Vous connaissez dorénavant la démarche générale de collecte d’information et de preuve :
réaliser les tests d’audit au moyen d’outils et collecter les preuves ;
documenter les tests d’audit ;
évaluer les résultats des tests d’audit ;
élaborer une conclusion.
Vous êtes à la première étape de la démarche “réaliser les tests d’audit au moyen d’outils et collecter les preuves”. Ce chapitre vous permettra de (re)découvrir les différents outils à utiliser pour vos tests d’audits, pour les documenter et pour évaluer les résultats des tests d’audit, afin de conclure sur l’existence et l’efficacité des contrôles.
Je vous propose ainsi de (re)découvrir :
les bonnes pratiques en entretien d’audit ;
le diagramme des flux ;
les tests de cheminements et la piste d’audit ;
les analyses de données.
(Re)Découvrir les bonnes pratiques en entretien
Vous disposez d’un panel d’outils que vous pouvez utiliser pour collecter des informations : brainstorming, observations sur site, entretiens et questionnaires, etc.
Je vous propose de nous concentrer sur l’entretien d’audit, qui est le moyen le plus utilisé pour collecter des informations. Mais vous vous demandez : Comment constituer des preuves avec des échanges à l’oral ? Je vais répondre à cette question un peu plus bas.
Instaurez un climat de confiance au cours des entretiens
Les entretiens permettent de collecter des informations afin de prendre connaissance des activités du domaine audité, et éventuellement constituer les preuves d’audit qui permettront d‘atteindre les objectifs de la mission d’audit.
La réussite d’un entretien repose sur sa préparation en amont, le respect des personnes interrogées et la capacité à parler leur langage. En outre, vous ne devez pas avoir d’idées préconçues en y allant. Il s’agit là d’adopter la posture d'auditeur compétent, crédible et bienveillant, qui applique naturellement les principes d’objectivité et d’intégrité.
Faites valider le compte rendu de l’entretien
Les entretiens ont pour avantage de donner la possibilité aux audités et aux auditeurs d’échanger, en favorisant la communication. Ces échanges permettent de construire une relation de travail positive tout au long du déroulement de la mission d’audit. Ils doivent faire l’objet d’un compte rendu.
Sans validation formelle de ce compte rendu par le(s) audité(s), les informations collectées n’ont pas par nature un caractère probant, et ne peuvent pas constituer de preuves d’audit.
Par ailleurs, en tant qu’auditeur ou responsable de mission, les informations doivent être corroborées. Autrement dit, elles doivent impérativement être rapprochées d’autres informations collectées.
Soignez votre introduction et votre conclusion
La préparation de l’entretien consiste à :
définir les objectifs de l’entretien et les thèmes à aborder ;
identifier le(s) interlocuteur(s) ;
collecter des informations sur le domaine concerné par l’entretien et sur le(s) interlocuteur(s), et en prendre connaissance en amont ;
lister les questions et les organiser par thème et sur le modèle QQOCPQ : Qui, Quoi, Où, Comment, Pourquoi, Quand ;
définir un guide de l’entretien ;
organiser le rendez-vous, en transmettant par exemple une invitation par mail avec la date, l’heure, le lieu, la durée et les objectifs de l’entretien, et les thèmes à aborder.
Vous allez poser un certain nombre de questions, vous allez évidemment écouter les réponses mais également reformuler et valider les réponses obtenues.
Tout comme l’introduction, la conclusion a aussi son importance afin de laisser une bonne impression de l’audit. Elle consiste à :
synthétiser et valider les points importants de l’entretien ; par exemple, reformuler et valider les activités de contrôle réalisées sur le processus audité ;
lister les documents énumérés pendant l’entretien et définir les délais de transmission de ceux-ci ;
présenter les étapes suivantes et les éventuels futurs échanges ;
remercier le(s) interlocuteur(s) ;
et réaliser un compte rendu de l’entretien, qui devra être validé de manière formelle par le(s) participant(s).
(Re)Découvrir le diagramme de flux
Lors de la phase de préparation et de prise de connaissance du domaine à auditer, je vous avais déjà conseillé de modéliser un diagramme de flux afin de visualiser les étapes d’un processus et/ou d’un sous-processus, à partir de la documentation existante.
Au cours de la phase d’investigation, vous pouvez reprendre cette modélisation et la revoir avec vos interlocuteurs au cours d’un entretien d’audit.
Il s’agit d’un outil :
d’aide à la prise de connaissance, puisqu’il requiert une compréhension précise du processus, à partir d’informations collectées dans le cadre d’entretiens ou d’analyses de procédures, par exemple ;
de vérification : la validation de la description graphique du processus par son responsable permet d’en vérifier l’exactitude. L’élaboration d’un diagramme de flux est un processus itératif : en fonction des informations collectées, vous allez le modifier afin qu’il soit au plus proche de la réalité du terrain. Dès lors, il sera nécessaire de valider cette nouvelle version auprès du responsable.
Rattaché au compte rendu de l’entretien, ce diagramme constitue une preuve d’audit.
Cette représentation graphique est utile à l’auditeur pour identifier et situer :
les risques relatifs à chaque activité du processus ;
les contrôles qui doivent permettre de les maîtriser.
Quelle est la méthode pour modéliser un processus ?
Les deux méthodes de modélisation couramment utilisées sont l’ISO ou le BPM(N). Je vous présente ci-dessous une méthode générique, inspirée des deux méthodes ISO et BPM, afin de se focaliser sur les bonnes pratiques en matière de modélisation d’un diagramme de flux.
Vous trouverez ci-dessous les étapes de modélisation.
Sur un brouillon, identifiez le processus et/ou la partie du processus à représenter.
Identifiez les acteurs ; chaque acteur identifié fera l’objet d’une colonne du diagramme.
Identifiez des activités, c’est-à-dire les actions et opérations réalisées par les acteurs.
Identifiez des documents.
Identifiez les flux, à savoir les informations en entrée et en sortie de chacune des activités. Les éléments d’entrée d’une activité sont généralement les éléments de sortie d’autres activités.
Dessinez le squelette de votre diagramme, c’est-à-dire positionnez les acteurs en colonne. Puis positionnez la toute première activité qui constitue l’entrée du processus.
La mise en place des activités sur le diagramme s’effectue en fonction des acteurs qui les réalisent et en fonction de leur position dans le déroulement du processus. Le sens des flèches donne le sens de lecture : en principe, les activités vont de gauche à droite, puis du haut vers le bas.
Terminez votre diagramme par la dernière activité du processus, qui peut être l’entrée d’un autre processus.
Néanmoins, je vous recommande d’adapter les symboles au contexte de l’entreprise. De plus, vous souhaiteriez probablement utiliser un logiciel de modélisation qui aura ses propres formes et permettra d’homogénéiser la méthode de représentation graphique.
De mon point de vue, les logiciels de modélisation sont assez contraignants puisqu’ils demandent une montée en compétence. S’ils ne disposent pas de l’outil, ou s’ils ne savent pas l’utiliser, vos interlocuteurs ne pourront pas intégrer votre diagramme dans leur procédure, ni le modifier en cas de changements sur le processus. En revanche, l’utilisation d’un logiciel permet d’homogénéiser la pratique ; encore faut-il que tous les utilisateurs appliquent les mêmes formes et les mêmes principes de modélisation.
Je vous présente ci-dessous un exemple de diagramme de flux réalisé sous PowerPoint, à partir de formes simples. Il représente une partie de la modélisation du processus de gestion des achats, qui débute par le sous-processus de gestion d’une demande d’achat.
Il a été réalisé dans le cadre d’un audit de la gestion des achats dans une entreprise de services. Comme vous pouvez le remarquer, les activités de maîtrise des risques ont été identifiées directement sur le diagramme.
(Re)Découvrir le test de cheminement et la piste d’audit
En vue de collecter des informations et de constituer des preuves d’audit, il existe deux outils, très souvent utilisés dans le cadre d’un audit :
le test de cheminement ;
la piste d’audit.
Le test de cheminement
Le principe est de suivre les différentes étapes d’une opération, de son origine jusqu’à son dénouement ; par exemple de l’enregistrement d’un bon de commande d’un client à l’écriture de l’opération de vente dans le compte comptable pour constater le chiffre d’affaires. Il permet ainsi de confirmer la compréhension d’un flux de traitement et de ses contrôles.
Vous l’avez sans doute deviné : vous pouvez bien sûr vous appuyer sur un diagramme de flux pour effectuer le test de cheminement au cours d’un entretien d’audit !
À l’issue d’un test de cheminement, l’auditeur doit être capable de se faire un avis sur :
le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le diagramme de flux ;
l’existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir.
En résumé, la mise en oeuvre d’un test de cheminement s’appuie sur :
des entretiens, dans lesquels vous allez poser des questions aux audités et observer les activités, afin de :
identifier les tâches et les contrôles réalisés,
identifier les écarts entre ce qui est décrit dans les procédures ou ce qui est attendu par le management et la réalité,
détecter les erreurs et prendre connaissance de la manière dont elles sont traitées ;
un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au cours des différentes étapes du processus afin de tester l’efficacité opérationnelle des contrôles. À ce titre, vous pouvez demander à votre interlocuteur de faire des copies d’écran des opérations réalisées dans les systèmes, afin de constituer vos preuves d’audit.
La piste d’audit
La piste d’audit s’apparente à un test de cheminement. Elle est utilisée dans le cadre des audits financiers pour remonter à l’origine d’une opération, de l’enregistrement dans les états financiers à l’acte de gestion. Vous pouvez donc vous inspirer de son principe pour réaliser vos tests d’audits. L’objectif est de s’assurer de la traçabilité des opérations.
Par exemple, l’encaissement d’un paiement d'un client est peut-être déclenché si une facture, un bon de commande et un bon d’expédition lui sont rattachés. La piste d’audit du paiement du client repose sur la possibilité d'identifier une facture, un bon de commande et un bon d’expédition qui le sous-tendent, au moyen d’une référence unique utilisée dans chaque opération.
Le caractère probant des résultats de l’analyse de la piste d’audit dépend des modalités de sélection des opérations. D’un côté, vous ne pouvez pas conclure que les opérations sont bien tracées dans les systèmes en ne réalisant qu’un seul test unitaire. De l’autre, vous n’aurez pas le temps d’analyser l’exhaustivité des opérations dans les systèmes.
La sélection par échantillonnage est ainsi une méthode qui permettra de constituer des preuves probantes. L’analyse de données au moyen d’un outil pourra vous aider à constituer un échantillon plus large.
Cette méthode permet donc d’étudier les caractéristiques d’une population dont la taille ne permet pas une analyse exhaustive.
La taille de l’échantillon est déterminée en fonction :
du niveau d’assurance souhaité, 20 % pour une assurance modérée et 50 % pour une assurance raisonnable ;
de la méthode d’échantillonnage si elle est définie dans des procédures d’audit et/ou de contrôle internes ;
du jugement professionnel.
Par exemple, la taille de l’échantillon peut dépendre de la fréquence du contrôle ou de la taille de la population. Voici des illustrations de grilles qui peuvent être appliquées :
À noter qu’en cas d’écarts identifiés dans l’échantillon testé, un échantillon supplémentaire sera tiré afin de déterminer le caractère reproductible des anomalies au sein de la population testée.
(Re)Découvrir l’analyse de données
L’analyse de données au moyen d’un outil peut aider à constituer un échantillon plus large, voire à réaliser le test d’audit sur toute la population.
Au moyen d’un outil spécialisé (Excel, MS Access, IDEA, ACL, etc.) appelé “CAAT” (Cumputerized Assisted Audit Tool), vous allez analyser les données d’un système de votre entreprise, sur de grands volumes.
Néanmoins, les prérequis sont assez techniques. Il convient de :
connaître et comprendre le mode de stockage et de formatage des données dans le système ;
maîtriser l’outil d’analyse de données utilisé ;
s'assurer de la fiabilité et de la disponibilité des données à analyser.
Je vous laisse découvrir la démarche dans le cadre d’une analyse de données réalisée au moyen d’un outil dédié.
En amont, vous allez définir les procédures d’audit (échantillonnage, tests à réaliser sur les données) à partir des objectifs d’audit. Puis, vous déterminerez les données à utiliser (population, format, modalités de mise à jour, modalités d’accès...). Vous devez impérativement vous assurer de leur fiabilité, en les rapprochant avec d’autres sources ou en collectant des procédures.
Vous devez disposer des droits d’accès aux données dans le système, ou bien demander à une personne de vous transmettre les données sous la forme d’extraction, dont le format doit être spécifié.
Après avoir déterminé l’outil CAAT à utiliser, assurez-vous de disposer des ressources nécessaires (matérielles, humaines, logicielles).
Vous allez donc pouvoir paramétrer l’outil d’analyse de données et réaliser les tests.
Pour documenter les tests d’audit et constituer des preuves, vous devez conserver les données en entrée, les traitements (paramètres, code source), et les données en sortie, ainsi que la description de vos tests et les conclusions.
Pour illustrer avec un exemple, revenons à l’audit des accès au système comptable. Sur la gestion des habilitations des utilisateurs, un des objectifs d’audit est de vérifier la suppression systématique des comptes utilisateurs à la fin de la période de validité d'un contrat pour les CDD et intérimaires. Ce contrôle doit permettre de prévenir le risque qu’une personne non autorisée accède au système et utilise, diffuse, endommage ou détruise des données.
Accessibilité : Cette image est également disponible sous format Excel.
La procédure d’audit doit se dérouler au moyen d’une analyse de données :
collecter la liste des employés temporaires en CDD et en intérim au cours des 3 dernières années, extraite du système de paie. Seules les informations suivantes ne seront collectées : le matricule, le type de contrat et la date de fin ;
collecter la liste des comptes utilisateurs actifs, extraite du système comptable, avec le matricule ;
rapprocher les deux listes au moyen d’Excel afin d’identifier les comptes utilisateurs qui auraient dû être désactivés du fait d’une date de fin de contrat antérieure à la date du jour.
Le test d’audit est réalisé : dans la liste des comptes utilisateurs actifs, rechercher le matricule parmi la liste des employés temporaires en CDD et en intérim, et afficher la date de fin de contrat. Si cette date est antérieure à la date du test, le compte utilisateur aura dû être désactivé.
Vous avez identifié un compte utilisateur d’un employé temporaire qui est parti trois mois auparavant, sur les dix comptes utilisateurs actifs. Il s’avère après discussion qu’il s’agit du seul employé en contrat temporaire ayant disposé d’un accès au système comptable au cours des trois dernières années.
L’analyse des deux extractions constituent la preuve du test d’audit sur l’existence et l’efficacité du contrôle. En l'occurrence, vous pouvez constater l’absence de contrôle et que le risque n’est pas couvert.
En résumé :
les facteurs de réussite d’un entretien d’audit sont les suivants : le climat de confiance, le soin apporté à l’introduction et à la conclusion, la validation formelle du compte rendu par les participants ;
le diagramme de flux est à la fois un outil d’aide à la prise de connaissance, puisqu’il requiert une compréhension précise du processus, et un outil de vérification. La validation de la description graphique du processus par son responsable permet d’en vérifier l’exactitude. Son élaboration résulte d’un processus itératif ;
le test de cheminement permet à l’auditeur de se faire un avis sur le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le diagramme de flux, et de prouver l’existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir. Il s'appuie sur des entretiens et le diagramme de flux ;
la traçabilité des opérations peut être auditée au moyen de la piste d'audit. La sélection des opérations à tester par échantillonnage est une méthode qui permettra de constituer des preuves probantes. L’analyse de données au moyen d’un outil peut aider à constituer un échantillon plus large, voire de réaliser le test d’audit sur toute la population.
Dans le chapitre suivant, je vous propose de découvrir les bonnes pratiques dans le cadre de la supervision des audits.