Académique Documents
Professionnel Documents
Culture Documents
Avec l’essor d’internet, et l’utilisation par la majorité des entreprises et des organisation
de processus informatisés, les menaces visant les systèmes d’informations n’ont cessés
d’augmenter et de se sophistiquer, faisant aujourd’hui de la sécurité informatique une nécessité
Bien que les conséquences des cyberattaques sont désastreuses (fermeture d’entreprises déjà
en difficulté, perte de chance, perte de CA, perte d’image), elles sont devenues de plus en plus
banales.
Les données informatiques sont le cœur d’une entreprise et c’est aujourd’hui elles que visent
en priorité les pirates. Notamment avec de fréquentes attaques par des ransomwares. Si les
entreprises n’ont pas prévu une solide politique de sauvegarde, elles ne pourront pas récupérer
les fichiers chiffrés par les cybercriminels. À noter que le paiement de la rançon ne garantit
aucunement l’obtention de la clé de déchiffrement ! Ces attaques devenues courantes
doivent faire prendre conscience aux dirigeants que la protection de leur système
d’information est indispensable.
Les actions préventives sont les premières actions à mettre en oeuvre pour assurer la sécurité
informatique de son entreprise. Elles permettent de réduire le nombre de failles, d’intrusions,
de tentatives de piratages et de pertes de données.
Parmi les actions préventives, on peut distinguer :
En cas d’incident, d’intrusion ou de contamination des postes ou des données, l’entreprise doit
être prête à répondre à une situation d’urgence et à y faire face.
Ivision vous apporte son aide et son soutien, grâce à un support technique disponible et
réactif, et au travers de plusieurs types de prestations :
Accueil/SÉCURITÉ INFORMATIQUE
Avec l’essor d’internet, et l’utilisation par la majorité des entreprises et des organisation
de processus informatisés, les menaces visant les systèmes d’informations n’ont cessés d’augmenter et
de se sophistiquer, faisant aujourd’hui de la sécurité informatique une nécessité pour tous les types de
structure.
Pourquoi recourir à la protection informatique ?
2017 a été l’année de tous les records ! Par exemple, les cyberattaques avec prise de
contrôle ont connu une hausse de 170 % en 2017. Et 2018 suit la même tendance. Mais désormais les
menaces sont de plus en plus sophistiquées et s’appuient sur de nouvelles technologies.
Bien que les conséquences des cyberattaques sont désastreuses (fermeture d’entreprises déjà
en difficulté, perte de chance, perte de CA, perte d’image), elles sont devenues de plus en plus banales.
Les données informatiques sont le cœur d’une entreprise et c’est aujourd’hui elles que visent
en priorité les pirates. Notamment avec de fréquentes attaques par des ransomwares. Si les entreprises
n’ont pas prévu une solide politique de sauvegarde, elles ne pourront pas récupérer les fichiers chiffrés
par les cybercriminels. À noter que le paiement de la rançon ne garantit aucunement l’obtention de la
clé de déchiffrement ! Ces attaques devenues courantes doivent faire prendre conscience aux
dirigeants que la protection de leur système d’information est indispensable.
Les actions préventives sont les premières actions à mettre en œuvre pour assurer la sécurité
informatique de son entreprise. Elles permettent de réduire le nombre de failles, d’intrusions,
de tentatives de piratages et de pertes de données.
Ivision vous apporte son aide et son soutien, grâce à un support technique disponible et réactif,
et au travers de plusieurs types de prestations :
Selon vos besoins et vos moyens, vous pouvez accéder à différents niveaux de service:
Audit de sécurité informatique
Accueil/SÉCURITÉ INFORMATIQUE/Audit de sécurité informatique
L’audit de sécurité informatique que vous propose Ivision comporte les éléments suivants :
L'audit informatique, l'audit des systèmes d'information évalue les risques d'un environnement informatique ou
d'une application, par exemple, les salaires ou la facturation. Ces missions se font en choisissant avec le client
les processus métiers à évaluer, de même que les processus CobiT à évaluer parmi les 34 proposés.
L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la sécurité
physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Ou bien un
ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande précise
du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT permet justement
de rechercher quels processus informatiques répondent le plus efficacement à une telle demande. Dans le cas
de la disponibilité : par exemple la gestion des performances et des capacités et le plan de continuité.
Services offerts:
Approche générale
Audit de l'infrastructure informatique
Audit d'un système - d'une application inforrmatique en cours de réalisation
Audit d'une application informatique
Audit de la partie informatique du SCI
Approche générale
Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :
1. Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus
métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse des forces -
faiblesses.
2. Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de
l'efficacité des contrôles.
3. Tests des contrôles.
4. Tests de matérialité.
Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En effet,
il peut servir à évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple,
répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement
aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant les processus
informatiques proposés par le CobiT qui répondent le mieux à la demande et aux objectifs du client.
Mission
Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications. Par exemple :
Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.
Livrable
Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.
Mission
Assister l'audit interne à apprécier le projet en cours de réalisation dans les phases suivantes:
Initialisation - Analyse,
Conception - Réalisation,
Tests - Installation,
ainsi que le processus de Gestion de projet.
Méthodes et standards,
Gestion de projet,
Suivi des budgets et des délais,
Livrables,
Initialisation - Analyse,
Conception - Réalisation,
Tests - Installation,
Migration des données,
Revue post-installation.
Approche
Appréciation des processus et/ou enquêtes à l'aide de questionnaires.
Livrables
Mesures proposées de réduction et de contrôle des risques importants relevés; tableaux de bord et autres
documents de contrôle pour la DIrection.
Mission
Apprécier une application informatique en production, par exemple une application de gestion des salaires, une
application financière, etc. Très souvent plusieurs domaines font partie d'un audit d'une application, en
particulier:
Bien entendu, tout audit d'une application doit également apprécier la sécurité de l'infrastructure informatique
nécessaire au fonctionnement de l'application (cf. ci-dessus).
Livrable
Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.
--------------------------------------------------------------------------------
Système de contrôle interne (SCI)
Audit de la partie informatique du SCI
Définitions
COSO
Selon le COSO - concept SCI le plus connu et reconnu - le SCI est un processus appliqué par les membres du
CA, le management et autres personnes désignées pour fournir l’assurance raisonnable concernant la
réalisation des objectifs dans les trois catégories suivantes :
Une entreprise peut choisir d'autres catégories, par exemple la stratégie et l'image / la réputation.
1. Environnement de contrôle
2. Evaluation des risques
3. Activités de contrôle
4. Information - Communication
5. Surveillance.
Il existe des relations directes entre les objectifs – ce que l’entreprise veut atteindre – et les composants – ce
que l’entreprise a besoin pour les atteindre.
IFACI
Selon l'IFACI, le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.
Processus PDCA
Nous proposons un processus de gestion du SCI (PDF F) (PDF E) respectant l'approche PDCA (Plan, Do,
Check, Act) pour la mise en place et la gestion d'un SCI.
Ce concept vise fortement à augmenter l'efficacité et l'efficience des processus (optimisation du SCI) de
l'entreprise et à rationaliser les contrôles.
Le SCI et l'informatique
La mise en place du SCI de la partie informatique suit le concept COSO de mise en place du SCI, en
considérant les systèmes d'information (applications et infrastructure) nécessaires au fonctionnement des
processus métiers / business.
Il existe deux types de contrôles informatiques : Les contrôles généraux et les contrôles dans les applications.
Les contrôles dans les applications servent au contrôle du traitement des applications, depuis la saisie des
opérations jusqu'à la sortie des données.
Les contrôles généraux comprennent tous les contrôles de l'infrastructure informatique nécessaire au
fonctionnement des applications. Par exemple, la gestion de l'exploitation, les logiciels d'exploitation, la
sécurité des accès, le développement et la maintenance des systèmes et des applications, la gestion des
changements.
Les entreprises peuvent s'appuyer sur des normes reconnues pour choisir les contrôles informatiques les plus
appropriés pour atteindre leurs objectifs SCI, par exemple, le référentiel CobiT ou la norme ISO 27002.
Environnement de contrôle
Information et communication
Evaluation des risques
Pilotage
Acquérir et maintenir les logiciels et l'infrastructure technologique
Installer et certifier les solutions et gérer les changements
Gérer les niveaux de service et les services des tiers
Assurer le service continu
Sécurité physique et logique
Gestion des incidents de sécurité
Gestion de la configuration
Gestion des données
Gestion de l'exploitation
Informatique utilisateur
Budget estimé:
COSO
Selon le COSO - concept SCI le plus connu et reconnu - le SCI est un processus appliqué par les membres du
CA, le management et autres personnes désignées pour fournir l’assurance raisonnable concernant la
réalisation des objectifs dans les trois catégories suivantes :
Une entreprise peut choisir d'autres catégories, par exemple la stratégie et l'image / la réputation.
1. Environnement de contrôle
2. Evaluation des risques
3. Activités de contrôle
4. Information - Communication
5. Surveillance.
Il existe des relations directes entre les objectifs – ce que l’entreprise veut atteindre – et les composants – ce
que l’entreprise a besoin pour les atteindre.
IFACI
Selon l'IFACI, le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.
Processus PDCA
Nous proposons un processus de gestion du SCI (PDF F) (PDF E) respectant l'approche PDCA (Plan, Do,
Check, Act) pour la mise en place et la gestion d'un SCI.
Ce concept vise fortement à augmenter l'efficacité et l'efficience des processus (optimisation du SCI) de
l'entreprise et à rationaliser les contrôles.
Le SCI et l'informatique
La mise en place du SCI de la partie informatique suit le concept COSO de mise en place du SCI, en
considérant les systèmes d'information (applications et infrastructure) nécessaires au fonctionnement des
processus métiers / business.
Il existe deux types de contrôles informatiques : Les contrôles généraux et les contrôles dans les applications.
Les contrôles dans les applications servent au contrôle du traitement des applications, depuis la saisie des
opérations jusqu'à la sortie des données.
Les contrôles généraux comprennent tous les contrôles de l'infrastructure informatique nécessaire au
fonctionnement des applications. Par exemple, la gestion de l'exploitation, les logiciels d'exploitation, la
sécurité des accès, le développement et la maintenance des systèmes et des applications, la gestion des
changements.
Les entreprises peuvent s'appuyer sur des normes reconnues pour choisir les contrôles informatiques les plus
appropriés pour atteindre leurs objectifs SCI, par exemple, le référentiel CobiT ou la norme ISO 27002.
Environnement de contrôle
Information et communication
Evaluation des risques
Pilotage
Acquérir et maintenir les logiciels et l'infrastructure technologique
Installer et certifier les solutions et gérer les changements
Gérer les niveaux de service et les services des tiers
Assurer le service continu
Sécurité physique et logique
Gestion des incidents de sécurité
Gestion de la configuration
Gestion des données
Gestion de l'exploitation
Informatique utilisateur
Budget estimé:
Vous l’avez compris : le plan d’audit, c’est-à-dire votre programme de missions, ne se fera
pas sans analyse des risques. Dans le chapitre précédent, je vous ai présenté la démarche,
qui peut être synthétisée par le biais du schéma ci-dessous :
Mettez-vous en situation
Vous avez été recruté dans une entreprise qui vend en ligne des matériaux de construction
à des professionnels du secteur du bâtiment, en vue de définir une stratégie d’audit et
de déployer le plan d’audit qui en résulte. Étant donné que vous serez le seul à réaliser les
audits et que vous ne pourrez faire appel à des prestataires que sur des expertises que vous
ne possédez pas, vous devrez prioriser les thématiques d’audit identifiées et présenter
votre démarche auprès de votre direction et des parties prenantes.
Cette entreprise est une filiale d’un grand groupe, qui produit et distribue des matériaux
pour le bâtiment. Elle a été créée il y a plus de 2 ans et compte plus de 100 salariés.
Pour atteindre cet objectif, elle doit acquérir de nouvelles parts de marché en attirant
une nouvelle clientèle non connue par le groupe, composée de petits artisans et
d’entrepreneurs.
Le service client doit être de haute qualité. C’est pourquoi elle fait appel à une société
externe spécialisée dans la gestion des appels clients. Le call center se trouve en France,
ouvert sur des plages d’horaires étendues. Les magasins et les points de ventes, où les
commandes peuvent être retirées, doivent se situer dans des zones d’activité denses.
En outre, la plateforme e-commerce doit être très performante et fonctionner 24 heures
sur 24 et 7 jours sur 7.
la direction générale doit rendre des comptes au groupe, la fonction d’audit y est
rattachée ;
la direction financière est en charge du pilotage financier uniquement ; les
fonctions de comptabilité et de paie sont externalisées dans le groupe ;
la direction des ressources humaines s’occupe du recrutement et de la gestion
des carrières ;
la direction digitale, SI et logistique regroupe les équipes en charge :
o de la logistique, c’est-à-dire l’approvisionnement et le stockage des produits,
o des transports,
o et des SI (applications de gestion d’entrepôt et de transport de types WMS et
TMS, flux avec les applications du groupe, application achats, CRM,
reporting),
o ainsi que du digital, à savoir la plateforme e-commerce où les clients peuvent
consulter le catalogue de produits et commander en ligne, pour se faire livrer
dans les magasins de l’entreprise ou les points de vente du groupe ;
la direction des achats est en charge d’acheter les produits auprès du groupe et
d’autres entreprises, et de déterminer les prix de vente ;
la direction commerciale s’occupe de la relation commerciale avec les entreprises
clientes et de la gestion des points de vente. Cette direction gère également la
relation avec le call center, une entreprise externe, dont les téléopérateurs sont
chargés de passer des commandes pour les clients qui n’utilisent pas le site e-
commerce ;
la direction marketing s’occupe des campagnes de promotions, et de la
communication.
Au moyen des informations et documents que vous avez collectés à votre arrivée,
vous avez défini cet univers d’audit réaliste et adapté au contexte de votre entreprise.
Étant donné la création assez récente de l’entreprise, il n’y a pas de projets en cours :
thématiques techniques :
o la plateforme e-commerce (sécurité, infrastructure, etc.),
o les flux entre la plateforme et les autres applications, qu’elles soient internes
ou gérées par le groupe ;
o les applications des achats, de gestion d’entrepôt et de transport ;
thématiques organisationnelles :
o le processus des achats et des approvisionnements,
o la gestion des stocks,
o le pilotage financier, et plus particulièrement du chiffre d’affaires,
o le processus de vente en magasin,
o la gestion de la relation client par le call center,
o le processus de vente par téléphone,
o les pratiques commerciales,
o le recrutement et la gestion de carrières ;
thématiques réglementaires :
o la conformité au RGPD.
Votre univers d’audit dans cet exemple est composé de douze thématiques qui peuvent
être auditées.
Vous avez organisé un brainstorming avec des personnes clés de l’entreprise, et vous avez
identifié six grands risques à partir de la structure organisationnelle :
Chaque risque doit être évalué au regard des objectifs de l’entreprise, de leur probabilité
d’apparition et de l’impact financier (perte potentielle de chiffre d’affaires ou dépenses non
prévues).
Pour le premier composant “plateforme e-commerce” de l’univers d’audit, vous vous êtes
posé les questions suivantes :
Le scoring est le résultat de la somme des criticités (C) des six risques identifiés (fréquence
x gravité).
Pour les scores les plus élevés, il est évident que la plateforme e-commerce et les
applications et flux associés devront être audités dans un premier temps. Étant donné le
secteur d’activité, le bâtiment et la distribution, les pratiques commerciales mériteraient
d’être revues afin de détecter toute fraude et corruption, qui peuvent faire gonfler le chiffre
d’affaires et mettre en péril l’entreprise.
Concernant les autres thématiques d’audit, ayant obtenu des scores moyen et faible, le plan
d’audit pluriannuel sera le suivant :
Plan pluriannuel
Cette image est également accessible en format Excel.
Le cycle d’audit proposé est déterminé à partir du scoring également. Il n’est pas définitif et
peut être revu au moment de l’élaboration du plan d’audit annuel, à la suite d’une nouvelle
évaluation des risques et en fonction des nouveaux objectifs de l’entreprise.
Selon le cycle d’audit, pour les thématiques d’audit à auditer tous les ans, cela ne signifie
pas que vous allez réaliser la même mission d’audit chaque année. Lors de la préparation
de vos missions d’audit, vous allez déterminer les objectifs et le périmètre de la mission,
qui changeront d’une année sur l’autre, en fonction de l’exposition aux risques.
Je vous expliquerai comment préparer les missions d’audit dans la partie suivante du cours.
Les demandes de missions de conseil et d’assurance
Le plan d'audit annuel doit prendre en compte les demandes spécifiques de missions de
conseil et d’assurance, adressées par les parties prenantes (le conseil d'administration et la
direction générale).
Par exemple, imaginez que les parties prenantes souhaitent connaître le degré de
conformité au GDPR dans l’entreprise, et connaître les actions à mener pour éviter toute
sanction de la CNIL. Même si vous l’avez priorisé l’année prochaine, vous devrez réaliser
sur l’année en cours une mission d’assurance.
Il se peut que ce type de demande soit sur un sujet spécifique et précis, ou qu’il soit formulé
à la suite de précédents travaux d’audit. Ces demandes peuvent également survenir de
manière inopinée au cours de la réalisation du plan d’audit annuel, comme une demande
d’enquêtes sur des soupçons de fraude, ou une demande d’examen des activités de
prestataires de services.
Dans la mesure du possible, ces demandes doivent être prises en compte au cours de la
phase de planification de l’audit. En tant que responsable de l’audit, vous allez accepter ou
refuser des projets de missions de conseil en fonction de :
Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez été amené à analyser les
forces et les faiblesses, les opportunités et les menaces relatives à la gestion des
compétences en interne, en vue de réaliser les missions d’audit, et aux ressources dont
vous disposez. Vous avez donc envisagé de mettre en place des stratégies de sous-
traitance et d’externalisation :
Après avoir élaboré le plan d’audit, je vous recommande fortement de construire une
feuille de route comportant un plan de charge. Ce document recense toutes les activités
de la fonction d’audit (les audits à préparer, à réaliser et à suivre, la préparation et la
participation à des comités, le reporting à élaborer, etc.) et le temps de travail estimé. Dans
le cas où vous êtes le seul responsable et auditeur, vous devez estimer votre temps de
travail pour chacune des activités.
La disponibilité des ressources humaines est généralement déterminée sur une base
annuelle et repose à la fois sur le nombre d’auditeurs en ETP (équivalent temps plein), et
sur les compétences nécessaires. À noter qu’un collaborateur avec un statut “cadre” qui
travaille à temps plein est disponible environ 210 jours sur l’année, congés compris. Sur
cette base, vous devrez soustraire les activités non liées à l’audit ou les périodes non
travaillées, telles que le temps de formation et les séminaires.
Faites valider le plan d’audit
Le plan d’audit pluriannuel et le plan d’audit annuel doivent être présentés et être validés
par votre direction générale ainsi que par les parties prenantes, à savoir le groupe. Ces
plans précisent également le périmètre d'intervention de la fonction de l’audit, et doivent
être annexés à la charte d’audit.
La mission d’audit de conformité GDPR, demandée par les parties prenantes, pourra être
menée par un prestataire externe, qui aura une expertise juridique sur ce domaine.
planifier : dans cette partie du cours, vous avez appréhendé la planification des
audits et appris comment élaborer un plan d’audit ;
réaliser : après la validation du plan d’audit, vous allez le mettre en œuvre sur
l’année ;
vérifier : à la fin de l’année, vous ferez un bilan des audits réalisés et vous allez
identifier les écarts entre vos prévisions et vos réalisations. Quels ont été les retards
? Les demandes de conseils et d’assurance non prévues ont-elles été nombreuses ?
Les ressources humaines et financières ont-elle été suffisantes, etc. ? Vous pouvez
organiser un retour d’expérience avec les membres de votre équipe, les prestataires
d’audit et/ou les audités, sous la forme d’un brainstorming dans le cadre de ce bilan
;
ajuster : à la suite de ce retour d’expérience et de ce bilan, vous allez construire un
plan d’action à mettre en œuvre afin que le prochain plan d’audit se déroule dans de
meilleures conditions, et qu’il réponde au mieux aux objectifs stratégiques de
l'entreprise et à la survenance de nouveaux risques.
En résumé :
le plan d’audit permet de préciser le périmètre d'intervention de la fonction de
l’audit dans l’entreprise, et doit être annexé à la charte d’audit ;
les demandes de missions de conseil et d’assurance doivent être prises en
compte dans la phase de planification et être challengées par la fonction d’audit ;
le plan d’audit doit être validé par la direction et les hautes instances de
l’entreprise ;
le plan d'audit s'intègre dans une démarche d’amélioration continue, afin de
toujours répondre aux objectifs stratégiques de l'entreprise et contribuer à la
maîtrise des risques.
#
Le professeur
Annie Le Clair
Consultante et auditrice expérimentée
Analysez les risques pour prioriser les audits
Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !
Vous avez défini l’univers d’audit ; l’étape suivante dans l'élaboration d'un plan d’audit
consiste en une évaluation des risques des thématiques identifiées.
Dans ce chapitre, j’aborderai les concepts généraux sur l'évaluation des risques, ce qui vous
aidera à construire un plan d'audit pragmatique et efficace. Dans le chapitre qui suit, je
vous présenterai un cas d’entreprise, afin de mettre la théorie en pratique et d’illustrer la
démarche d’évaluation des risques.
Avant d’attaquer ces travaux, vous devez absolument avoir une vision globale et
systémique de votre entreprise. Chose faite, car vous avez construit cette vision grâce à
votre réflexion sur la stratégie d’audit et sur l’univers d’audit !
Cette étape est fondamentale dans cette phase de planification. Elle respecte la norme
professionnelle 2010 du CRIPP “planification” :
“Le responsable de l'audit interne doit établir un plan d’audit fondé sur une approche par
les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.”
Ne faites pas l’impasse sur l’analyse des risques car elle vous semble compliquée ou
fastidieuse.
Revenons à l’objet de ce chapitre qui est de construire un plan d’audit. Dans ce contexte,
vous avez le choix entre :
Pour élaborer un plan d’audit et prioriser les composants de l’univers d’audit, la démarche
est la suivante :
Dans cette démarche générale, je vous propose de vous concentrer sur les risques
par fonction de l’entreprise.
Vous pouvez appliquer d’autres méthodes d’analyse des risques. Par exemple, si votre
périmètre ne concerne que les SI de votre entreprise, la méthode EBIOS (Expression des
besoins et identification des objectifs de sécurité) sera plus pertinente.
Par exemple, selon l’organisation de votre entreprise, vous aurez plus ou moins six
“grands” risques : systèmes d’information, opérationnels, juridiques, marketing, financiers,
ressources humaines.
Pour la fonction des SI, vous allez identifier les principaux événements qui pourraient se
produire ou qui se sont déjà produits, qui entraveraient les activités, tels qu’une
cyberattaque ou le déploiement défectueux, volontaire ou involontaire, d’un changement
dans le SI.
En fonction du temps que vous souhaitez consacrer à ces travaux, voici les moyens
d’identification des risques :
Dans cette approche, nous n'allons nous intéresser qu’aux impacts financiers, c’est-à-dire
les dépenses que l’entreprise pourraient engager ou la perte de chiffre d’affaires potentielle
si le risque se matérialise.
Pour chaque composant de l’univers d’audit et afin de savoir lequel doit être audité en
priorité, vous allez :
Les composants de l'univers d'audit ayant un score élevé devront être audités en
priorité. En fonction du score, la fréquence du cycle d'audit sera également déterminée :
l’audit devra être réalisé tous les 1 à 2 ans pour un score élevé ;
l’audit devra être réalisé tous les 2 à 3 ans pour un score moyen ;
l’audit devra être réalisé tous les 3 à 5 ans pour un score faible.
En résumé :
l’analyse de risque est indispensable dans la phase d’élaboration du plan d’audit,
afin de définir les audits prioritaires alignés avec les objectifs de l’entreprise ;
un risque est la menace qu'un événement, une action ou une inaction se
produise, et affecte la capacité de l'entreprise à atteindre ses objectifs ;
l’évaluation d’un risque est basée sur deux paramètres : la probabilité
d’occurrence, ou fréquence, et l’impact sur l’entreprise si l’événement se
produit, ou gravité. La multiplication de ces deux paramètres permet de calculer
la criticité du risque.
Vous avez compris les principaux concepts de l’évaluation des risques ? Je vous propose dans le
chapitre suivant un exemple concret, qui permettra d’illustrer la démarche et d’aboutir à un
plan d’audit aux petits oignons.
#
Le professeur
LA CONDUITE D’UNE MISSION D’AUDIT INTERNE
Toute mission d’Audit est réalisée en trois étapes
essentielles:
1/ LA PREPARATION DE LA MISSION
Objet
Audit de la Gestion Ressources Humaines
Copie pour information :
Le Directeur des Ressources Humaines
Le président Directeur Général autorise le Directe
ur de l’Audit interne à réaliser une mission
d’Audit de la fonction Ressources Humaines, et ce à
partir du 9 Décembre 1998. La mission concernera
non seulement la Direction des Ressources Humaines
mais également tous les services susceptibles
d’être intéressés par la fonction
Le directeur des Ressources Humaines portera l’or
dre de mission à la connaissance de tous les
Outre les documents relatifs à l’unité auditée (manuel des procédures, budgets...), Les moyens
les plus utilisés pour prendre connaissance de la fonction à
auditer sont le questionnaire et l’interview
* Le questionnaire de prise de connaissances
Ce questionnaire est indispensable à l’auditeur pour qu’il comprenne convenablement la fonction
à évaluer d’une part, et contribue à l’élaboration
du questionnaire de contrôle interne d’autre part.
EXEMPLE
: Lors d’une mission d’Audit de la paie l’auditeur
construit un questionnaire de prise de
connaissance comprenant (à titre indicatif) les informations suivantes:
* Données quantitatives
Montant des frais de personnel de l’année;
Réparation par catégorie de personnel;
Nombre d’employés rémunérés;
Nombre de bulletin de paye;
Les banques concernées;
Les nombres de centre de paiement;
Salaires payés :
* en espèce
* par chèque
* par type de virement
* Information Réglementaires
Dispositions des statuts et règlement intérieur
Règles et procédures
* fixation des niveaux de rémunération
* prêts et avances
* autorisation de paiements ou virements
* régime des heures supplémentaires
* Procédures
* Procédure de préparation de la paie
* Procédure de calcul
* Procédure de paiement
* Organisation
Organisation du service ordonnancement de la paie
Noms des personnes concernées
Toutes informations sur l’environnement
Toutes ces questions appellent à des investigations
de la part de l’auditeur interne
* LES INTERVIEWS
L’interview est une technique de recueil d’informa
tion qui aide à l’explication et le commentaire
du sujet à auditer. Il permet de comprendre en prof
ondeur certains éléments ne pouvant être divulgués
par un questionnaire.
La réussite d’une interview est tributaire de la q
ualité de communication de l’auditeur
Il est recommandé
1/ Définir l’interview: objectif, thèmes abordés,
plan de l’interview
2/ Bien choisir les interviewés (éviter les partic
ipants inutiles)
3/ Contacter l’interviewé et prendre rendez-vous (
en respectant la hiérarchie)
4/ Aller chez l’interviewé
5/ Préparer l’interview
informations nécessaires
liste de points à aborder
liste de documents à demander
L’ordre des questions est important
PENDANT L’INTERVIEW ?
APRES L’INTERVIEW
?
1/ Établir le compte rendu le plutôt possible
L’AUDITEUR
vérifie donc si:
Les procédures sont claires et explicites Les procédures sont toutes utiles pour’ contribuer à
l’accomplissement de la mission de l’unité
Les activités où il existe des doubles emplois ou des fonctions incompatibles identifiées à la
première vue
La coordination et la collaboration entre les différents services sont établies
L’information communique normalement....
Le tableau d’identification des Risques (T.I.R.)
Les premiers constats de l’auditeur peuvent être présentés dans un tableau qui aide à
l’identification de certains points de contrôle
2/la réalisation de la mission
La réalisation d’une mission d’Audit suppose le suivi de trois étapes essentielles :
La réunion d’ouverture
Le programme d’Audit
Et le travail sur le terrain
C’est la rencontre entre auditeurs et audités (chez l’audité) qui permet de donner le coup d’envoi
effectif de la mission
L’ordre du jour de cette réunion doit comporter cinq points :
C’est le planning de travail qui détermine les taches de chaque auditeur et leurs délais de réalisation
Il doit contenir les éléments suivants :
La répartition des tâches et délais de réalisation (selon un découpage des fonctions)
L’indication des travaux préliminaires à accomplir (Inventaire, rassemblement de document,
Edition de fichier ...)
L’identification des questions clés à ne pas omettre dans le questionnaire de Contrôle Interne
Et l’indication des outils d’appréciation de contrôle Interne
Le programme d’audit a les objectifs suivants :
2-2/ C’est un document de travail permettant une répartition précise des taches de tous les auditeurs
afin que personne ne se hasarde à dévier des objectifs fixés ;
2-4/ C’est un document qui détermine tous les points de contrôle à examiner selon le degré des
risques déjà identifiés ;
2-5/ Le programme d’audit est une référence pour le suivi et l’appréciation du travail des auditeur
2-2-2/ C’est un document de travail permettant une répartition précise des taches de tous les
auditeurs afin que personne ne se hasarde à dévier des objectifs fixés ;
2-2-4/ C’est un document qui détermine tous les points de contrôle à examiner selon le degré des
risques déjà identifiés ;
2-2-5/ Le programme d’audit est une référence pour le suivi et l’appréciation du travail des auditeurs
.
2-3- Le travail sur terrain
EXEMPLE:
Questionnaire de contrôle interne de la paie
1-Qui?
Qui fixe les niveaux de rémunération ?
Qui décide de l’octroi des avances sur salaires ?
Qui autorise les heures supplémentaires ?
Qui réalise les calculs de la paie ?
Qui autorise le paiement ou virement ?
2-QUOI?
Quels sont les éléments constitutifs de la paie ?
Les prêts et avances y sont-ils intégrés ?
Les remboursements de frais sont-ils enregistrés dans la paie ?
3-Où?
Ou sont enregistrés les données de base ?
Ou sont elles centralisées ?
Y a-t-il plusieurs centres de paiement ?
4-Quand?
Quel est le planning des différentes opérations ?
Quand sont effectués les rapprochements ?
Quand les calculs sont ils vérifiés ?
A quel stade réalisés les virements ou remises de chèques ?
5-Comment ?
Comment sont fixés les taux de rémunération ?
Comment sont enregistrés les éléments variables ?
Comment calculés les retenues sur salaires ?
Comment sont effectués les contrôles et rapprochement ?
Comment est calculée la paie de chacun ?
Ce questionnaire est donné à titre indicatif, il doit être par ailleurs adapté à l’organisation de
l’entreprise
Chaque question engendre plusieurs autres question
de’ nature à approfondir l’étude du système de
contrôle interne
EXEMPLE
La question : Comment sont effectués les contrôles
et rapprochements ? Entre l’état de paie et les
dossiers du personnel ?
-Y a-t-il un rapprochement entre le nombre de fich
e de paie et le nombre de virement et chèques ?
-Y a-t-il un rapprochement entre le total du m
ois antérieur et le total du mois en cours
Définition :
Le sondage statistique est une méthode qui permet à partir d’un échantillon prélevé de façon
aléatoire dans une population donnée, d’extrapoler à la population les observations faites sur
l’échantillon.
SAWYER a présenté dans son ouvrage « L’AUDIT INTERNE», dix commandements du
sondage statistique.
1.N’utiliser le sondage que s’il est adapté aux objectifs de l’audit : Ne pas faire de sondage pour le
plaisir de connaître des informations supplémentaires
9.Ne pas fixer sans nécessité des niveaux de confiance élevés. En audit interne il n’est pas
Nécessaire d’exiger des niveaux de confiance élevés
. Chaque anomalie qui se répète mérite d’être étudiée
10.Ne pas s’arrêter aux résultats statistiques, rechercher les causes, le sondage n’est pas une
fin en soi Actuellement il existe les logiciels d’audit capable de traiter les fichiers informatiques en
procédant à des extractions et des analyses. Seulement pour que ces
analyses soient fiables il faut que ces analyses soient fiables il faut que les informations soient
exhaustives et à jour
Il s’agit de confirmer une information par l’examen d’une source différente qui procure la
même information.
Exemple
-Inventaire physique et inventaire comptable
-Soldes clients détenus par le service vente et ceux détenus par une comptabilité auxiliaire
C’est une méthode très utilisée par les auditeurs et permet souvent de dégager les anomalies
L’auditeur interne est appelé à observer les processus utilisés dans la fonction à évaluer
L’observation physique permet de :
s’assurer d’une information
et de relever des insuffisances évidentes
L’auditeur peut observer:
le déroulement d’une opération et les documents y a
fférents,
le déroulement du contrôle d’une opération
les lieux de stockage des articles
le comportement du personnel
Par ailleurs l’observation physique exige deux cond
itions
elle ne doit pas être clandestine
elle ne doit pas être ponctuelle
2-3-5-3-LA GRILLE D’ANALYSE (VOIR EXEMPLE GRILLE GRH) La grille d’analyse permet
de répondre à la question le qui fait quoi ?
C’est un document qui a été vulgarisé par l’IFACI. Il constitue un moyen d’analyse claire et
précis permettant une lecture facile des constatations relevées
LA FRAP est rempli par l’auditeur chaque fois où il détecte une anomalie. Elle constitue un
document de base pour la rédaction du rapport d’Audit
MODELE DE FRAP
LA FRAP doit être remplie d’une manière claire et synthétique. Il faut éviter les rédactions longues
et les informations inutiles.
EXEMPLE
1.Problème : L’absence de contrôle de la paie génère des risques graves en matière de respect des
Réglementations en vigueur
2.Constat : Les retenues fiscales sont minorées, le programme de la paie n’a pas été actualisé depuis
10 ans
Tout au long de la mission l’auditeur remplie les FRAP suivants les constatations qu’il relève:
Au terme de l’investigation, l’auditeur révise les FRAP une à une en se posant à chaque fois
les questions suivantes :
les constats peuvent ils être contestés?
les causes sont ils valables et justifiés?
les conséquences sont elles réalistes et significatives?
les recommandations permettant –elles de supprimer
, ou d’atténuer les anomalies relevées ?
Après avoir vérifié les informations prévues par les FRAP, l’auditeur les valide avec l’audité.
3/ LA CONCLUSION DE LA MISSION
Plan d’action
•que des modifications du programme ne sont pas effectuées sans avoir été soumises aux
contrôles appropriés ;
•que la version autorisée du programme est celle utilisée pour le traitement des
opérations ;
Ces vérifications peuvent aussi inclure des contrôles permettant de s’assurer que des
modifications n’ont pas été apportées aux programmes, comme cela peut être le cas
lorsque l’entité utilise des logiciels d’application standards sans les modifier ou les
mettre à jour. L’auditeur peut, par exemple, examiner le document du service chargé
de la sécurité informatique pour recueillir des éléments probants montrant qu’aucun
accès non autorisé n’a eu lieu durant la période.
Vérifications sur les contrôles indirects (Voir par
. 10(b))
A30. Dans certaines situations, il peut s’avérer nécessaire de recueillir des éléments
probants justifiant de l’efficacité du fonctionnement de contrôles indirects. Par
exemple, lorsque l’auditeur décide de tester l’efficacité de la revue par un utilisateur
d’un rapport d’exceptions indiquant le montant des ventes excédant la limite de crédit
autorisée, la revue de cet utilisateur et du suivi qui en est fait est un contrôle d’intérêt
direct pour l’auditeur. Les contrôles sur l’exactitude de l’information donnée dans ces
rapports (par exemple contrôles généraux portant sr le système informatique) sont
désignés comme « contrôles indirects ».
A32. Des éléments probants se rapportant à une date donnée peuvent être suffisants au
regard de l’objectif de l’auditeur ; tel est par exemple le cas des tests sur les contrôles
relatifs aux procédures de prise d’inventaire physique des stocks de l’entité à la fin de la période. En
revanche, si l’auditeur a l’intention de s’appuyer sur un contrôle durant une période donnée, les
vérifications qui permettront de fournir des éléments probants
•les contrôles particuliers qui ont été testés durant la période intermédiaire ainsi que les
changements importants apportés à ceux-ci depuis cette date, y compris les changements dans
le système d’information, dans les modes de fonctionnement et dans le personnel ;
•la mesure dans laquelle l’auditeur a l’intention de réduire les contrôles de substance compte
tenu de la confiance qu’il accorde aux contrôles ;
•l’environnement de contrôle.
A34. Des éléments probants supplémentaires peuvent être recueillis, par exemple, en étendant
les tests de procédures sur la période restant à courir ou en testant le suivi des contrôles par l’entité
elle-même. Utilisation des éléments probants recueillis au cours des audits précédents (Voir par. 13)
A35. Dans certaines circonstances, les éléments probants recueillis lors des audits
précédents peuvent fournir des éléments probants lorsque l’auditeur réalise des
procédures pour établir qu’ils sont toujours d’actualité. Par exemple, lors de la
réalisation d’un audit précédent, l’auditeur peut avoir estimé qu’un contrôle
automatisé fonctionnait comme prévu. Il peut alors recueillir des éléments probants
pour déterminer si des modifications ont été apportées à ce contrôle automatisé qui
affecteraient l’efficacité de son fonctionnement à partir, par exemple, de demandes
d’informations à la direction et de l’examen des registres indiquant les contrôles ayant fait l’objet de
modifications. La prise en compte des éléments probants portant sur ces modifications peut justifier
soit d’un accroissement, soit d’une réduction du nombre d’éléments probants attendus relatifs
à l’efficacité du fonctionnement des contrôles à recueillir durant la période en cours.
Contrôles ayant subi une modification depuis les audits précédents (Voir par. 14(a))
A36. Des changements peuvent affecter la pertinence des éléments probants recueillis au
cours des audits précédents de manière telle qu’ils ne puissent plus servir de base sur laquelle
s’appuyer valablement. Par exemple, des modifications de système permettant
à une entité de recevoir un nouveau rapport édité par ce système n’affectera
(a)qui n’ont pas subi de modification depuis qu’ils ont fait l’objet de vérifications ;
et
(b)qui ne concernent pas des contrôles ayant pour but de réduire un risque important, est une
question de jugement professionnel. De plus, la durée de la période pouvant
s’écouler avant de tester à nouveau ces contrôles est aussi une question de jugement
professionnel, sous réserve du paragraphe 14(b) qui exige que ces vérifications soient
effectuées au moins une fois tous les trois ans.
A38. En règle générale, plus le risque d’anomalies significatives est élevé, ou plus la
confiance que l’auditeur entend accorder aux contrôles est grande, plus il est probable
que le délai avant un nouveau test sera court. Les facteurs qui peuvent réduire ce délai
avant de vérifier à nouveau un contrôle ou qui conduisent à ne pas s’appuyer du tout
sur les éléments probants recueillis au cours de précédents audits comprennent :
•un environnement de contrôle déficient ;
•un suivi déficient des contrôles ;
•une intervention manuelle importante pour les contrôles concernés ;
•des changements dans le personnel qui affectent de manière importante la mise en œuvre des
contrôles ;
•un environnement en mutation qui induit un besoin de modifications des
contrôles ;
•des contrôles généraux sur les systèmes informatiques déficients.
A39. Lorsqu’il existe un certain nombre de contrôles pour lesquels l’auditeur a l’intention
de s’appuyer sur les éléments probants recueillis au cours des audits précédents, des
vérifications de certains de ces contrôles effectués lors de chaque audit permettent de
corroborer l’information portant sur la continuité de l’efficacité de l’environnement de contrôle. Ceci
contribue à la prise de décision de l’auditeur de s’appuyer, ou non, sur les éléments probants
recueillis au cours des audits précédents.
Evaluation de l’efficacité du fonctionnement des contrôles (Voir par. 16–19)
A40. Une anomalie significative décelée par les procédures mises en œuvre par l’auditeur
est un indicateur puissant de l’existence d’une faiblesse significative du contrôle interne.
A44. Les procédures analytiques de substance sont généralement plus adaptées à des
volumes importants d’opérations dont la tendance est prévisible dans le temps. La
Norme ISA 520 définit des règles et fournit des modalités d’application sur la mise en œuvre des
procédures analytiques au cours de l’audit.
A46. Dès lors que l’évaluation du risque d’anomalies significatives tient compte du contrôle
interne, l’étendue des contrôles de substance peut nécessiter d’être accrue lorsque le résultat des
tests de procédures n’est pas satisfaisant. Cependant, le fait d’étendre une
5
A47. Lors de la conception des vérifications de détail, l’étendue des vérifications est
généralement envisagée en termes de taille des échantillons. Cependant, d’autres questions sont
également pertinentes, notamment celle de savoir s’il est plus efficace d’utiliser d’autres moyens
de sélection pour ces vérifications. Voir Norme ISA 500
6
. Prendre en considération si des procédures de confirmation externe sont à réaliser (Voir par.
19)
A48. Les procédures de confirmation externe sont souvent pertinentes pour vérifier des
assertions associées à des soldes de comptes et les éléments les composant, mais n’ont pas à être
restreintes à ces seuls éléments. Par exemple, l’auditeur peut demander des confirmations externes
portant sur les termes d’accords, de contrats, ou de transactions
que l’entité a conclus avec des tiers. Les procédures de confirmation externe peuvent aussi être
mises en œuvre pour recueillir des éléments probants quant à l’absence de certaines
conditions. Par exemple, une demande peut spécifiquement chercher à déterminer s’il n’existe
pas « d’accord parallèle » qui puisse être pertinent au regard de l’assertion relative à la séparation
des périodes pour la comptabilisation des produits de l’entité. D’autres situations où les
procédures de confirmation externe peuvent fournir des éléments probants pertinents pour
répondre aux risques évalués d’anomalies significatives comprennent :
•les soldes en banque et autres informations touchant aux relations avec les
banques ;
•les soldes et les échéances des comptes de tiers débiteurs ;
•les stocks en attente, détenus par des tiers dans des magasins sous douane, ou les
stocks en consignation ;
•les titres de propriété conservés par les avocats ou les établissements financiers
pour des raisons de sécurité ou en garantie ;
•
les valeurs mobilières conservées par des tiers, ou achetées auprès de courtiers en
bourse mais non livrées à la date du bilan ;
•les montants dus à des prêteurs, y compris les conditions de remboursement et les
clauses de défaut des contrats de prêts concernés ;
A49. Bien que les confirmations externes puissent fournir des éléments probants pertinents
concernant certaines assertions, il en existe certaines pour lesquelles les confirmations
externes fournissent moins d’éléments probants. Par exemple, les confirmations
externes fournissent moins d’éléments probants concernant le caractère recouvrable des soldes
de comptes à recevoir qu’elles n’en fournissent concernant leur existence.
A50. L’auditeur peut considérer que les procédures de confirmation externe réalisées dans
un objectif donné fournissent une opportunité pour recueillir des éléments probants
6
A51. Les facteurs qui peuvent aider l’auditeur à déterminer si des procédures de
confirmation externe sont à mettre en œuvre en tant que contrôles de substance comprennent :
•la connaissance qu’a du sujet concerné le tiers à qui la confirmation est
demandée – les réponses peuvent être plus fiables si elles sont fournies par une
personne qui a, chez le tiers, la connaissance requise concernant l’information
soumise à confirmation ;
A55. Dans certaines situations, l’auditeur peut juger qu’il est plus efficace de réaliser des
contrôles de substance à une date intermédiaire, et de comparer et rapprocher le solde
en fin de période avec les informations comparable à la date intermédiaire dans le but :
A56. La mise en œuvre de contrôles de substance à une date intermédiaire sans réaliser des
Procédures supplémentaires à une date ultérieure augmente le risque que l’auditeur ne détecte pas des
anomalies qui peuvent exister en fin de période. Plus la période restante à courir est longue, plus ce
risque augmente. Des facteurs, tels que ceux énumérés ci-après, peuvent influencer la décision de
procéder ou non à des contrôles de substance à une date intermédiaire :
•l’environnement de contrôle et d’autres contrôles pertinents ;
Introduction
Introduction
Aucune organisation n’est à l’abri de la fraude. Dans les organisations fédérales, la
fraude peut entraîner une perte de fonds ou de biens publics, saper le moral des
employés et miner la confiance de la population canadienne envers les services
publics. Les organisations fédérales doivent donc gérer les risques de fraude qui les
menacent.
La gestion proactive du risque de fraude est l’une des meilleures approches qu’une
organisation peut adopter pour atténuer son exposition aux activités frauduleuses.
Même s’il n’est probablement pas possible ni rentable d’éradiquer tous les risques de
fraude, les organisations peuvent prendre des mesures proactives et constructives pour
réduire leur exposition. Il est possible d’atténuer considérablement les risques de fraude
en se dotant d’une structure de gouvernance efficace contre la fraude; en menant une
évaluation des risques de fraude rigoureuse; en se dotant de mesures solides de
prévention et de détection de la fraude; en menant des enquêtes coordonnées en
temps opportun; et en prenant des mesures correctives.
Le Bureau du vérificateur général du Canada (BVG) a défini un Cadre de gestion des
risques de fraude complet qui s’inspire du guide Managing the Business Risk of Fraud:
A Practical Guide (disponible en anglais seulement), publié par l’Institute of Internal
Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified
Fraud Examiners. Ce Cadre aide le BVG à adopter des pratiques exemplaires en vue
d’identifier, de contrer et de gérer les risques de fraude.
Le présent Guide précise comment les différentes composantes et les divers acteurs
clés contribuent, directement ou indirectement, à la gestion des risques de fraude au
BVG. Les annexes renferment des informations complémentaires à ce sujet,
notamment sur les rôles et responsabilités (voir l’Annexe A).
Version textuelle
1.1 Surveillance
Le Conseil de direction participe aux aspects clés de la gestion des risques de fraude,
notamment à la détermination du seuil de tolérance du BVG à l’égard des risques de
fraude et aux discussions sur les risques de fraude et l’évaluation connexe dans le
cadre de l’Évaluation annuelle des risques de fraude (voir la partie 2). Le Conseil de
direction reçoit aussi les principaux rapports annuels ci-après :
2.1.1 Identifier les risques de fraude sans tenir compte des contrôles (à
savoir le risque inhérent)
La population des risques de fraude inhérents qui pourraient menacer le BVG est
identifiée. Pour ce faire, tous les types de stratagèmes et scénarios de fraude sont pris
en compte, tout comme les motifs, les pressions, les circonstances favorables à la
fraude et les risques de fraude informatique propres à l’organisation.
3.1.2.3 Normes de service pour donner suite aux conflits d’intérêts déclarés
Le BVG dispose de normes de service à l’intention du spécialiste interne en valeurs et
éthique, qui prévoient une réponse en temps opportun aux déclarations de conflits
d’intérêts et aux rapports d’exception. Les résultats obtenus par rapport à ces normes
sont communiqués au Conseil de direction et au Comité d’audit par le spécialiste
interne en valeurs et éthique.
3.1.2.4 Rapports
Tous les ans, le spécialiste interne en valeurs et éthique présente au Conseil de
direction et au Comité d’audit un rapport sur les déclarations de conflits d’intérêts et sur
les menaces à l’indépendance et à l’objectivité.
1. Gouvernance
à l’égard des
risques de
fraude
Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
1.1 Surveillance chef de CF
fileCF
1.2 Spécialiste C
interne en
valeurs
et éthique
1.3 Code de
valeurs et
d’éthique
1.4 Directives sur
les conflits
d’intérêts et
l’après-
mandat
1.5 Plan d’audit CF
interne fondé
sur
les risques
1.6 Processus CF S
d’enquête sur
les allégations
de fraude
1.7 Politique de CF S
prévention de
la fraude
(Annexe D)
2. Évaluation CF S S S
des risques
de fraude
3. Contrôles de
prévention et
de détection
de la fraude
3.1 Prévention de
la fraude
3.1.1 Une formation S
sur les
valeurs,
l’éthique et les
conflits
d’intérêts et
Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
une formation
ciblée sur la
fraude
dispensées à
temps
3.1.2 Conflit S C
d’intérêts :
Atténuation
des conflits
d’intérêts
3.1.3 Contrôles CF S S S
conçus pour
prévenir
les activités
frauduleuses
3.2 Détection de
la fraude
3.2.1 Mécanisme CF
pour signaler
de la fraude
(voir
la partie 4.1)
3.2.2 Contrôles CF S S S
conçus pour
détecter
les activités
frauduleuses
4. Enquêtes sur
les
allégations
de fraude
4.1 Mécanisme CF
pour signaler
de la fraude
4.2 Approche CF S
formelle pour
traiter
les allégations
de fraude
5. Amélioration CF S
continue du
Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
Cadre
de gestion
des risques
de fraude
1. Gouvernance
à l’égard des
risques
de fraude
1.1 Surveillance
Surveiller la Comité d’auditCA X
mise en œuvre
du Cadre de
gestion des
risques de
fraude,
notamment
l’évaluation des
risques de
fraude
Déterminer le Conseil de
seuil de directionCD
tolérance
au risque de
fraude
Discuter des CD
risques de
fraude et de
l’évaluation des
risques de
fraude
1.2 Spécialiste
interne en
valeurs
et éthique
Faire un Spécialiste
rapport annuel interne en
sur les activités valeurs et
menées au éthiqueSIVE
Comité d’audit
(en
collaboration
avec les RH)
Spécialiste interne en matière de fra
aide les chefs de services et les responsables des pratiques avec l’évaluation
des risques de fraude;
examine le volet sur la fraude des évaluations des risques réalisées par les chefs
de services et les responsables des pratiques pour avoir l’assurance que ce volet
sur la fraude respecte les pratiques exemplaires et qu’il comprend les éléments
clés;
discute des évaluations des risques de fraude avec les chefs de services et les
responsables des pratiques, au besoin;
fait le suivi de l’état d’avancement de la mise en œuvre de stratégies
d’atténuation.
2) Environnement de contrôle :
Signature
Spécialiste interne en matière de fraude
Date
Signature
Dirigeant principal des finances
Date
Version textuelle
Ce classeur doit être rempli lors d’une évaluation détaillée et cumulative des risques de
fraude. Il contient les colonnes suivantes :
Numéro du risque
Numéro du scénario
Type de stratagème
Fonction
Activités et processus principaux
Responsable fonctionnel
Énoncé original de risque de 2017
Lien avec les objectifs stratégiques
Description du scénario de risque de fraude
Probabilité du risque inhérent (faible, moyenne, élevée, très élevée)
Incidence du risque inhérent (faible, moyenne, élevée, très élevée)
Niveau de risque inhérent (normal à très élevé)
Contrôles préventifs
Contrôles de détection
Contrôles correctifs
Efficacité du contrôle évaluée
Niveau du risque résiduel (normal à très élevé)
Justification du niveau de risque résiduel
Tendance du risque résiduel par rapport à l’année précédente (stable, en hausse,
en baisse)
Réponse au risque résiduel (accepter, éviter, atténuer ou partager)
Justification de la réponse au risque
Stratégie de réponse au risque résiduel (obligatoire pour les risques résiduels
élevés ou très élevés)
Version textuelle
Annexe C2 : Tableau de bord de la prévention
et de la détection de la fraude
Contexte
Cet outil appuie l’attestation annuelle du caractère adéquat de l’évaluation des risques
de fraude du Bureau (Annexe C).
Il est fondé sur le guide Managing the Business Risk of Fraud : A Practical
Guide (disponible en anglais seulement) de l’Institute of Internal Auditors, de l’American
Institute of Certified Public Accountants et de l’Association of Certified Fraud
Examiners. Il sert de guide pour évaluer l’environnement de contrôle du Bureau à
l’égard des risques de fraude. Il doit être rempli par le spécialiste interne en matière de
fraude, de concert avec les autres parties prenantes, dans le cadre de l’évaluation des
risques de fraude annuelle.
Pour évaluer l’efficacité du système de prévention de la fraude de l’organisation, il faut
évaluer soigneusement chaque secteur, facteur et élément d’appréciation selon le
barème suivant :
Jaune : indique que le secteur, le facteur ou l’élément d’appréciation doit être quelque
peu renforcé et amélioré afin de ramener le risque de fraude à un niveau acceptable.
Vert : indique que le secteur, le facteur ou l’élément d’appréciation est solide et que le
risque de fraude a été – à tout le moins – ramené à un niveau acceptable.
Pour chaque secteur, facteur ou élément d’appréciation qui a été noté « rouge » ou
« jaune », il faut insérer des explications décrivant le plan d’action à suivre pour qu’il
soit noté « vert » sur la prochaine fiche.
P1 La culture de l’organisation – ton donné par la direction – est aussi vigoureuse que possible e
un environnement où la fraude n’est pas tolérée (tolérance zéro).
No Secteur, facteur ou élément d’appréciation – Prévention de la fraude
P3 Notre code de conduite prévoit des dispositions précises sur les relations inappropriées par
lesquelles les membres du Conseil de direction ou de la direction pourraient abuser de leur a
dans le cadre de leurs fonctions, à des fins d’enrichissement personnel ou pour tout autre us
inapproprié, et il les interdit.
P4 Nous avons procédé à une évaluation des risques de fraude rigoureuse à l’aide du cadre En
Risk Management Integrated Framework du COSO et pris des mesures particulières pour re
nos mécanismes de prévention, au besoin.
P5 Nous avons géré les forces et les faiblesses de notre environnement de contrôle interne et p
mesures précises pour renforcer la structure des contrôles internes afin de contribuer à la pré
de la fraude.
P6 Nous avons harmonisé les pouvoirs et responsabilités à tous les échelons hiérarchiques de l
organisationnelle et nous n’avons eu connaissance d’aucun décalage susceptible de devenir
facteur de vulnérabilité à la fraude.
P7 Notre Comité d’audit a adopté une approche très proactive à l’égard de la prévention de la fr
P8 Les membres de notre Comité d’audit sont indépendants et certains possèdent des compéte
comptabilité et présentation d’information financière.
P9 Notre Comité d’audit se réunit au moins tous les trimestres et consacre une partie importante
temps à l’évaluation des risques de fraude et à la mise en œuvre, de manière proactive,
de mécanismes de prévention de la fraude.
P10 Nous avons une fonction d’audit interne efficace qui fonctionne de manière indépendante de
direction. La charte de notre fonction d’audit interne indique expressément que l’équipe d’aud
interne contribuera à la prévention et à la détection de la fraude et des inconduites.
P11 Une personne dotée des pouvoirs et des attributions nécessaires a été nommée pour surveil
maintenir nos programmes de prévention de la fraude. Cette personne s’est vu octroyer les
No Secteur, facteur ou élément d’appréciation – Prévention de la fraude
ressources nécessaires pour gérer efficacement ces programmes. Cette personne peut com
directement avec le Comité d’audit.
P12 La fonction des Ressources humaines enquête sur les antécédents des candidats dans le bu
de s’assurer que les personnes ayant des antécédents inappropriés ou des traits de caractèr
cadrent pas avec la culture du Bureau et son code de déontologie sont identifiées et exclues
processus de dotation.
P13 Les compétences et l’intégrité du personnel qui participe au processus d’information financiè
été évaluées et il a été conclu que le personnel était de la plus grande valeur.
P14 Tous les employés, les fournisseurs et les entrepreneurs du Bureau ont été informés de la po
de tolérance zéro à l’égard de la fraude et connaissent les mesures appropriées qui doivent ê
prises s’ils ont connaissance d’indices de fraude éventuelle.
P15 Nous avons un programme rigoureux de diffusion de nos politiques et procédures de prévent
fraude auprès de tous les employés, fournisseurs, entrepreneurs et partenaires.
P16 Nous avons des politiques et des procédures pour autoriser et approuver certains types de
transactions et les transactions d’une certaine valeur afin de prévenir et de détecter les cas d
P17 Notre processus d’évaluation du rendement comporte un volet qui vise expressément l’éthiqu
l’intégrité et le respect du Code de valeurs et d’éthique du secteur public et du Code de valeu
d’éthique et de conduite professionnelle du BVG.
P18 Nous avons un programme efficace de protection des lanceurs d’alerte et tous les employés,
fournisseurs, entrepreneurs et partenaires du Bureau connaissent le programme et les procé
qui l’accompagnent.
P19 Nous passons en revue les mécanismes de prévention de la fraude décrits précédemment e
documentons ces revues et les communications échangées avec le Comité d’audit sur les se
susceptibles d’être améliorés.
P20 Nous avons un plan de réponse à la fraude et savons quoi faire si une allégation de fraude e
Le plan indique :
No Secteur, facteur ou élément d’appréciation – Prévention de la fraude
D1 Nous avons intégré notre système de détection de la fraude à notre système de prévention d
fraude, et ce, sous le signe de la rentabilité.
D2 Nos processus et techniques de détection de la fraude sont omniprésents à tous les échelon
notre organisation, du Comité d’audit aux gestionnaires de tous les niveaux, en passant par l
employés des secteurs opérationnels.
D3 Nos politiques de détection de la fraude prévoient notamment d’informer les employés, les
fournisseurs et les parties prenantes que le Bureau a un système efficace de détection de la
Toutefois, certains éléments clés du système ne sont pas divulgués afin de préserver l’effica
contrôles cachés.
D4 Nous faisons respecter des périodes obligatoires de vacances ou affectons le personnel par
pour les employés responsables de contrôles financiers et comptables clés.
D5 Nous réévaluons périodiquement nos critères d’évaluation des risques à mesure que notre
organisation prend de l’expansion et évolue afin d’avoir l’assurance que nous connaissons to
les types possibles de fraude.
D6 Nos mécanismes de détection de la fraude mettent un accent accru sur les secteurs pour les
nous avons conclu que les contrôles préventifs étaient faibles ou ne sont pas rentables.
D7 Nous effectuons l’analyse des données et les travaux d’audit en continu en tenant compte de
l’évaluation de tous les types de stratagèmes de fraude qui pourraient menacer des organisa
comme la nôtre.
No Secteur, facteur ou élément d’appréciation – Détection de la fraude
D8 Nous prenons des mesures pour avoir l’assurance que la confidentialité de nos processus,
procédures et techniques de détection est protégée afin que les employés — et les fraudeurs
potentiels — ne sachent pas qu’ils existent.
D9 Nous tenons une documentation complète sur les processus, procédures et techniques de d
afin de rester à l’affût de la fraude en tout temps et lorsque l’équipe de détection de la fraude
remaniée.
D10 Nos contrôles de détection comprennent une ligne de signalement des cas de fraude bien co
bien gérée.
D11 Notre ligne de signalement des cas de fraude préserve l’anonymat des personnes qui signal
actes répréhensibles.
D12 Notre ligne de signalement des cas de fraude donne l’assurance aux employés qui signalent
actes répréhensibles qu’ils ne feront pas l’objet de représailles. Nous surveillons si des repré
ont été exercées après une dénonciation.
D13 Notre ligne de signalement des cas de fraude repose sur un système de gestion de dossiers
permet d’enregistrer tous les appels reçus, les suivis réalisés et les mesures prises pour les
elle est testée périodiquement par nos auditeurs internes et surveillée par le Comité d’audit.
D14 Les contrôles de nos systèmes informatiques/de nos processus de TI comportent des contrô
conçus expressément pour détecter les activités frauduleuses et les erreurs. Ils prévoient, en
autres, des rapprochements, des revues indépendantes, des inspections/inventaires physiqu
analyses, des audits et des enquêtes.
D15 La charte de notre fonction d’audit interne met l’accent sur la mise en œuvre de mesures visa
détecter la fraude.
D16 Nos auditeurs internes participent au processus d’évaluation des risques de fraude et planifie
activités de détection de la fraude définies en fonction des résultats de cette évaluation.
D17 Nos auditeurs internes font rapport au Comité d’audit et consacrent les ressources nécessair
l’évaluation de la mise en œuvre de l’engagement pris par la direction à l’égard de la détectio
fraude.
No Secteur, facteur ou élément d’appréciation – Détection de la fraude
D18 Notre équipe d’audit interne est dotée d’un budget et d’un personnel suffisants et a suivi la fo
nécessaire pour respecter les normes professionnelles. Notre personnel d’audit interne poss
compétences appropriées pour appuyer l’atteinte des objectifs de la fonction.
D19 Notre fonction d’audit interne réalise des évaluations fondées sur les risques pour comprend
motifs de la fraude et les secteurs susceptibles de faire l’objet d’une manipulation frauduleus
D20 Notre personnel d’audit interne connaît les outils et les techniques de détection de la fraude,
réponse et d’enquête et est formé sur ces sujets dans le cadre de son programme de format
continue.
D21 Nos programmes d’analyse des données ciblent les écritures de journal et les opérations
inhabituelles, les opérations effectuées à la clôture de l’exercice et celles qui ont été effectué
cours d’une période puis annulée au cours de la période suivante.
D22 Nos programmes d’analyse des données se concentrent sur les écritures de journal dans les
de produits ou de charges qui améliorent le résultat net ou permettent d’une autre façon de r
les attentes des analystes ou les objectifs donnant lieu à une rémunération au rendement.
D23 Nous avons des systèmes conçus pour surveiller les écritures de journal afin de repérer des
d’un contournement possible des contrôles par la direction en vue de fausser les information
financières.
D24 Nous utilisons l’analyse et l’exploration de données et les outils d’analyse numériques pour :
a) identifier les relations cachées entre les personnes, les organisations et les événements; b
les opérations suspectes; c) évaluer l’efficacité des contrôles internes; d) surveiller les menac
fraude et les vulnérabilités; e) considérer et analyser des volumes importants d’opérations en
réel.
D25 Nous avons recours à des techniques d’audit en continu pour repérer et communiquer les ac
frauduleuses rapidement, notamment les analyses selon la loi de Benford pour examiner les
sur les charges, les comptes du grand livre général et les comptes de la paye en vue d’identi
transactions ou montants inhabituels ou des schémas d’activité qui pourraient nécessiter des
analyses plus poussées.
No Secteur, facteur ou élément d’appréciation – Détection de la fraude
D26 Nous avons des systèmes pour surveiller les courriels des employés en vue de relever des in
fraude possible.
D27 Notre documentation sur la détection de la fraude décrit les personnes et les services qui son
responsables de ce qui suit :
D28 Nous avons établi des critères d’évaluation pour surveiller et améliorer la conformité aux con
détection de la fraude, notamment :
le nombre de manœuvres frauduleuses connues qui ont été perpétrées contre l’organ
les pertes qu’elles ont entraînées;
le nombre d’allégations de fraude reçues par l’organisation qui ont fait l’objet d’une en
l’état d’avancement de leur traitement;
le nombre d’enquêtes sur des cas de fraudes qui ont été réglés;
le nombre d’employés qui ont signé l’énoncé sur les valeurs éthiques corporatives;
le nombre d’employés qui ont suivi la formation obligatoire sur Bureau sur l’éthique;
le nombre d’allégations faites par des lanceurs d’alerte reçues;
le nombre de messages faisant la promotion d’un comportement éthique diffusés aux
employés par les cadres supérieurs;
le nombre de fournisseurs qui ont signé le formulaire sur la Code de valeurs, d’éthique
conduite professionnelle du BVG;
le nombre d’audits sur la fraude réalisés par les auditeurs internes.
2. Application
La présente Politique vise tous les cas allégués ou avérés de fraude qui impliquent des
employés du Bureau du vérificateur général du Canada du Canada (BVG) ainsi que des
experts-conseils, des fournisseurs, des entrepreneurs ou des tierces parties qui
entretiennent des relations d’affaires avec le BVG. Toute enquête, le cas échéant, sera
menée sans égard au nombre d’années de service ni au poste ou au titre de la
personne suspectée ou de sa relation avec le BVG.
La fraude est définie comme étant un acte intentionnel commis par une ou plusieurs
personnes parmi les employés, les membres de la direction, les responsables de la
gouvernance (interne), ou des tiers (externe) impliquant le recours à des manœuvres
trompeuses dans le but d’obtenir un avantage indu ou illégal. Il y a trois grandes
catégories de fraude interne : la corruption, le détournement d’actifs et les états
financiers mensongers.
Voici certains exemples de cas de fraude :
3. Énoncé de la Politique
Le BVG s’engage :
Le BVG a défini un Cadre de gestion des risques de fraude complet qui oriente la mise
en œuvre de pratiques exemplaires pour identifier, contrer et gérer les risques de
fraude. La présente Politique fait partie intégrante du Cadre et est citée à la partie 1,
« Gouvernance à l’égard des risques de fraude ».
4. Objectif de la Politique
La présente Politique a pour objectifs :
5. Rôles et responsabilités
Le vérificateur général s’est vu confier les responsabilités suivantes :
Selon l’alinéa 16.4 (1)b) de la Loi sur la gestion des finances publiques, les
administrateurs généraux, à titre d’administrateurs des comptes, sont
comptables devant les comités du Parlement des mesures prises pour que le
ministère soit doté de mécanismes de contrôle interne efficaces.
La Politique sur la gestion financière du Conseil du Trésor exige que les
administrateurs généraux veillent à l’établissement, à la surveillance et au
maintien d’un système ministériel de contrôle interne de la gestion financière axé
sur le risque, ce qui comprend la gestion des risques de fraude.
Selon l’article 16.1 de la Loi sur la gestion des finances publiques,
l’administrateur général veille à la prise de mesures propres à assurer
l’accomplissement, au sein du ministère, de la vérification interne répondant aux
besoins de celui-ci. De plus, selon le paragraphe 4.1.2 de la Politique sur l’audit
interne du Conseil du Trésor, l’administrateur général doit veiller à ce que l’audit
interne soit effectué conformément au Cadre de référence international des
pratiques professionnelles de l’Institute of Internal Auditors (CIPP). Ce cadre fait
expressément référence au rôle de la fonction d’audit interne par rapport à la
fraude.
Chaque gestionnaire doit connaître les divers types de risque de fraude au sein
de son secteur de responsabilité et rester à l’affût de tout indice de fraude.
Le dirigeant principal des finances assure la gestion de toutes les allégations de fraude
et supervise, le cas échéant, le processus d’enquête, avec le concours du spécialiste
interne en matière de fraude. Le dirigeant principal des finances consulte, au besoin,
l’agent de la sécurité ministérielle, les Services juridiques, les Ressources humaines et
le spécialiste interne en valeurs et éthique.
La présente Politique n’empêche pas un employé de présenter une plainte à l’agent
supérieur de l’intégrité, aux termes de la Loi sur la protection des fonctionnaires
divulgateurs d’actes répréhensibles.
8. Absence de représailles
L’employé qui porte plainte de bonne foi n’est pas passible de sanctions ni de mesures
disciplinaires. Des mesures disciplinaires seront prises contre toute personne qui
exerce des représailles contre une personne qui signale, en toute bonne foi, un cas
allégué ou avéré de fraude.
9. Diffusion
La présente Politique sera publiée sur le site INTRAnet du BVG.
10. Respect et examen de la Politique
La conformité des employés du BVG à la présente Politique fera l’objet d’un suivi, y
compris (mais pas uniquement), dans le cadre d’enquêtes, d’audits ou d’examens des
dossiers.
Le dirigeant principal des finances, avec le concours du spécialiste interne en matière
de fraude et après avons consulté les parties prenantes, examinera et actualisera la
présente Politique au moins tous les trois ans ou avant, selon les besoins. Le Conseil
de direction doit approuver tous les changements apportés à la Politique.
12. Références
Lois fédérales
Code criminel
Loi fédérale sur la responsabilité
Loi sur la gestion des finances publiques
Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles
Secrétariat du Conseil du Trésor du Canada
Directive sur l’audit interne
Directive sur la gestion des fonds publics et des comptes débiteurs
Politique sur la gestion financière
Politique sur la sécurité du gouvernement
Code de valeurs et d’éthique du secteur public
BVG
Code de valeurs, d’éthique et de conduite professionnelle du BVG
Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada
Politique sur les enquêtes en milieu de travail (en révision)
AUDIT DU CYCLE DE VIE DU CLIENT
- Orientation à long terme : l’entreprise doit montrer sa volonté de maintenir la relation dès les
premières interactions et tout au long de la relation. Un tel comportement permet d’établir la confiance
et démontre l’engagement sincère de l’entreprise.
- La réciprocité : ce facteur est le symbole de l’équilibre du bilan relationnel. L’entreprise doit montrer à
son client qu’elle vise à optimiser le profil mutuel et qu’elle se trouve dans une vision gagnant/gagnant
de la relation.
- La fiabilité : dans une optique relationnel, on n’a forcement pas besoin d’un contrat formel ou
informel qui établi le rôle des deux parties. Les tâches exercées par l’une ou l’autre des parties ne sont
pas définies de manière explicite. L’entreprise soucieuse de démontrer son orientation relationnelle
tentera de comprendre les attentes de son client par rapport aux tâches à accomplir et les exécutera de
façon constante.
- Echange d’informations : selon Herbert Simon, celui qui détient l’information, détient le pouvoir. De ce
fait, L’échange d’informations est très utile aux partenaires et représente un avantage indéniable pour
les deux parties tout en constituant une preuve de confiance.
- La flexibilité : l’entreprise soucieuse de son orientation relationnelle doit être en mesure de faire des
concessions lorsqu’un disfonctionnement survient en sa défaveur dans le cadre d’une transaction. - La
solidarité : être en mesure de soutenir son client lorsque ce dernier traverse une mauvaise période
(souci financier par exemple).
- Résolution des conflits : éviter les recours judiciaires en cas de conflit et privilégier les négociations
amiables. Cette pratique aura pour objectif de favoriser la continuation de la relation. 28 - Usage
modéré du pouvoir : dans la plus part des cas l’entreprises se trouve en position de force. Elle ne doit
pas profiter de sa situation pour faire pression sur le client afin d’avoir satisfaction. Björn Ivens et Ulrike
Mayrhofer ont construit une roue qui comporte tous ces facteurs Résolution des conflits Usage modéré
du pouvoir Orientation à long terme Réciprocité Fiabilité Échange D'informations Flexibilité Solidarité
Figure 2/Titre : Roue résumant les facteurs de réussite du marketing relationnel
- Usage modéré du pouvoir : dans la plus part des cas l’entreprises se trouve en position de force. Elle ne
doit pas profiter de sa situation pour faire pression sur le client afin d’avoir satisfaction. Björn Ivens et
Ulrike Mayrhofer ont construit une roue qui comporte tous ces facteurs Résolution des conflits Usage
modéré du pouvoir Orientation à long terme Réciprocité Fiabilité Échange D'informations Flexibilité
Solidarité Figure 2/Titre : Roue résumant les facteurs de réussite du marketing relationnel