Vous êtes manager ou responsable d’une équipe d’auditeurs, ou bien vous avez fait appel à un prestataire externe pour réaliser l’audit. Vous êtes donc un chef d’orchestre qui doit s’assurer de la bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.
Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la taille de votre entreprise, ou de la disponibilité de votre équipe d’auditeurs.
Dans cette dernière partie du cours, je propose des méthodes et outils à la fois pour réaliser et pour superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les méthodes et vous assurer de la mise en œuvre des bonnes pratiques d’audit.
Pour commencer, je vais vous présenter la démarche générale de collecte d’information et de preuve. Ce sera également l’occasion pour vous de (re)découvrir les différents outils d'audit.
Préparez le dossier de la mission d’audit
Avant de partir à la recherche d’informations et de preuves, je vais vous donner quelques astuces pour gérer les informations et documents que vous avez collectés, ou que vous allez produire.
Compte tenu de la volumétrie des documents et de l'analyse de nombreuses données, sous format papier ou électronique, il convient d'être rigoureux quant à la conservation des documents fournis par des audités et de ceux produit par l’équipe d’audit.
Les documents doivent être classés de manière claire et compréhensible, et référencés afin d’être très facilement identifiés. Pour ce faire, je vous recommande très en amont et au fil de l’eau de les identifier, de normer leur conservation et de définir les modalités d’accès.
La création d’un répertoire partagé d’audit
En tant que chef de mission ou responsable, vous devez vous assurer que toute la documentation liée à la mission d’audit est bien accessible dans le dossier de la mission d’audit. Ce dossier peut être situé dans un répertoire partagé contenant tous les documents collectés et les travaux réalisés.
Vous pouvez mettre à disposition des modèles des principaux livrables d’un audit sur ce réseau. Dans une logique d’amélioration continue, vous pouvez stocker les anciens modèles dans un dossier “OLD”.
Le nommage des documents
Si vous avez plusieurs missions d’audit à gérer en même temps, vous pouvez instaurer une convention de nommage des documents.
Par exemple Référence de la mission d’audit_Année_Nomdocument_Statut.
La référence de la mission d’audit est à reprendre du plan d’audit.
L’année est celle où a lieu la mission.
Le nom du document peut être “lettre de mission”, “référentiel d’audit”, “programme de travail”, “compte rendu d’entretien”, etc.
Le statut peut être nécessaire pour indiquer la version en cas d’aller-retour sur un document, voire pour signaler qu’il a bien été validé.
Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :
« Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités ;
« Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le numéro s’incrémentant de manière chronologique ;
« Com » lorsque la version est communiquée officiellement, notamment pour un support de réunion ;
« Def » lorsque le document est validé.
La conservation des documents collectés
Choisissez un moyen de conservation :
en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les documents de travail en format électronique devront être imprimés ;
ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas, tous les documents en format papier devront être scannés.
Partez à la collecte d’informations et de preuves
Comment collecter les informations et constituer des preuves d’audit ?
La réunion de lancement est terminée et votre audit est lancé. La phase d’investigation commence. Vous avez défini dans le cadre du programme de travail les procédures d’audit pour vérifier les activités de maîtrise des risques.
À ce titre, vous avez prévu de réaliser des tests d’audit au moyen d'outils tels que des questionnaires, des entretiens, des observations, des revues documentaires, des analyses de données, etc.
Votre objectif est d’obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les risques ou non. Vous devrez également vous assurer de la qualité, c’est-à-dire la pertinence, la fiabilité et la quantité suffisante des preuves collectées.
Dans la grille d’audit que je vous ai proposée dans le chapitre précédent, vous allez compléter les quatre colonnes de la partie “évaluation”.
La démarche est ainsi réalisée en quatre grandes étapes :
1. Réaliser les tests d’audit et collecter les preuves : vous allez décrire l’AMR sur la base des informations qui vous ont été fournies.
2. Documenter les tests d’audit : vous précisez les preuves collectées et/ou que vous avez constituées.
3. Évaluer les résultats des tests d’audit : dans la colonne “observations”, vous décrivez les résultats obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs d’évaluer la capacité des dispositifs de contrôle à maîtriser les risques ou non :
Le contrôle existe-t-il ?
Le contrôle fonctionne-t-il correctement (tel que conçu) ? Le contrôle permet-il de maîtriser les risques, en réduisant sa probabilité d’occurrence ou les impacts ?
Le contrôle est-il efficace et permet-il au processus d’atteindre ses objectifs ?
Le contrôle est-il efficient et permet-il au processus d'atteindre ses objectifs tout en optimisant l'utilisation des ressources ?
4. Élaborer une conclusion : vous allez conclure si le test répond ou non à l’objectif d’audit.
De la théorie à la pratique
Je vous ai présenté la démarche pour élaborer un référentiel d’audit sans vous fournir un exemple concret. Je vous propose donc, dans cette section, d’illustrer cette démarche avec un cas standard dans les systèmes d’information.
Votre direction vous demande de réaliser un audit “flash” des accès de l’application comptable et financière avant l’arrivée des commissaires aux comptes. Les objectifs de l’audit sont de s’assurer que la sécurité logique de l’application est maîtrisée et qu'il n’y a pas de risques de fraude. Vous n’avez que très peu de temps et aucune ressource.
Vous allez donc devoir concevoir une grille d’audit compte tenu de ces contraintes.
Pour ce faire, je vous propose de réaliser des tests d’audit des contrôles généraux informatiques (GCTI ou ITGC). Les contrôles généraux informatiques s’appliquent à tous les composants, processus et données des SI d’une entreprise. Si ces contrôles ne sont pas mis en œuvre, ou ne fonctionnent pas correctement, l’entreprise ne pourra pas se fier aux SI pour gérer les risques.
Les ITGC les plus courants sont regroupés en quatre domaines :
les contrôles de sécurité logique pour les accès aux applications et aux données ;
les contrôles de sécurité physique pour les accès aux sites d’hébergement des serveurs et les infrastructures ;
les contrôles sur la gestion des changements et des incidents dans les applications ;
les contrôles de l’exploitation, y compris la sauvegarde et la restauration des systèmes et des données.
Dans le cadre de cet audit, nous ne nous focaliserons que sur le premier domaine concernant la sécurité logique (document Excel en téléchargement avec les sous-domaines, les risques, les objectifs d'audit).
Comme vous le remarquerez, les objectifs d’audits peuvent être nombreux pour vérifier un contrôle. Ces objectifs ont été détaillés afin de s’assurer que les tests d’audit à réaliser permettront de vérifier que les contrôles attendus sont bien réalisés et efficaces.
Afin de réaliser vos tests d’audits, vous allez devoir demander un certain nombre de documents, que vous identifierez pour contrôle à tester. Vous allez également organiser au moins un entretien avec le responsable de l’application comptable.
En résumé :
réfléchissez et mettez en place une stratégie de conservation et d’archivage des documents d’audit ;
la collecte et la constitution de preuves d’audit se fait en quatre étapes, en complétant votre grille d’audit :
réaliser les tests d’audit au moyen d’outils que nous verrons dans le prochain chapitre, et collecter les preuves,
documenter les tests d’audit,
évaluer les résultats des tests d’audit,
élaborer une conclusion.
Dans le chapitre suivant, je vous présenterai des outils pour réaliser les tests d’audit et pour les documenter.