elle activement et continuellement impliquée dans l’évaluationdu risque?4. La direction tient-elle compte des conséquences de modifications del’environnement de l’entité auditée et de leur incidence potentielle sur celle-ci?5. La direction adopte-t-elle une approche prudente ou est-elle disposée à prendredes risques (par exemple quelle est la «propension au risque»)?6. Quelles initiatives la direction a-t-elle prises pour identifier et éviter les risquessignificatifs susceptibles d’avoir une incidence négative sur l’entité?7. Les évaluations des risques réalisées dans l’ensemble de l’entité sont-ellescommuniquées à la direction aux niveaux appropriés?8. La direction effectue-t-elle une évaluation et un suivi actifs des conséquences deses décisions et de ses mesures?9. Les audits précédents ont-ils permis de mettre au jour des cas de non-respect, defraude, d’actes illégaux, de conduite contraire à l’éthique, de parti pris de ladirection, etc.?65

10. Comment la direction trouve-t-elle l’équilibre entre la réalisation des objectifs duprogramme et la nécessité de gérer le risque et comment assure-t-elle laconformité aux lois et règlements, etc.?66

Annexe 4 - Exemples de facteurs de risque liés à un sujetconsidéré particulierLa passation de marchés publics est un sujet typique des audits de conformité. Le tableau ciaprèsfournit des exemples de facteurs de risque dans le cadre d’un audit de conformitéportant sur la passation de marchés publics. Cette liste n’est pas censée être exhaustive. Lesrisques et facteurs de risque pertinents seront différents en fonction du sujet considéré et descirconstances d’un audit donné.Exemples de facteurs de risque dans le cadre des auditsde la passation de marchés publicsRisque inhérent1 L’absence de législation applicable en matière de passation de marchés publics.2 Des modifications apportées récemment à la législation sur la passation de marchés publics (parexemple pour la rendre conforme à la législation internationale).3 Une législation compliquée, imprécise ou susceptible de donner lieu à plusieurs interprétations.4 Des montants significatifs sont en cause, comme dans le cas de la passation de marchés publicsdans le domaine de la défense.5 Détection, lors d’un audit de l’année précédente, d’écarts de conformité par rapport à lalégislation et aux directives en matière de passation de marchés publics.6 Des soupçons ou des cas précédents de fraude et de corruption impliquant la direction et lesmembres du personnel occupant des postes clés.7 Des inspections par les autorités de contrôle (par exemple, les autorités chargées de laconcurrence).8 Transmission, par des fournisseurs potentiels, de plaintes concernant des pratiques déloyalesliées à des attributions de contrats.9 Des conflits d’intérêts potentielsRisque de contrôle1 L’absence de lignes directrices internes valables, y compris l’absence de critères clairs etobjectifs.2 Des modifications d’ordre général ou des contrôles sur les applications, effectués récemmentsur les systèmes informatiques utilisés lors des passations de marchés publics.3 Des contrôles de la qualité insatisfaisants ou un suivi insuffisant en ce qui concerne lesfournisseurs.4 La faiblesse ou l’absence de contrôles concernant le respect, par les fournisseurs, des lignesdirectrices dans le domaine de l’éthique.67

5 L’absence ou la mauvaise qualité du suivi en matière de conformité à la législation en vigueur.Risque de non-détection1 Des procédures d’audit conçues de manière inefficace (par exemple, lorsque sont mises enœuvre des procédures qui consistent simplement en une vérification des transactionsenregistrées, sans en contrôler l’exhaustivité, ou lorsqu’une demande d’informations esttransmise uniquement au personnel responsable de la passation de marchés publics sansl’adresser également aux membres du personnel chargés d’autres tâches commel’administration ou la gestion des installations, aux fournisseurs ou aux organismes quienregistrent les plaintes).2 Des éléments susceptibles d’inciter la direction à omettre ou à dissimuler intentionnellementdes éléments probants (par exemple, le versement, par des fournisseurs, de paiements illicitesou de dessous-de-table).3 Le risque de collusion au niveau de la direction ou de contournement des contrôles par celle-ci68

Annexe 5 - Exemples de procédures d’audit de conformité àmettre en œuvre pour des sujets sélectionnésLe tableau ci-après présente des exemples de procédures susceptibles d’être utilisées pour desaudits de conformité portant sur la législation environnementale et sur les fonds provenantd’organisations donatrices et consacrés à un projet. Cette liste de procédures n’est pas censéeêtre exhaustive. Les procédures d’audit doivent être conçues en fonction de circonstances etd’objectifs particuliers.Procédures d’audit par sondageSujet considéré: législation environnementale1 Obtenir un aperçu de la législation environnementale en vigueur que l’entité esttenue de respecter.2 Demander à la direction et, le cas échéant, au service d’audit interne, desinformations sur les processus et les méthodes courantes en place pour assurer lerespect de la législation environnementale en vigueur.3 Revoir les manuels et les descriptions de systèmes afin de comprendre lesprocessus et les contrôles appropriés. Documenter les processus et identifier lescontrôles clés. Tester ces contrôles clés le cas échéant.4 Effectuer une recherche dans les médias et d’autres recherches documentaires lecas échéant, afin de relever les cas précédents de non-respect de la législation parl’entité.5 Examiner tous les rapports d’inspection, y compris ceux du service d’audit internele cas échéant. Assurer un suivi de tout élément susceptible d’indiquer qu’il existedes risques significatifs de non-respect de la législation environnementale.6 Confirmer s’il y a lieu que l’entité auditée dispose des permis et des certificatsd’enregistrement nécessaires. Évaluer les procédures afin de vérifier si elles sontvalables et actualisées.7 Examiner les procès-verbaux de réunions des commissions compétentes pourl’environnement, ou pour la santé et la sécurité. Assurer un suivi le cas échéant.8 Interroger une sélection de membres du personnel afin de vérifier leur connaissancedes politiques applicables et des procédures en place, y compris leur formation à cetégard. Vérifier également comment ces procédures sont mises en œuvre dans lapratique.69

9 Demander à la direction et, le cas échéant, à un conseiller juridique, desinformations sur toute action précédente, existante ou potentielle en responsabilitérelative à l’environnement. Tenir compte des causes et des effets/incidences dechacune de ces actions.10 Observer les processus et les méthodes courantes pratiquées (s’agissant, parexemple, de l’élimination des déchets: leur stockage et leur élimination ont-ils étécorrectement réalisés?, etc.). Les documenter de façon appropriée (des élémentsprobants sous forme de photographies ou de vidéos peuvent par exemple s’avérerpertinents).Sujet considéré: fonds perçus d’une organisation donatrice et consacrés à un projet1 Obtenir un aperçu de la convention de financement ainsi que de la législation, desdirectives, des mandats, etc. en vigueur, que l’entité est tenue de respecter.2 Demander à la direction et, le cas échéant, au service d’audit interne, desinformations sur les processus et les méthodes courantes en place pour assurer lerespect des termes de la convention de financement, ainsi que de la législation, desdirectives et des mandats en vigueur, etc. S’informer sur les méthodes courantespermettant d’assurer une comptabilité et une présentation d’informationsappropriées.3 Revoir les manuels et les descriptions de systèmes afin de comprendre lesprocessus et les contrôles appropriés relatifs à la conformité aux conventions definancement. Documenter les processus et identifier les contrôles clés. Tester cescontrôles clés le cas échéant.4 Mettre en œuvre des procédures analytiques pour évaluer les risques et, le caséchéant, des tests de validation. Par exemple, comparer toutes les informationsfinancières, y compris les comptes du projet, au budget et à(aux) (l’)exercice(s)précédent(s). Assurer s’il y a lieu un suivi des écarts de conformité présumés, enfonction des circonstances. Examiner les transactions inhabituelles ou importantesdans les comptes du projet. Assurer un suivi le cas échéant.5 Choisir un échantillon de transactions liées aux fonds consacrés à un projet. Pourchacune d’entre elles, tester la conformité aux termes de la convention definancement et à toute législation en vigueur, en examinant par exemple: les exigences en matière d’utilisation des fonds, le caractère approprié de l’approbation et de l’autorisation, les exigences en matière d’établissement de rapports, l’exactitude de la comptabilité et des informations présentées,notamment si les politiques comptables sont adéquates et si lestransactions sont enregistrées dans les périodes appropriées, etc.6 Si les fonds consacrés au projet ont été utilisés à des fins spécifiques, vérifier s’il ya lieu de réaliser des inspections sur place. Assurer un suivi le cas échéant.70

7 Examiner la correspondance, les procès-verbaux de réunions concernés, etc., afinde relever tout sujet intéressant. Assurer un suivi le cas échéant.8 Vérifier s’il faut obtenir des confirmations écrites de tiers et en assurer le suivi lecas échéant.9 Vérifier s’il faut obtenir des déclarations écrites spécifiques de la directionconcernant la convention de financement.10 Contrôler la séparation des exercices et, le cas échéant, effectuer des vérificationsaprès la fin de la période considérée afin de s’assurer que les fonds sontcomptabilisés dans la période appropriée.71

Annexe 6 - Exemples d’écarts de conformitéLe tableau ci-après fournit quelques exemples d’écarts de conformité et fait état deconsidérations concernant l’importance relative et la formulation de conclusions. Lescommentaires sur l’importance relative et sur la formulation de conclusions soulignentsimplement des considérations pertinentes; en aucun cas, il ne s’agit de déterminerdéfinitivement si l’exemple en cause constitue un écart significatif de conformité. Ladétermination de l’importance relative dépendra des circonstances particulières et dujugement professionnel de l’auditeur du secteur public.Exemple d’écart de conformité1 Au cours de l’exercice, leministère de l’éducation a verséà un organisme public descrédits à utiliser dans le domainede l’éducation nationale. Or,pendant l’année, l’organisme adépensé 10 millions de dollarsdes États-Unis sous la forme desubventions versées à desfabricants étrangers de produitsde haute technologie.2 Au cours de l’exercice, lesdépenses encourues par unorganisme public ont dépassé de100 dollars des États-Unis letotal des dépenses autoriséesdans le budget approuvé par lelégislateur, à savoir 5 000 dollarsdes États-Unis.3 Un citoyen a droit à une pensionmensuelle de 1 000 dollars desÉtats-Unis. Or l’organismepublic ne lui en a versé que 900par mois. De plus, les paiementsont été effectués après la dateprévue dans la législation.4 Une mère célibataire a droit àdes allocations familialesmensuelles pour chaque enfantConsidérations concernant l’importancerelative et la formulation de conclusionsLa législation régissant l’organisme public nel’habilite pas à octroyer des subventions à desorganismes étrangers. Ce cas de non-conformitépeut s’avérer significatif dans la mesure où leversement de la subvention à des organismesétrangers n’était pas conforme aux texteslégislatifs et réglementaires en vigueur et n’a doncpas servi à atteindre les objectifs visés par lelégislateur.Dans ce cas, les dépenses réelles ont dépassé lesmontants autorisés dans le budget approuvé. Cecas de non-conformité peut s’avérer significatifdans la mesure où il s’agit d’une violationmanifeste de textes législatifs et réglementairesclairement définis. Dans certains cas, et pourcertains types de dépenses, ce dépassement peutconstituer une question très sensible.Bien que les montants en cause ne soient pasélevés par rapport aux états financiers del’organisme public, les conséquences de ce nonrespectdes règles sont susceptibles d’être trèssignificatives pour le retraité vivant avec un revenufixe. Si la non-conformité est imputable à unefaiblesse du système, il est possible qu’elle affectebeaucoup d’autres citoyens. Dans ce cas, ils’agirait d’un écart significatif en raison del’ampleur de ses conséquences sur les citoyens etsur la société en général.Bien que cet écart de conformité soit à l’avantagedu bénéficiaire, il est contraire à la législation et àses intentions, et peut donc s’avérer inéquitable72

Exemple d’écart de conformitéâgé de moins de 18 ans. Orl’organisme public a versé desallocations familiales pour unenfant âgé de 19 ans.5 Les termes d’un code deconstruction imposent laréalisation d’inspectionsannuelles. Or l’organisme publicn’a effectué aucune inspectionau cours des cinq dernièresannées.6 Une convention de financementdispose que le bénéficiaire desfonds doit élaborer des étatsfinanciers et les adresser àl’organisation donatrice avantune date donnée. Or les étatsfinanciers n’ont pas été établis etn’ont donc pas été transmis dansles délais.7 Des faiblesses systémiquessignificatives ont été constatéesen ce qui concerne la perceptionde recettes dans le cadre d’uncode des impôts. Ces faiblessesrésultaient d’une mauvaiseinterprétation du code des impôtspar l’entité auditée. Dans denombreux cas, des contribuablesont été imposés trop lourdement.Considérations concernant l’importancerelative et la formulation de conclusionsvis-à-vis des autres bénéficiaires. Si le non-respectdes règles est imputable à une faiblesse dusystème, il est susceptible d’affecter beaucoupd’autres citoyens. Le cas échéant, il s’agirait d’unécart significatif en raison de l’ampleur de sesconséquences sur les citoyens et sur la société engénéral.Ce cas de non-conformité peut s’avérer significatifen raison d’aspects qualitatifs comme lesimplications en matière de sécurité. Bien qu’aucunmontant précis ne soit en cause, les risquespotentiels pour la sécurité des occupants dubâtiment peuvent rendre ce cas significatif. Lerisque existe également qu’une catastrophe donnelieu, pour cause de non-conformité, à un nombreélevé d’actions en responsabilité susceptiblesd’avoir des conséquences financières importantesaussi pour l’organisme public.Le caractère significatif de ce cas de nonconformitédépendra de divers facteurs. Il convientde vérifier si le bénéficiaire a élaboré et transmisles états financiers par la suite, l’importance duretard, les raisons de ce retard, les conséquenceséventuelles du non-respect des règles, etc.Ce type d’écart de conformité concerne les droitsdes citoyens de bénéficier des garanties prévuespar la loi. Certains citoyens ont été troplourdement imposés, tandis que d’autres n’ont faitl’objet d’aucune imposition. En fonction ducontexte, et s’agissant de faiblesses systémiques, ilse peut que l’écart soit significatif.73

Annexe 7 - Exemple de «rapport court» relatif à un audit deconformitéComme cela est expliqué dans le corps du présent document, le modèle de présentation desrapports relatifs aux audits de conformité peut varier en fonction d’un certain nombre defacteurs, comme le mandat de l’ISC, la législation en vigueur, les pratiques courantes enmatière d’établissement de rapports ou la complexité des questions traitées dans ceux-ci.Toutefois, une présentation harmonisée peut aider les utilisateurs du rapport de l’auditeur àcomprendre les travaux réalisés et les conclusions formulées, ainsi qu’à repérer lescirconstances inhabituelles lorsqu’elles surviennent.L’exemple de rapport court ci-après n’est donné qu’à titre indicatif. Plusieurs ISC établissentun «rapport long» et présentent leurs constatations de façon plus détaillée dans sa partieprincipale.Rapport de l’ISC de XXX relatif à l’audit de conformité[Destinataire, par exemple l’organisation donatrice XYZ]Rapport sur [le respect, par l’organisme public ABC, de la convention de financementconclue avec l’organisation donatrice XYZ le xx.xx.20XX]Nous avons contrôlé [le respect, par l’organisme public ABC, de la convention definancement conclue avec l’organisation donatrice XYZ le xx.xx.20XX, sur la base descomptes du projet établis pour l’exercice clos le 31.12.20XX, qui font état de dépenses totaless’élevant à xxxxxx.xx dollars des États-Unis].Responsabilité de la directionConformément [à la convention de financement passée avec l’organisation donatrice XYZle xx.xx.20XX], la direction de l’organisme public ABC est chargée [de tenir unecomptabilité du projet complète et conforme à la convention de financement].Responsabilité de l’auditeurNotre responsabilité est de formuler, sur la base de notre audit et de manière indépendante,une conclusion sur [les comptes du projet]. Nos travaux ont été effectués conformément [auxprincipes fondamentaux de contrôle et aux lignes directrices sur les audits de conformité del’INTOSAI]. En vertu de ces principes, nous sommes tenus de nous conformer aux règlesd’éthique, ainsi que de programmer et d’effectuer l’audit de manière à pouvoir déterminer,74

avec une assurance raisonnable, si [l’utilisation des fonds consacrés au projet est, dans tousses aspects significatifs, conforme à la convention de financement du xx.xx.20XX].Un audit consiste à mettre en œuvre des procédures en vue de collecter suffisammentd’éléments probants appropriés pour étayer une conclusion. Le choix des procédures mises enœuvre relève du jugement professionnel de l’auditeur, de même que l’évaluation du risqueque des cas significatifs de non-conformité se produisent, qu’ils résultent de fraudes oud’erreurs. Nous mettons en œuvre les procédures d’audit que nous estimons adaptées auxcirconstances. Nous estimons que les éléments probants collectés sont suffisants et appropriéspour étayer notre conclusion.ConclusionSur la base des travaux d’audit réalisés, nous sommes d’avis que [l’utilisation, parl’organisme public ABC, des fonds reçus de l’organisation donatrice XYZ et consacrés auprojet] est, dans tous ses aspects significatifs, conforme [à la convention de financementdu xx.xx.20XX].[Réponses de l’entité auditée, le cas échéant, par exemple sous la forme d’une synthèsefigurant sous le titre «Réponses de l’entité auditée» ou en annexe.][Recommandations, le cas échéant, par exemple sous le titre «Recommandations» ou enannexe.][Date du rapport de l’auditeur][Signature de l’auditeur]75

Annexe 8 - Exemple de conclusion avec réserve formulée lors d’unaudit de conformitéDans l’exemple ci-après, le sujet considéré sur le plan de la conformité est le respect desclauses d’un contrat de bail. L’audit a permis de constater un cas de non-respect qui a donnélieu au paiement de charges supplémentaires et de pénalités par l’entité auditée. Nousconsidérons que cet écart de conformité n’est pas suffisamment significatif pour justifier uneconclusion défavorable. Les parties introductives sur les responsabilités de la direction et del’auditeur, ainsi que les sections finales du rapport, sont similaires à celles présentées àl’annexe 7.L’exemple de rapport court ci-après n’est donné qu’à titre indicatif. Plusieurs ISC établissentun «rapport long» et présentent leurs constatations de façon plus détaillée dans sa partieprincipale......... [Parties introductives du rapport qui conviennent]……[Nous avons contrôlé le respect, par l’organisme public ABC, des clauses du contrat de bailpassé avec le propriétaire DEF le xx.xx.20XX.Justification de la conclusion avec réserveLe contrat de bail stipule que le montant du loyer mensuel pour l’occupation des locaux BBB,à savoir xxxxx.xx dollars des États-Unis, est payable à l’avance le premier jour du mois. Aucours de l’exercice 20XX, l’un des loyers a été versé après la date prévue. L’organismepublic ABC s’est dès lors vu imposer le paiement de charges supplémentaires et de pénalitésde retard dont le montant s’est élevé à xx.xx dollars des États-Unis.Conclusion avec réserveSur la base des travaux d’audit réalisés, nous sommes d’avis que, à l’exception du cas de nonconformitérelevé dans le paragraphe intitulé «justification de la conclusion avec réserve»,l’organisme public ABC respecte, dans tous leurs aspects significatifs, les clauses du contratde bail passé avec le propriétaire DEF le xx.xx.20XX].…….. [Sections finales du rapport qui conviennent]……76

Annexe 9 – Exemple de conclusion défavorable formulée lors d’unaudit de conformitéDans l’exemple ci-après, le sujet considéré sur le plan de la conformité est le respect desclauses d’un contrat de bail. L’audit a permis de constater qu’aucun des loyers n’a été versédans le délai prévu, ce qui a donné lieu au paiement de charges supplémentaires et depénalités par l’entité auditée. Nous estimons que cet écart de conformité est significatif. Lesparties introductives sur les responsabilités de la direction et de l’auditeur, ainsi que lessections finales du rapport, sont similaires à celles présentées à l’annexe 7.L’exemple de rapport court ci-après n’est donné qu’à titre indicatif. Plusieurs ISC établissentun «rapport long» et présentent leurs constatations de façon plus détaillée dans sa partieprincipale......... [Parties introductives du rapport qui conviennent]……[Nous avons contrôlé le respect, par l’organisme public ABC, des clauses du contrat de bailpassé avec le propriétaire DEF le xx.xx.20XX.Justification de la conclusion défavorableLe contrat de bail stipule que le montant du loyer mensuel pour l’occupation des locaux BBB,à savoir xxxxx.xx dollars des États-Unis, est payable à l’avance le premier jour du mois. Aucours de l’exercice 20XX, le loyer n’a jamais été versé dans le délai prévu. L’organismepublic ABC s’est dès lors vu imposer le paiement de charges supplémentaires et de pénalitésde retard dont le montant s’est élevé à xxxx.xx dollars des États-Unis.Conclusion défavorableSur la base des travaux d’audit réalisés, nous sommes d’avis que, compte tenu del’importance de la problématique décrite dans le paragraphe intitulé «justification de laconclusion défavorable», l’organisme public ABC ne respecte pas, dans tous leurs aspectssignificatifs, les clauses du contrat de bail passé avec le propriétaire DEF le xx.xx.20XX].…….. [Sections finales du rapport qui conviennent]……77

Annexe 10 - Exemple illustrant une impossibilité de formuler uneconclusion lors d’un audit de conformitéLorsqu’il n’est pas en mesure d’aboutir à une conclusion, l’auditeur fait état de cetteimpossibilité.Dans l’exemple ci-après, l’audit de conformité devait porter sur le respect, par l’organismepublic ABC, du code de construction CCC. Le bâtiment BBB représente 95 % du parcimmobilier dont l’organisme ABC est responsable. Le bâtiment BBB n’est plus sûr parcequ’il a été récemment endommagé par un tremblement de terre. Les parties introductives surles responsabilités de la direction et de l’auditeur, ainsi que les sections finales du rapport,sont similaires à celles présentées à l’annexe 7.L’exemple de rapport court ci-après n’est donné qu’à titre indicatif. Plusieurs ISC établissentun «rapport long» et présentent leurs constatations de façon plus détaillée dans sa partieprincipale......... [Parties introductives du rapport qui conviennent]……[Nous avons contrôlé le respect, par l’organisme public ABC, du code de construction CCCdu xx.xx.20XX.Justification de l’impossibilité de formuler une conclusionNous n’avons pu collecter qu’un nombre limité d’éléments probants pour déterminer sil’organisme public ABC respectait le code de construction CCC, puisque nous n’avons pasété autorisés à accéder au bâtiment BBB, sis à l’adresse XYZ, en raison des dégâts causés parle tremblement de terre. Le bâtiment BBB représente 95 % du parc immobilier dontl’organisme public ABC est responsable. Dès lors, aucune autre procédure ne permettait dedéterminer de façon satisfaisante si l’organisme public ABC avait respecté le code deconstruction CCC.Impossibilité de formuler une conclusionSur la base des travaux d’audit réalisés et compte tenu de l’importance de la problématiquedécrite dans le paragraphe intitulé «justification de l’impossibilité de formuler uneconclusion», nous ne sommes pas en mesure d’aboutir à une conclusion. En conséquence,nous ne formulons aucune conclusion sur le respect, par l’organisme ABC, du code deconstruction CCC du xx.xx.20XX].…….. [Sections finales du rapport qui conviennent]……(Il convient de noter que, si la direction est responsable de la limitation de l’étendue del’audit, la question fondamentale de son intégrité pourrait être posée. L’auditeur doit alors sedemander avec circonspection comment et à qui cette constatation doit être communiquée).78

Annexe 11 - Exemple de paragraphe d’observation et deparagraphe sur d’autres pointsDans certains cas, il peut être nécessaire d’approfondir des points particuliers qui ne remettentpas en cause la conclusion sur la conformité. Dans ces circonstances, l’auditeur ajoute unparagraphe d’observation ou un paragraphe sur d’autres points, dont des exemples sontprésentés ci-après. Les parties introductives sur les responsabilités de la direction et del’auditeur, ainsi que les sections finales du rapport, sont similaires à celles présentées àl’annexe 7......... [Parties introductives du rapport qui conviennent]……ConclusionSur la base des travaux d’audit réalisés, nous sommes d’avis que [l’utilisation, parl’organisme public ABC, des fonds reçus de l’organisation donatrice XYZ et consacrés auprojet] est, dans tous ses aspects significatifs, conforme [à la convention de financementdu xx.xx.20XX].Paragraphe d’observationNous attirons l’attention sur la note xx annexée aux comptes du projet, qui présente en détaill’ensemble des coûts administratifs, dont le montant s’élève à xxxx.xx dollars des États-Unis,portant sur l’établissement, par l’organisme, de rapports sur la conformité à la convention definancement. Notre conclusion n’est pas assortie de réserve concernant cette observation.Paragraphe sur d’autres pointsNous attirons l’attention sur le fait que le présent rapport a été élaboré à l’intention del’organisation donatrice XYZ et qu’il ne saurait être utilisé à d’autres fins.…….. [Sections finales du rapport qui conviennent]……79

Annexe 12 - Exemple de rapport relatif à un examen deconformité aboutissant à l’expression d’une assurance limitéeComme cela est expliqué dans le corps du présent document, le mandat de l’ISC peut avoirune incidence sur les travaux réalisés et sur le type de conclusion formulée. Le mandat decertaines ISC peut limiter les travaux sur la conformité à une déclaration précisant qu’aucours de l’audit, les auditeurs n’ont eu connaissance d’aucun cas de non-conformité aux texteslégislatifs et réglementaires susceptible d’indiquer que le sujet considéré n’est pas, dans tousses aspects significatifs, conforme aux critères appliqués.L’exemple de rapport court d’assurance limitée ci-après n’est donné qu’à titre indicatif.Plusieurs ISC établissent un «rapport long» et présentent leurs constatations de façon plusdétaillée dans sa partie principale.Rapport de l’ISC de XXX relatif à l’examen de la conformité[Destinataire, par exemple l’organisation donatrice XYZ]Rapport sur [le respect, par l’organisme public ABC, de la convention de financementconclue avec l’organisation donatrice XYZ le xx.xx.20XX]Nous avons examiné [le respect, par l’organisme public ABC, de la convention definancement conclue avec l’organisation donatrice XYZ le xx.xx.20XX, sur la base descomptes du projet établis pour l’exercice clos le 31.12.20XX, qui font état de dépenses totaless’élevant à xxxxxx.xx dollars des États-Unis].Responsabilité de la directionConformément [à la convention de financement passée avec l’organisation donatrice XYZle xx.xx.20XX], la direction de [l’organisme public ABC] est chargée [de tenir unecomptabilité du projet complète et conforme à la convention de financement].Responsabilité de l’auditeurNotre responsabilité est de formuler, sur la base de notre examen et de manière indépendante,une conclusion sur les comptes du projet. Nos travaux ont été effectués conformément [auxprincipes fondamentaux de contrôle et aux lignes directrices sur les audits de conformité del’INTOSAI]. En vertu de ces principes, nous sommes tenus de nous conformer aux règlesd’éthique, ainsi que de programmer et d’effectuer l’examen de manière à pouvoir déterminer,avec une assurance limitée, si [l’utilisation des fonds consacrés au projet est, dans tous sesaspects significatifs, conforme à la convention de financement du xx.xx.20XX].80

Un examen des comptes du projet se limite essentiellement à des procédures analytiques et àdes demandes d’informations. C’est pourquoi il fournit une assurance moindre par rapport àun audit. Étant donné que nous n’avons pas réalisé un audit, notre conclusion ne fournitqu’une assurance limitée, ce qui est cohérent au regard des travaux, plus limités, réalisés dansle cadre de cet examen de la conformité.ConclusionSur la base des travaux réalisés, nous n’avons eu connaissance d’aucun élément indiquant que[les comptes du projet élaborés par l’organisme public ABC] ne sont pas, dans tous leursaspects significatifs, conformes [à la convention de financement passée avec l’organisationdonatrice XYZ le xx.xx.20XX].[Réponses de l’entité auditée, le cas échéant, par exemple sous la forme d’une synthèsefigurant sous le titre «Réponses de l’entité auditée» ou en annexe.][Recommandations, le cas échéant, par exemple sous le titre «Recommandations» ou enannexe.][Date du rapport de l’auditeur][Signature de l’auditeur]81