Vous êtes sur la page 1sur 4

Modalits Pratiques dApplication

MPA 2320-4 Assurance en continue


Principale Norme de rfrence

2320 Analyse et valuation


Les auditeurs internes doivent fonder leurs conclusions et les rsultats de leur mission sur des analyses et valuations appropries.

1.

Les contrles sont traditionnellement tests sur une base rtrospective et cyclique, souvent plusieurs mois aprs la ralisation des activits. Ces tests utilisent gnralement des techniques dchantillonnage de donnes historiques. Les missions daudit, fondes sur de telles approches dchantillonnage, peuvent ne pas correspondre aux besoins de lorganisation, en particulier lorsque lvaluation du prol de risque de cette organisation ncessite de prendre en compte des informations rcentes. De surcrot, la rapidit avec laquelle les activits et les organisations voluent exige d'identier de manire plus proactive les enjeux. Pour ce faire, les systmes dinformation peuvent servir de levier pour identier en temps opportun les problmes ventuels. Lorsque le prol de risques le justie, l'audit interne devrait envisager d'valuer en continu l'ecacit des contrles au lieu dutiliser des tests plus classiques raliss de manire priodique sur des donnes historiques relatives une slection de dispositifs de contrle interne ou de risques. Le glossaire du CRIPP dnit lassurance comme un examen objectif dlments probants, eectu en vue de fournir lorganisation une valuation indpendante des processus de gouvernement dentreprise, de management des risques et de contrle . Le meilleur moyen de fournir une assurance en continu consiste conjuguer la surveillance en continu incombant au management et les activits d'audit en continu. La surveillance en continu est un processus managrial qui permet de s'assurer en permanence que les dispositifs de contrle interne fonctionnent de manire ecace. Les vnements associs aux risques les plus importants (par exemple, des transactions inhabituelles ou non rcurrentes) peuvent tre identis et faire l'objet d'une attention particulire ou de tests supplmentaires. En plus des processus de surveillance en continu, des procdures d'audit en continu dveloppes par les auditeurs internes peuvent, le cas chant, tre transfres au management. Elles deviennent alors des procdures de surveillance en continu mises en uvre par le management.
MPA 2300

2.

3.

IFACI - septembre 2013

4.

La plupart des techniques de surveillance en continu utilises par le management sont semblables aux techniques d'audit en continu que l'auditeur interne peut employer. La cl du succs en matire de surveillance en continu passe par lappropriation et la ralisation de cette dmarche par le management dans le cadre de ses responsabilits de mise en uvre et de maintien dun environnement de contrle ecace. tant donn que le management est responsable des dispositifs de contrle interne, il devrait tre en mesure de dterminer, en permanence, s'ils fonctionnent comme prvu. Ainsi, en se mettant en capacit didentier et de corriger en temps opportun les problmatiques de contrle il est possible damliorer lensemble du systme de contrle interne. Les domaines susceptibles de faire l'objet d'un audit en continu devraient tre identis dans le plan d'audit annuel. L'audit interne devrait utiliser le rfrentiel de gestion des risques de l'organisation (s'il en existe un), ainsi que sa propre valuation des risques, pour identier ces domaines. La frquence de couverture devrait tre dtermine en fonction des facteurs de risque du domaine ou du processus concern. L'audit en continu permet aux auditeurs internes d'identier et d'valuer les risques, et de ragir de manire judicieuse et dynamique aux changements au sein de l'organisation. Il contribue galement identier et valuer le risque. Le soutien des principales parties prenantes est indispensable pour le succs de l'audit en continu. Les tapes suivantes devraient tre envisages pour dvelopper et maintenir les activits d'audit en continu : Hirarchiser les domaines couvrir et slectionner une approche d'audit en continu. Dnir les exigences en termes de livrables. Slectionner les outils d'analyse, qui peuvent tre dvelopps en interne ou tre fournis par un diteur de logiciel. Dnir le primtre des procdures d'audit en continu. valuer l'intgrit des donnes et prparer les donnes. Prendre connaissance de l'approche de surveillance en continu du management. Concevoir et mettre en uvre des procdures d'audit en continu pour valuer les contrles et identier les dfaillances. Une fois les objectifs d'audit en continu dnis, il convient dobtenir le soutien de la direction gnrale sur le primtre retenu. Les chiers de donnes, tels que les chiers de transactions dtailles, sont souvent conservs sur une courte dure. Par consquent, l'auditeur interne devrait prendre les mesures ncessaires pour la conservation des donnes appropries. Une bonne organisation, en amont, de laccs aux programmes/systmes et aux donnes permet de limiter les interfrences avec l'environnement de production. L'auditeur interne devrait valuer l'impact potentiel sur l'utilisation des procdures d'audit en continu des modications apportes aux
IFACI - septembre 2013

5.

6.

7.

8.

Modalits Pratiques dApplication

programmes/systmes de production, y compris la scurit des accs. L'auditeur interne devrait obtenir une assurance raisonnable quant l'intgrit, la abilit, l'ecacit et la scurit des procdures d'audit en continu, grce une planication, une conception, des tests, un traitement et une revue appropris de la documentation. 9. L'auditeur interne devrait examiner ladquation des activits de surveillance en continu du management. Cela permettra de dterminer dans quelle mesure l'audit interne peut se er l'environnement de contrle de l'organisation, ce qui inuera sur la nature et la frquence des travaux d'audit.

10. Lorsqu'il dnit le calendrier, le primtre et le niveau de couverture des tests d'audit en continu, l'auditeur interne devrait prendre en compte les objectifs d'audit en continu, l'apptence pour le risque de l'organisation, ainsi que le niveau et la nature de la surveillance en continu par le management. 11. Les activits d'audit en continu vont de lanalyse en temps rel une analyse priodique de transactions dtailles, dtats slectionns automatiquement des intervalles de temps pralablement dnis ou de donnes consolides. La frquence de ces analyses dpendra du niveau de risque associ au systme ou au processus examin, ainsi que de la pertinence de la surveillance en continu ralise par le management et des ressources disponibles. Les systmes critiques dots de contrles cls peuvent tre soumis une analyse en temps rel des donnes relatives aux transactions. L'auditeur interne devrait prendre en considration les exigences rglementaires et les mesures prises par le management pour grer les expositions aux risques et leur impact potentiel. Une fois que le management a mis en uvre les processus de surveillance en continu des contrles, les auditeurs internes et les auditeurs externes devraient dterminer dans quelle mesure ils peuvent s'appuyer sur ces processus pour rduire lampleur de leur programme de tests dtaills. 12. Lorsque les procdures d'audit en continu sont modies, l'auditeur interne devrait eectuer une revue des modications en termes d'intgrit, de abilit, decacit et de scurit. L'auditeur interne devrait documenter les rsultats de cette revue avant de s'appuyer sur les procdures d'audit en continu modies. 13. Une fois les procdures d'audit en continu mises en uvre, l'auditeur interne devrait analyser les rsultats an d'identier les transactions non conformes. Il est possible d'identier laccroissement des niveaux de risque par une analyse comparative (entre processus, entre entits, des rsultats du mme test dans le temps). L'un des enjeux de la mise en uvre d'un systme d'audit en continu ou de surveillance en continu rside dans le traitement ecace des risques et des carts identis. Lorsqu'un systme d'audit en continu ou de surveillance en continu est mis en uvre, il s'avre souvent, aprs investigation, qu'un grand nombre dcarts ne sont pas des sujets de proccupation. Le systme d'audit en continu devrait
IFACI - septembre 2013
MPA 2300

permettre l'ajustement des paramtres de test, an que ces carts n'engendrent ni alerte ni notication. Une fois le processus d'identication des faux positifs excut, il sera dautant plus possible de sappuyer sur le systme pour identier uniquement les dfaillances de contrle ou les risques signicatifs. 14. Tout contrle dfaillant et/ou risque potentiel identi grce l'audit en continu devrait tre communiqu au management. In ne, l'auditeur interne devrait, le cas chant, demander au management de spcier le plan d'action et le calendrier de rsolution. Une fois les mesures appropries prises, l'auditeur interne peut envisager d'utiliser nouveau le programme d'audit en continu pour vrier si la solution adopte a permis de remdier la faiblesse de contrle et de rduire le niveau de risque. 15. L'auditeur interne devrait revoir priodiquement l'ecience et l'ecacit des programmes d'audit en continu. Il peut s'avrer ncessaire d'ajouter des points de contrle ou des mesures dexpositions aux risques, et d'en supprimer d'autres, en fonction de la mise jour de lvaluation des risques. Il peut galement s'avrer ncessaire de renforcer ou d'assouplir les seuils, les tests de contrle et les paramtres de diverses analyses. 16. Le processus d'audit en continu devrait tre susamment document an d'apporter des preuves d'audit adquates. La MPA 2330-1, Documentation des informations , contient des recommandations supplmentaires ce sujet.

IFACI - septembre 2013