Ethique de l`auditeur
En voici le texte en version originale1:
Code of Professional Ethics
The Information Systems Audit and
Control Association Inc. (ISACA) sets
forth this Code of Professional Ethics
to guide the professional and personal
conduct of members of the
Association and/or its certification
holders. Members and ISACA
Certification holder’s shall:
1. Support the implementation of,
and encourage compliance with,
appropriate standards, procedures
and controls for information systems.
2. Perform their duties with due dili-
gence and professional care, in
accordance with professional stan-
dards and best practices.
3. Serve in the interest of stakeholders
in a lawful and honest manner, while
maintaining high standards of
conduct and character, and not
engage in acts discreditable to the
profession.
4. Maintain the privacy and confi-
dentiality of information obtained in
the course of their duties unless
disclosure is required by legal autho-
rity. Such information shall not be
used for personal benefit or released
to inappropriate parties.
5. Maintain competency in their
respective fields and agree to under-
take only those activities, which they
can reasonably expect to complete
with professional competence.
6. Inform appropriate parties of the
results of work performed; revealing
all significant facts known to them.
7. Support the professional education
of stakeholders in enhancing their
understanding of information systems
security and control.
Failure to comply with this Code of
Professional Ethics can result in an
investigation into a member’s or
certification holder’s conduct and,
ultimately, in disciplinary measures.
Nous allons maintenant, par un
balayage rapide, essayer de com-
prendre ce que nous demande ce
texte, et en proposer systématique-
ment une traduction.
1.Support the implementation of, and
encourage compliance with, appro-
priate standards, procedures and
controls for information systems.
Il s'agit d'appliquer et faire appliquer
résolument les normes, sous-entendu
celles de l'ISACA.
La traduction que nous proposons :
Soutenir la mise en oeuvre et
encourager le respect des normes,
des procédures et des contrôles
appropriés pour les systèmes d'in-
formation.
2. Perform their duties with due dili-
gence and professional care, in accor-
dance with professional standards
and best practices.
Évolution importante, ce point
reprend en fait deux items de la
version antérieure du code d'éthique
de l'ISACA en les fusionnant. On
observe que disparaissent des
notions qui avaient jusqu'à présent
été considérées comme fondamen-
tales.
Les deux items en question sont :
(4) Perform their duties in an indepen-
dent and objective manner and avoid
activities that impair, or may appear
to impair, their independence or
objectivity.
(7) Perform their duties with due
professional care.
L'article (4) de la précédente version
des normes demandait à l'auditeur
de faire preuve d'indépendance et
d'objectivité, et de ne pas prendre
part à des activités qui pourraient ne
serait-ce que sembler nuire à ces
principes.
Ainsi, l'indépendance et l'objectivité
ne font plus dorénavant partie du
dossier :Audit
16
• La revue n° 82 - Mars 2006
Éthique de l’auditeur
José Bouaniche,
CISA, CIA,
Caisse des Dépôts
Bien qu'on en fasse générale-
ment peu mention au sein de
la profession, nous allons
nous intéresser au "code of
professionnal ethics", qui est
la base sur laquelle repose
notre statut d'expert indé-
pendant auprès de la
Direction générale.
Rappelons que tout membre
de l'ISACA (et donc de l'AFAI)
est tenu de l'appliquer, ainsi
que tout titulaire d'une certi-
fication délivrée par l'ISACA.
1. Source « IS standards,guidelines and proce-
dures for auditing and control professionals
current as of 1 December 2005 » sur le site
www.isaca.org.
code de déontologie, mais l'indé-
pendance perdure dans les normes :
03 Professional Independence
In all matters related to the audit, the
IS auditor should be independent of
the auditee in both attitude and
appearance.
04 Organisational Independence
The IS audit function should be inde-
pendent of the area or activity being
reviewed to permit objective completion
of the audit assignment.
Par ailleurs, après bien des débats
lors de leur évolution en 2000, puis
2004, l'indépendance et l'objectivité
ont été maintenues dans les normes
de l'IIA (normes 1100). L'objectivité
demeure un des 4 principes fonda-
mentaux du code de déontologie de
l'IIA qui sont,pour mémoire,l'intégrité,
l'objectivité, la confidentialité et la
compétence.
À la place de l'objectivité, l'ISACA
parle dorénavant de « due diligence »
c'est-à-dire des diligences raison-
nables ou des soins nécessaires, et
on rappelle qu'il faut le faire en
conformité avec les normes profes-
sionnelles.
La traduction que nous proposons :
Remplir leurs devoirs avec la dili-
gence et la conscience profession-
nelle appropriées, en conformité
avec les normes professionnelles et
les meilleures pratiques.
3. Serve in the interest of stakeholders
in a lawful and honest manner, while
maintaining high standards of conduct
and character, and not engage in acts
discreditable to the profession.
Cet article synthétise 2 articles de la
version précédente du code de
déontologie de l'ISACA :
(2) Serve in the interest of relevant par-
ties in a diligent, loyal and honest
manner, and shall not knowingly be
a party to any illegal or improper acti-
vities.
(10) Maintain high standards of
conduct and character and not engage
in acts discreditable to the profession.
Mais que sont ces « stakeholders »
ou parties prenantes ? Une version
précédente des normes détaillait les
parties prenantes comme les action-
naires, les employés et la commu-
nauté.En fait,il existe en gestion une
théorie des stakeholders2qui permet
d'apporter une vision sociétale à
l'entreprise, d'élargir la prise en
compte des devoirs de l'entreprise
au-delà de l'enrichissement du patri-
moine des actionnaires. On passe
donc du souci unique des groupes
qui détiennent le pouvoir à la prise
en compte des groupes qui sont
affectés par les décisions et activités
de l'entreprise même de manière
indirecte.
Le code nous demande de servir ces
parties prenantes, mais pas de n'im-
porte qu'elle façon, de manière licite
et honnête, tout en adoptant une
conduite exemplaire et en nous
enjoignant de ne pas commettre
d'actes qui pourraient discréditer la
profession. Cette injonction est à la
fois concrète et floue. Concrète car
on est dans le domaine du visible,
notre conduite et notre comporte-
ment touchent au paraître. Floue car
qui peut définir pratiquement ce
qu'est une conduite exemplaire ?
De plus, ces notions de normes
élevées de comportement comme
les "standards of ethics" relèvent de
la notion de moralité, éminemment
complexe à étudier.
Un code d'éthique,même réalisé par
des auditeurs talentueux, ne peut
apporter une vision morale qu'en
clarifiant la définition d'activités
relatives à des "normes de conduite
et de comportement élevées". C'est
pourquoi quand l'ISACA, dans cet
article, sort du cadre de l'entreprise
pour aborder la vie sociale sur son
aspect moral, l'auditeur peut se sentir
un peu désorienté.
La moralité en effet ne peut se
résoudre par l'application de notre
vision morale propre, car elle se res-
treint dans ce cas à nos habitudes et
à nos croyances, et diffèrent d'un
pays à l'autre voire d'un individu à
l'autre. Ainsi, les codes d'éthiques
importés directement des États-Unis
17
• La revue n° 82 - Mars 2006
Audit dossier
choquent les salariés français3qui
peuvent voir dans les codes de
déontologie « des chartes floues et
moralisantes » qui demandent au
personnel « de dénoncer le collègue
de magasin piquant dans les rayons
ou qui touche à la vie privée ».
Sans définition précise de ce qui est
moral, on peut ainsi craindre une
approche relativiste et communau-
tariste de l'éthique, ce qui reviendrait
à laisser l'appréciation des règles
morales indépendamment à chaque
détenteur de pouvoir.
Cette problématique relativiste a été
combattue par Kohlberg4à la fin des
années 1960. Il a concrétisé sa position
théorique en mettant au point un
test de jugement, le DIT5, qui permet
de classer les individus selon 3
grands niveaux de maturité morale
répartis sur 6 stades. Ce test est
constitué de scénarios, comme par
exemple celui où quelqu'un obligé
de voler pour obtenir un médica-
ment seul capable de sauver son
épouse, pour lequel on demande
aux participants de porter un juge-
ment moral qui sera analysé suivant
le tableau suivant6:
2. Pour une présentation de la théorie des sta-
keholders et son impact en éthique d'entreprise
voir Allison Marchildon « Vers une culture de
l'éthique en organisation : étude de deux cas »
mémoire de l'Ecole des hautes études commer-
ciales de l'université de Montréal,2002.
3. Voir dans Liaisons Sociales de mai 2005 l'ar-
ticle de Sandrine Foulon et Pierre-David
Labani « les salariés invités à cafter au nom de
l'éthique ».
4.Voir Darcia Narvaez « Moral judgement and
theory » in Seminar on moral education :
trends and directions, university of Malaya,
Kuala Lampur,July 22, 2002.
5. Pour une présentation du DIT (Defining
Issues Test) et son utilisation dans le milieu de
l'audit financier voir Christian Prat dit Hauret
« présentation de la théorie du développe-
ment moral cognitif et de ses apports possibles
dans les études sur l'audit » Centre de
recherche en contrôle et comptabilité interna-
tionale,Université Montesquieu,Bordeau IV.
6. Extrait de la revue Sciences Humaines n° 46.
Reprenons les termes du code :
Serve in the interest of stakeholders in
a lawful and honest manner, while
maintaining high standards of
conduct and character,and not engage
in acts discreditable to the profession.
On peut considérer que les exi-
gences relèvent de trois stades
moraux différents de la classification
de Kohlberg :
• acts discreditable, relève du
stade 3 de conformité sociale,niveau
conventionnel
• lawful and honest, relève du
stade 4 de légalisme,niveau conven-
tionnel
• high standards of character,relève
des stades 5 ou 6, niveau post
conventionnel
dossier :Audit
18
• La revue n° 82 - Mars 2006
Cet éparpillement peut conduire à
une difficulté d'interprétation du
juste comportement de l'auditeur.
Imaginons par exemple un auditeur
interne dans une entreprise qui
décide d'implanter une usine extrê-
mement polluante dans un pays
exotique à dictature militaire, pour
des raisons de survie économique et
de conservation de l'emploi dans sa
Niveau 1
Moralité pré-
conventionnelle
Stade 1
Obéissance par crainte
de la punition
Stade 2
Recherche
des récompenses
Ce sont les conséquences négatives
d’une action qui en définissent
le caractère mauvais.
Cette moralité consiste à obéir
pour éviter d'être puni
« Il n’aurait pas dû faire
cela parce qu’il ira
sûrement en prison. »
Ce qui est bon est ce qui procure
du plaisir. Les intérêts d’autrui
peuvent être pris en compte, mais
seulement dans la mesure où
ils permettent la réciprocité dans
un rapport « donnant - donnant ».
« Il pouvait voler
le médicament parce que
si sa femme survit,
elle sera plus gentille
avec lui. »
Stades Caractéristiques Exemples de
réponses fournies
Niveau 2
Moralité
conventionnelle
Stade 3
Conformité sociale
Stade 4
Légalisme
Le sujet désire surtout être bien vu
des autres. C’est une morale de la
réputation qui peut conduire à
des attitudes conformistes.
« Il a eu raison de voler
le médicament parce que
c’est gentil de le faire.
Sa femme et ses amis vont
plus l’aimer. »
L’individu se préoccupe surtout
du respect des règles sociales
et de l’autorité. C’est vers
l’adolescence qu’apparaît
ce stade qui est celui de
la majorité des adultes.
« Il aurait dû respecter
la loi et ne pas voler
le médicament. »
Niveau 3
Morale post
conventionnelle
Stade 5
Morale du contrat,
prise en compte
des droits individuels
Stade 6
Adoption des principes
éthiques universels
Le sujet prend conscience de
la relativité de certaines règles.
La morale peut donc se trouver
en contradiction avec la loi.
Par contre les normes morales
provenant de « contrats » entre
deux parties engagent celles-ci
« Il a eu raison
de voler le médicament
parce que c’est gentil
de le faire.
Sa femme et ses amis
vont plus l’aimer. »
Le sujet se réfère à des principes
moraux universels (respect de la vie,
liberté, justice) qui ont priorité
sur d’autres considérations.
« Il devait voler
le médicament parce que
la vie d’une personne
est plus importante
que le respect de la
propriété privée. »
19
• La revue n° 82 - Mars 2006
Audit dossier
région. Les parties prenantes fran-
çaises sont bien servies (l'emploi est
sauvegardé et la valeur de l'entreprise
augmentée).Les décideurs n'ont pas
contrevenu à la loi et ont pris en
toute bonne foi une bonne décision
économique par rapport à l'ortho-
doxie des affaires, d'autant plus
qu'en entreprise l'aspect écono-
mique prime sur le jugement moral
personnel7.
Mais le malheur veut que dans notre
exemple l'auditeur ait de « high
standards of conduct and character »,
c'est-à-dire se situe au niveau post
conventionnel selon Kohlberg. Il
considérera alors que s'il ne dénonce
pas cette pratique,il se fera complice
d'un nouveau Bohpal en puissance.
Cependant cette réaction peut tout
à fait le conduire en prison, ce qui
s'interprétera comme un « act dis-
creditable to the profession » pour la
plupart des managers.
On voit donc que le mélange de trois
stades de Kohlberg au sein d'un
même principe déontologique peut
poser des difficultés.
La traduction que nous proposons :
Servir l'intérêt des parties prenantes
de manière licite et honnête, tout
en observant une conduite et un
comportement exemplaires et sans
s'impliquer dans des actes qui
pourraient discréditer la profession.
4. Maintain the privacy and confiden-
tiality of information obtained in the
course of their duties unless disclosure
is required by legal authority. Such
information shall not be used for
personal benefit or released to inap-
propriate parties.
Faire preuve de discrétion concernant
les informations obtenues durant les
missions. Elles doivent cependant
être fournies à la demande des auto-
rités légales (judiciaires ainsi que
hiérarchiques), mais aussi sans
attendre une injonction explicite de
l'autorité légale lorsque le cas est
prévu, car l'auditeur n'est pas tenu
au secret professionnel. C'est ici que
peut se poser la problématique du
« whistleblowing », évoquée précé-
demment dans un autre contexte.
Nous proposons :
Protéger la confidentialité des
informations recueillies à l'occasion
de leurs missions, à moins qu'une
communication ne soit requise par
une autorité légale.Ces informations
ne doivent pas être utilisées pour
en tirer un bénéfice personnel ni
communiquées à des tiers non
autorisés.
5. Maintain competency in their
respective fields and agree to undertake
only those activities, which they can
reasonably expect to complete with
professional competence.
Cet article reprend deux articles de
la précédente version du code de
conduite pour former un tout cohé-
rent centré sur la compétence et son
application dans le cadre des mis-
sions qui nous sont confiées.A noter
que « their respective fields » ne
peut se comprendre qu'en se référant
à la précédente version du code qui
spécifiait que ces domaines respectifs
était ceux « de l'audit et du contrôle
des systèmes d'information ».
La traduction que nous proposons :
Entretenir leur compétence dans
leurs domaines respectifs et n'ac-
cepter d'entreprendre uniquement
que les activités qu'ils peuvent
raisonnablement mener à terme
avec leur compétence profession-
nelle.
6. Inform appropriate parties of the
results of work performed; revealing
all significant facts known to them.
Le résultat de nos travaux doit être
diffusé bien entendu aux parties
appropriées. L'information fournie
doit être significative, cela va de soi.
Cependant,la précédente version du
code précisait de manière pertinente
que le choix des informations à
diffuser était basé sur le principe de
révéler tout ce qui, s'il ne l'était pas,
donnerait une fausse image de l'objet
audité ou cacherait des activités
malhonnêtes ou illicites. Cette préci-
sion est toujours explicitée dans le
code de déontologie de l'IIA,ce qui a
conduit Michel Fautrat8à souligner
qu'au-delà de cet impératif de divul-
gation, un « deuxième impératif
pour l'auditeur est que le rapport ne
formule aucune affirmation pouvant
de manière évidente être utilisée
telle quelle contre les intérêts de la
société ». Ainsi, en cas de risque
correspondant à une situation péna-
lement qualifié ou qualifiable,
la formulation dans le rapport d'audit
doit être particulièrement surveillée.
Michel Fautrat recommande, pour
les risques qualifiés, de s'attacher
uniquement aux constats. Il préconise
pour les risques qualifiables, après
avoir formulé les constats de mention-
ner, de souligner toute circonstance
atténuante réellement identifiée
dans l'analyse des causes et de
formuler l'adhésion de l'audit à la
décision de correction raisonnable
des dysfonctionnements.
La traduction proposée :
Informer les parties appropriées
des résultats des travaux effectués,
en communicant tous les faits
significatifs connus d'eux.
7. Support the professional education
of stakeholders in enhancing their
understanding of information systems
security and control.
Ce dernier article est ce qui distingue
l'ISACA des autres associations
professionnelles.On y lit que l'auditeur
informatique doit former les parties
prenantes (qui étaient explicitées
dans une version antérieure comme
étant les clients,les collègues,l'enca-
drement, la direction et le public en
général), afin d'améliorer leur com-
préhension de la sécurité et du
contrôle des systèmes d'informa-
tion. Une sorte de prosélytisme
professionnel, en quelque sorte.
7. Voir Alan G. Mayper and al. « Accounting :
a moral discipline? » University of North Texas
8. Miche Fautrat « Comment évoquer les
risques à incidence pénale » in Audit n°173 de
février 2005.
Nous proposons :
Apporter un soutien à la formation
des parties prenantes en améliorant
leur compréhension de la sécurité
et du contrôle des systèmes d'infor-
mation.
En conclusion,la nouvelle version du
code de déontologie de l'ISACA est
énoncée sous forme de principes,
avec une grande part d'appréciation
pour l'auditeur. Cela nous confirme
qu'in fine l'auditeur est seul respon-
sable de ses actes. Il n'a pas en effet
à se cacher derrière une autorité
hiérarchique, un principe d'obéis-
sance, pour justifier de ses actes.
Cependant, non seulement le code
de l'ISACA ne nous rappelle pas ce
principe de responsabilité, si tant est
qu'il s'applique à l'audit informa-
tique, mais encore les notions expo-
sées dans le code peuvent être
contradictoires.
L'auditeur n'est plus assuré que ses
choix moraux, surtout quand ils se
heurtent à des décisions hiérar-
chiques, seront partagés par l'ISACA
ou le chapitre dont il dépend.
Notons enfin qu'il a été établi9que
les codes de déontologie doivent,
pour être suivis, avoir un contenu
différent selon qu'ils s'adressent à
des personnes de niveau conven-
tionnel ou postconventionnel au
sens de Kohlberg. Ainsi, les individus
de niveau conventionnel compren-
dront et suivront des codes énoncés
sous forme de règles précises, tandis
que les individus postconventionnels
ne prendront en compte que des
codes énoncés sous forme de grands
principes,comme les principes d'inté-
grité,de confidentialité, d'objectivité
et de compétence de l'IIA. C'est
pourquoi le code de conduite de
l'IFAC10 est établi à la fois sur les
mêmes grands principes (sur une
page) complétés d'environ 90 pages
de règles précises.
Notre code ISACA, quant à lui, se
cantonne à une énumération de
plus en plus concise de principes,
qui peuvent être allusifs voire de
conséquence contradictoire dès lors
qu'on ne sait pas à quel niveau
moral l'auditeur doit se référer. On
voit mal dans ce cadre quelle peut
être l'efficacité d'un tel code et quelle
plus-value il peut apporter à notre
pratique quotidienne.
L'association pour l'audit et le
contrôle des systèmes d'informa-
tion (ISACA), dont l’AFAI est le
chapitre français, a établi ce code
d'éthique professionnelle pour
guider la conduite professionnelle
et personnelle des membres de
l'association et/ou les titulaires
des certificats que délivre l'asso-
ciation. Les membres et détenteurs
de certificat de l'ISACA doivent :
1. Soutenir la mise en oeuvre et
encourager le respect des normes,
des procédures et des contrôles
appropriés pour les systèmes
d'information.
2. Remplir leurs devoirs avec la
diligence et la conscience profes-
sionnelle appropriées, en confor-
mité avec les normes profession-
nelles et les meilleures pratiques.
3. Servir l'intérêt des parties pre-
nantes de manière licite et honnête,
tout en observant une conduite et
un comportement exemplaires et
sans s'impliquer dans des actes
qui pourraient discréditer la
profession.
4. Protéger la confidentialité des
informations recueillies à l'occa-
sion de leurs missions, à moins
qu'une communication ne soit
requise par une autorité légale.
Ces informations ne doivent pas
être utilisées pour en tirer un
bénéfice personnel ni communi-
quées à des tiers non autorisés.
5. Entretenir leur compétence
dans leurs domaines respectifs et
n'accepter d'entreprendre uni-
quement que les activités qu'ils
peuvent raisonnablement mener
à terme avec leur compétence
professionnelle.
6. Informer les parties appro-
priées des résultats des travaux
effectués, en communicant tous
les faits significatifs connus d'eux.
7. Apporter un soutien à la forma-
tion des parties prenantes en
améliorant leur compréhension
de la sécurité et du contrôle des
systèmes d'information.
Le non-respect de ce code de
déontologie peut donner lieu à
une enquête sur la conduite d'un
membre ou d'un titulaire de certi-
ficat professionnel et, éventuelle-
ment, déboucher sur une action
disciplinaire.
dossier :Audit
20
• La revue n° 82 - Mars 2006
9. voir Terri Herron et David Gilbertson
« Ethical principles vs ethical rules : the mode-
rating effect of moral development on audit
independance judgments » in Eighth sympo-
sium on ethics in accounting.
10. IFAC : the international federation of
accountants.
1
/
5
100%
