Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Humanités
  2. Philosophie
  3. Éthique

Ethique de l`auditeur

publicité 
dossier :Audit
Éthique de l’auditeur
En voici le texte en version originale1 :
Code of Professional Ethics
José Bouaniche,
CISA, CIA,
Caisse des Dépôts
Bien qu'on en fasse généralement peu mention au sein de
la profession, nous allons
nous intéresser au "code of
professionnal ethics", qui est
la base sur laquelle repose
notre statut d'expert indépendant
auprès
de
la
Direction générale.
Rappelons que tout membre
de l'ISACA (et donc de l'AFAI)
est tenu de l'appliquer, ainsi
que tout titulaire d'une certification délivrée par l'ISACA.
The Information Systems Audit and
Control Association Inc. (ISACA) sets
forth this Code of Professional Ethics
to guide the professional and personal
conduct of members of the
Association and/or its certification
holders. Members and ISACA
Certification holder’s shall:
1. Support the implementation of,
and encourage compliance with,
appropriate standards, procedures
and controls for information systems.
2. Perform their duties with due diligence and professional care, in
accordance with professional standards and best practices.
3. Serve in the interest of stakeholders
in a lawful and honest manner, while
maintaining high standards of
conduct and character, and not
engage in acts discreditable to the
profession.
4. Maintain the privacy and confidentiality of information obtained in
the course of their duties unless
disclosure is required by legal authority. Such information shall not be
used for personal benefit or released
to inappropriate parties.
• La revue n° 82 - Mars 2006
5. Maintain competency in their
respective fields and agree to undertake only those activities, which they
can reasonably expect to complete
with professional competence.
16
6. Inform appropriate parties of the
results of work performed; revealing
all significant facts known to them.
1. Source « IS standards, guidelines and procedures for auditing and control professionals
current as of 1 December 2005 » sur le site
www.isaca.org.
7. Support the professional education
of stakeholders in enhancing their
understanding of information systems
security and control.
Failure to comply with this Code of
Professional Ethics can result in an
investigation into a member’s or
certification holder’s conduct and,
ultimately, in disciplinary measures.
Nous allons maintenant, par un
balayage rapide, essayer de comprendre ce que nous demande ce
texte, et en proposer systématiquement une traduction.
1. Support the implementation of, and
encourage compliance with, appropriate standards, procedures and
controls for information systems.
Il s'agit d'appliquer et faire appliquer
résolument les normes, sous-entendu
celles de l'ISACA.
La traduction que nous proposons :
Soutenir la mise en oeuvre et
encourager le respect des normes,
des procédures et des contrôles
appropriés pour les systèmes d'information.
2. Perform their duties with due diligence and professional care, in accordance with professional standards
and best practices.
Évolution importante, ce point
reprend en fait deux items de la
version antérieure du code d'éthique
de l'ISACA en les fusionnant. On
observe que disparaissent des
notions qui avaient jusqu'à présent
été considérées comme fondamentales.
Les deux items en question sont :
(4) Perform their duties in an independent and objective manner and avoid
activities that impair, or may appear
to impair, their independence or
objectivity.
(7) Perform their duties with due
professional care.
L'article (4) de la précédente version
des normes demandait à l'auditeur
de faire preuve d'indépendance et
d'objectivité, et de ne pas prendre
part à des activités qui pourraient ne
serait-ce que sembler nuire à ces
principes.
Ainsi, l'indépendance et l'objectivité
ne font plus dorénavant partie du
Audit dossier
03 Professional Independence
In all matters related to the audit, the
IS auditor should be independent of
the auditee in both attitude and
appearance.
04 Organisational Independence
The IS audit function should be independent of the area or activity being
reviewed to permit objective completion
of the audit assignment.
Par ailleurs, après bien des débats
lors de leur évolution en 2000, puis
2004, l'indépendance et l'objectivité
ont été maintenues dans les normes
de l'IIA (normes 1100). L'objectivité
demeure un des 4 principes fondamentaux du code de déontologie de
l'IIA qui sont, pour mémoire, l'intégrité,
l'objectivité, la confidentialité et la
compétence.
À la place de l'objectivité, l'ISACA
parle dorénavant de « due diligence »
c'est-à-dire des diligences raisonnables ou des soins nécessaires, et
on rappelle qu'il faut le faire en
conformité avec les normes professionnelles.
La traduction que nous proposons :
Remplir leurs devoirs avec la diligence et la conscience professionnelle appropriées, en conformité
avec les normes professionnelles et
les meilleures pratiques.
3. Serve in the interest of stakeholders
in a lawful and honest manner, while
maintaining high standards of conduct
and character, and not engage in acts
discreditable to the profession.
Cet article synthétise 2 articles de la
version précédente du code de
déontologie de l'ISACA :
(2) Serve in the interest of relevant parties in a diligent, loyal and honest
manner, and shall not knowingly be
a party to any illegal or improper activities.
(10) Maintain high standards of
conduct and character and not engage
in acts discreditable to the profession.
Mais que sont ces « stakeholders »
ou parties prenantes ? Une version
précédente des normes détaillait les
parties prenantes comme les actionnaires, les employés et la communauté. En fait, il existe en gestion une
théorie des stakeholders2 qui permet
d'apporter une vision sociétale à
l'entreprise, d'élargir la prise en
compte des devoirs de l'entreprise
au-delà de l'enrichissement du patrimoine des actionnaires. On passe
donc du souci unique des groupes
qui détiennent le pouvoir à la prise
en compte des groupes qui sont
affectés par les décisions et activités
de l'entreprise même de manière
indirecte.
Le code nous demande de servir ces
parties prenantes, mais pas de n'importe qu'elle façon, de manière licite
et honnête, tout en adoptant une
conduite exemplaire et en nous
enjoignant de ne pas commettre
d'actes qui pourraient discréditer la
profession. Cette injonction est à la
fois concrète et floue. Concrète car
on est dans le domaine du visible,
notre conduite et notre comportement touchent au paraître. Floue car
qui peut définir pratiquement ce
qu'est une conduite exemplaire ?
De plus, ces notions de normes
élevées de comportement comme
les "standards of ethics" relèvent de
la notion de moralité, éminemment
complexe à étudier.
Un code d'éthique, même réalisé par
des auditeurs talentueux, ne peut
apporter une vision morale qu'en
clarifiant la définition d'activités
relatives à des "normes de conduite
et de comportement élevées". C'est
pourquoi quand l'ISACA, dans cet
article, sort du cadre de l'entreprise
pour aborder la vie sociale sur son
aspect moral, l'auditeur peut se sentir
un peu désorienté.
La moralité en effet ne peut se
résoudre par l'application de notre
vision morale propre, car elle se restreint dans ce cas à nos habitudes et
à nos croyances, et diffèrent d'un
pays à l'autre voire d'un individu à
l'autre. Ainsi, les codes d'éthiques
importés directement des États-Unis
choquent les salariés français3 qui
peuvent voir dans les codes de
déontologie « des chartes floues et
moralisantes » qui demandent au
personnel « de dénoncer le collègue
de magasin piquant dans les rayons
ou qui touche à la vie privée ».
Sans définition précise de ce qui est
moral, on peut ainsi craindre une
approche relativiste et communautariste de l'éthique, ce qui reviendrait
à laisser l'appréciation des règles
morales indépendamment à chaque
détenteur de pouvoir.
Cette problématique relativiste a été
combattue par Kohlberg4 à la fin des
années 1960. Il a concrétisé sa position
théorique en mettant au point un
test de jugement, le DIT5, qui permet
de classer les individus selon 3
grands niveaux de maturité morale
répartis sur 6 stades. Ce test est
constitué de scénarios, comme par
exemple celui où quelqu'un obligé
de voler pour obtenir un médicament seul capable de sauver son
épouse, pour lequel on demande
aux participants de porter un jugement moral qui sera analysé suivant
le tableau suivant6 :
2. Pour une présentation de la théorie des stakeholders et son impact en éthique d'entreprise
voir Allison Marchildon « Vers une culture de
l'éthique en organisation : étude de deux cas »
mémoire de l'Ecole des hautes études commerciales de l'université de Montréal, 2002.
3. Voir dans Liaisons Sociales de mai 2005 l'article de Sandrine Foulon et Pierre-David
Labani « les salariés invités à cafter au nom de
l'éthique ».
4. Voir Darcia Narvaez « Moral judgement and
theory » in Seminar on moral education :
trends and directions, university of Malaya,
Kuala Lampur, July 22, 2002.
5. Pour une présentation du DIT (Defining
Issues Test) et son utilisation dans le milieu de
l'audit financier voir Christian Prat dit Hauret
« présentation de la théorie du développement moral cognitif et de ses apports possibles
dans les études sur l'audit » Centre de
recherche en contrôle et comptabilité internationale, Université Montesquieu, Bordeau IV.
6. Extrait de la revue Sciences Humaines n° 46.
• La revue n° 82 - Mars 2006
code de déontologie, mais l'indépendance perdure dans les normes :
17
dossier :Audit
Niveau 1
Moralité préconventionnelle
Niveau 2
Moralité
conventionnelle
Niveau 3
Morale post
conventionnelle
Caractéristiques
Stade 1
Obéissance par crainte
de la punition
Ce sont les conséquences négatives
d’une action qui en définissent
le caractère mauvais.
Cette moralité consiste à obéir
pour éviter d'être puni
• La revue n° 82 - Mars 2006
« Il n’aurait pas dû faire
cela parce qu’il ira
sûrement en prison. »
Stade 2
Recherche
des récompenses
« Il pouvait voler
Ce qui est bon est ce qui procure
du plaisir. Les intérêts d’autrui
le médicament parce que
si sa femme survit,
peuvent être pris en compte, mais
seulement dans la mesure où
elle sera plus gentille
ils permettent la réciprocité dans
avec lui. »
un rapport « donnant - donnant ».
Stade 3
Conformité sociale
Le sujet désire surtout être bien vu « Il a eu raison de voler
des autres. C’est une morale de la le médicament parce que
réputation qui peut conduire à
c’est gentil de le faire.
des attitudes conformistes.
Sa femme et ses amis vont
plus l’aimer. »
Stade 4
Légalisme
L’individu se préoccupe surtout
du respect des règles sociales
et de l’autorité. C’est vers
l’adolescence qu’apparaît
ce stade qui est celui de
la majorité des adultes.
« Il aurait dû respecter
la loi et ne pas voler
le médicament. »
Stade 5
Morale du contrat,
prise en compte
des droits individuels
Le sujet prend conscience de
la relativité de certaines règles.
La morale peut donc se trouver
en contradiction avec la loi.
Par contre les normes morales
provenant de « contrats » entre
deux parties engagent celles-ci
« Il a eu raison
de voler le médicament
parce que c’est gentil
de le faire.
Sa femme et ses amis
vont plus l’aimer. »
Stade 6
Adoption des principes
éthiques universels
18
Exemples de
réponses fournies
Stades
Reprenons les termes du code :
Serve in the interest of stakeholders in
a lawful and honest manner, while
maintaining high standards of
conduct and character,and not engage
in acts discreditable to the profession.
On peut considérer que les exigences relèvent de trois stades
moraux différents de la classification
de Kohlberg :
Le sujet se réfère à des principes
« Il devait voler
moraux universels (respect de la vie, le médicament parce que
liberté, justice) qui ont priorité
la vie d’une personne
sur d’autres considérations.
est plus importante
que le respect de la
propriété privée. »
• acts discreditable, relève du
stade 3 de conformité sociale, niveau
conventionnel
• lawful and honest, relève du
stade 4 de légalisme, niveau conventionnel
• high standards of character, relève
des stades 5 ou 6, niveau post
conventionnel
Cet éparpillement peut conduire à
une difficulté d'interprétation du
juste comportement de l'auditeur.
Imaginons par exemple un auditeur
interne dans une entreprise qui
décide d'implanter une usine extrêmement polluante dans un pays
exotique à dictature militaire, pour
des raisons de survie économique et
de conservation de l'emploi dans sa
Audit dossier
Mais le malheur veut que dans notre
exemple l'auditeur ait de « high
standards of conduct and character »,
c'est-à-dire se situe au niveau post
conventionnel selon Kohlberg. Il
considérera alors que s'il ne dénonce
pas cette pratique, il se fera complice
d'un nouveau Bohpal en puissance.
Cependant cette réaction peut tout
à fait le conduire en prison, ce qui
s'interprétera comme un « act discreditable to the profession » pour la
plupart des managers.
On voit donc que le mélange de trois
stades de Kohlberg au sein d'un
même principe déontologique peut
poser des difficultés.
La traduction que nous proposons :
Servir l'intérêt des parties prenantes
de manière licite et honnête, tout
en observant une conduite et un
comportement exemplaires et sans
s'impliquer dans des actes qui
pourraient discréditer la profession.
4. Maintain the privacy and confidentiality of information obtained in the
course of their duties unless disclosure
is required by legal authority. Such
information shall not be used for
personal benefit or released to inappropriate parties.
Faire preuve de discrétion concernant
les informations obtenues durant les
missions. Elles doivent cependant
être fournies à la demande des autorités légales (judiciaires ainsi que
hiérarchiques), mais aussi sans
attendre une injonction explicite de
l'autorité légale lorsque le cas est
prévu, car l'auditeur n'est pas tenu
au secret professionnel. C'est ici que
peut se poser la problématique du
« whistleblowing », évoquée précédemment dans un autre contexte.
Nous proposons :
Protéger la confidentialité des
informations recueillies à l'occasion
de leurs missions, à moins qu'une
communication ne soit requise par
une autorité légale. Ces informations
ne doivent pas être utilisées pour
en tirer un bénéfice personnel ni
communiquées à des tiers non
autorisés.
5. Maintain competency in their
respective fields and agree to undertake
only those activities, which they can
reasonably expect to complete with
professional competence.
Cet article reprend deux articles de
la précédente version du code de
conduite pour former un tout cohérent centré sur la compétence et son
application dans le cadre des missions qui nous sont confiées. A noter
que « their respective fields » ne
peut se comprendre qu'en se référant
à la précédente version du code qui
spécifiait que ces domaines respectifs
était ceux « de l'audit et du contrôle
des systèmes d'information ».
gation, un « deuxième impératif
pour l'auditeur est que le rapport ne
formule aucune affirmation pouvant
de manière évidente être utilisée
telle quelle contre les intérêts de la
société ». Ainsi, en cas de risque
correspondant à une situation pénalement qualifié ou qualifiable,
la formulation dans le rapport d'audit
doit être particulièrement surveillée.
Michel Fautrat recommande, pour
les risques qualifiés, de s'attacher
uniquement aux constats. Il préconise
pour les risques qualifiables, après
avoir formulé les constats de mentionner, de souligner toute circonstance
atténuante réellement identifiée
dans l'analyse des causes et de
formuler l'adhésion de l'audit à la
décision de correction raisonnable
des dysfonctionnements.
La traduction proposée :
Informer les parties appropriées
des résultats des travaux effectués,
en communicant tous les faits
significatifs connus d'eux.
La traduction que nous proposons :
Entretenir leur compétence dans
leurs domaines respectifs et n'accepter d'entreprendre uniquement
que les activités qu'ils peuvent
raisonnablement mener à terme
avec leur compétence professionnelle.
6. Inform appropriate parties of the
results of work performed; revealing
all significant facts known to them.
Le résultat de nos travaux doit être
diffusé bien entendu aux parties
appropriées. L'information fournie
doit être significative, cela va de soi.
Cependant, la précédente version du
code précisait de manière pertinente
que le choix des informations à
diffuser était basé sur le principe de
révéler tout ce qui, s'il ne l'était pas,
donnerait une fausse image de l'objet
audité ou cacherait des activités
malhonnêtes ou illicites. Cette précision est toujours explicitée dans le
code de déontologie de l'IIA, ce qui a
conduit Michel Fautrat8 à souligner
qu'au-delà de cet impératif de divul-
7. Support the professional education
of stakeholders in enhancing their
understanding of information systems
security and control.
Ce dernier article est ce qui distingue
l'ISACA des autres associations
professionnelles.On y lit que l'auditeur
informatique doit former les parties
prenantes (qui étaient explicitées
dans une version antérieure comme
étant les clients, les collègues, l'encadrement, la direction et le public en
général), afin d'améliorer leur compréhension de la sécurité et du
contrôle des systèmes d'information. Une sorte de prosélytisme
professionnel, en quelque sorte.
7. Voir Alan G. Mayper and al. « Accounting :
a moral discipline? » University of North Texas
8. Miche Fautrat « Comment évoquer les
risques à incidence pénale » in Audit n°173 de
février 2005.
• La revue n° 82 - Mars 2006
région. Les parties prenantes françaises sont bien servies (l'emploi est
sauvegardé et la valeur de l'entreprise
augmentée). Les décideurs n'ont pas
contrevenu à la loi et ont pris en
toute bonne foi une bonne décision
économique par rapport à l'orthodoxie des affaires, d'autant plus
qu'en entreprise l'aspect économique prime sur le jugement moral
personnel7.
19
dossier :Audit
Nous proposons :
Apporter un soutien à la formation
des parties prenantes en améliorant
leur compréhension de la sécurité
et du contrôle des systèmes d'information.
En conclusion, la nouvelle version du
code de déontologie de l'ISACA est
énoncée sous forme de principes,
avec une grande part d'appréciation
pour l'auditeur. Cela nous confirme
qu'in fine l'auditeur est seul responsable de ses actes. Il n'a pas en effet
à se cacher derrière une autorité
hiérarchique, un principe d'obéissance, pour justifier de ses actes.
Cependant, non seulement le code
de l'ISACA ne nous rappelle pas ce
principe de responsabilité, si tant est
qu'il s'applique à l'audit informatique, mais encore les notions exposées dans le code peuvent être
contradictoires.
• La revue n° 82 - Mars 2006
L'auditeur n'est plus assuré que ses
choix moraux, surtout quand ils se
heurtent à des décisions hiérarchiques, seront partagés par l'ISACA
ou le chapitre dont il dépend.
20
Notons enfin qu'il a été établi9 que
les codes de déontologie doivent,
pour être suivis, avoir un contenu
différent selon qu'ils s'adressent à
des personnes de niveau conventionnel ou postconventionnel au
sens de Kohlberg. Ainsi, les individus
de niveau conventionnel comprendront et suivront des codes énoncés
sous forme de règles précises, tandis
que les individus postconventionnels
ne prendront en compte que des
codes énoncés sous forme de grands
principes, comme les principes d'intégrité, de confidentialité, d'objectivité
et de compétence de l'IIA. C'est
pourquoi le code de conduite de
l'IFAC10 est établi à la fois sur les
mêmes grands principes (sur une
page) complétés d'environ 90 pages
de règles précises.
Notre code ISACA, quant à lui, se
cantonne à une énumération de
plus en plus concise de principes,
qui peuvent être allusifs voire de
conséquence contradictoire dès lors
qu'on ne sait pas à quel niveau
moral l'auditeur doit se référer. On
voit mal dans ce cadre quelle peut
être l'efficacité d'un tel code et quelle
plus-value il peut apporter à notre
pratique quotidienne.
L'association pour l'audit et le
contrôle des systèmes d'information (ISACA), dont l’AFAI est le
chapitre français, a établi ce code
d'éthique professionnelle pour
guider la conduite professionnelle
et personnelle des membres de
l'association et/ou les titulaires
des certificats que délivre l'association. Les membres et détenteurs
de certificat de l'ISACA doivent :
6. Informer les parties appropriées des résultats des travaux
effectués, en communicant tous
les faits significatifs connus d'eux.
7. Apporter un soutien à la formation des parties prenantes en
améliorant leur compréhension
de la sécurité et du contrôle des
systèmes d'information.
Le non-respect de ce code de
déontologie peut donner lieu à
une enquête sur la conduite d'un
membre ou d'un titulaire de certificat professionnel et, éventuellement, déboucher sur une action
disciplinaire.
1. Soutenir la mise en oeuvre et
encourager le respect des normes,
des procédures et des contrôles
appropriés pour les systèmes
d'information.
2. Remplir leurs devoirs avec la
diligence et la conscience professionnelle appropriées, en conformité avec les normes professionnelles et les meilleures pratiques.
3. Servir l'intérêt des parties prenantes de manière licite et honnête,
tout en observant une conduite et
un comportement exemplaires et
sans s'impliquer dans des actes
qui pourraient discréditer la
profession.
4. Protéger la confidentialité des
informations recueillies à l'occasion de leurs missions, à moins
qu'une communication ne soit
requise par une autorité légale.
Ces informations ne doivent pas
être utilisées pour en tirer un
bénéfice personnel ni communiquées à des tiers non autorisés.
5. Entretenir leur compétence
dans leurs domaines respectifs et
n'accepter d'entreprendre uniquement que les activités qu'ils
peuvent raisonnablement mener
à terme avec leur compétence
professionnelle.
9. voir Terri Herron et David Gilbertson
« Ethical principles vs ethical rules : the moderating effect of moral development on audit
independance judgments » in Eighth symposium on ethics in accounting.
10. IFAC : the international federation of
accountants.
Documents connexes
auditeur interne - Schneider Electric
auditeur interne - Schneider Electric
Halte aux cyber-attaques - Mauritius Institute of Directors
Halte aux cyber-attaques - Mauritius Institute of Directors
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
AUDITEUR INFORMATIQUE - Banque centrale du Luxembourg
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
audit et ctrl de gestion
Mes médicaments à l`Hôpital
Mes médicaments à l`Hôpital
Auditeur mandaté
Auditeur mandaté
B) L`Audit
B) L`Audit
AUDITEUR LOGISTIQUE
AUDITEUR LOGISTIQUE
Fiche pédagogique : comment écrire pour la radio ?
Fiche pédagogique : comment écrire pour la radio ?
Océane Consulting (Tanaguru)
Océane Consulting (Tanaguru)
Brochure startbiz
Brochure startbiz
fiche de liaison [PDF - 125 Ko ] - UFR SESS - STAPS
fiche de liaison [PDF - 125 Ko ] - UFR SESS - STAPS
2 Rédaction - Règles de l`écriture radiophonique. - RÉCIT
2 Rédaction - Règles de l`écriture radiophonique. - RÉCIT
division des infrastructures routieres subsidiees
division des infrastructures routieres subsidiees
Foire aux questions (FAQ) - Canadian Patient Safety Institute
Foire aux questions (FAQ) - Canadian Patient Safety Institute
Liste des formations concernées par le calendrier de toutes les
Liste des formations concernées par le calendrier de toutes les
L`audit interne et les corps d`inspection
L`audit interne et les corps d`inspection
Téléchargement
publicité