Mes notes d’audit IT

Processus d'audit
L'OBJECTIF DE CE CHAPITRE EST D'ACQUERIR AU LECTEUR LES CONCEPTS SUIVANTS :

✓ Compréhension de la gestion du programme d'audit global

✓ Développer et mettre en œuvre une stratégie d'audit basée sur les risques

✓ Comprendre comment structurer un audit

✓ Mettre en œuvre les principes de qualité dans les activités d'audit

✓ Planification requise pour des audits spécifiques

✓ Mettre en place des pratiques de gestion et de contrôle des risques tout en

gardant son indépendance

✓ Comprendre les qualifications et les compétences exigences

✓ Réaliser des audits conformément aux normes, directives et bonnes pratiques

✓ Connaître les types de contrôles et comment les mettre en œuvre

✓ Comprendre l'effet des contrôles omniprésents sur les audits

✓ Acquisition et utilisation des preuves d'audit appropriées

✓ Comprendre le nouveau défi de la découverte électronique

✓ Gérer les conflits, les risques potentiels et communiquer aux parties prenantes

✓ Préparation de la documentation et des rapports d'audit

Chaque client sollicitant l'assistance d'un CISA souhaite obtenir une certification
annuelle comme l'exige la réglementation ou tester la conformité de son
organisation.
Pour atteindre cet objectif, il faut une série d'audits individuels englobant toutes
les étapes nécessaires pour parvenir à cette lettre de conformité convoitée.
Une fois que l'organisation est certifiée, une série d'audits de surveillance est
nécessaire tous les six mois pour vérifier que l'audité continue d'exécuter toutes les
bonnes tâches chaque mois avec précision. Les auditeurs marquent tout
enregistrement manquant ou le non-respect de leurs propres procédures comme
une violation dans le rapport de surveillance de six mois.

Comprendre le programme d'audit

Un programme d'audit est une série continue d'audits plus petits pour s'assurer que
l'organisation prend les mesures nécessaires pour rester conforme à l'évolution des
réglementations ou des conditions du marché.
Il est important de comprendre qu’un programme d’audit fonctionnel intègre
toutes les exigences de l’organisation dans un plan de conformité global intégré.
Le groupe d'audit interne recevra sa charte du comité d'audit dans le cadre de son
plan de programme annuel.
Le programme d'audit est généralement habilité à engager des auditeurs
indépendants tiers pour des tests annuels afin d'obtenir la certification
organisationnelle.

Objectifs et portée du programme d'audit

Chaque programme d'audit contiendra une liste d'objectifs.
Les objectifs de haut niveau peuvent provenir de la réglementation, du mandat
exécutif et des normes de l'industrie.
En tant qu'auditeur, vous devez vous attendre à ce que les objectifs du programme
d'audit varient en fonction des tâches du service, du sujet traité ou d'une étape
particulière du flux de travail.
Les grandes organisations ont plus d'objectifs d'audit, et les petites organisations en
ont généralement moins, car dans une organisation plus petite, la direction a un
meilleur contrôle, moins de problèmes de communication et une meilleure
visibilité des situations.

Prenons l'exemple d'une entreprise qui accepte les cartes de crédit comme moyen
de paiement. Le tableau 3.1 présente une vue simplifiée de certains objectifs du
programme d'audit que cette organisation serait susceptible de rencontrer.

Remarquez comment les objectifs du programme d'audit s'étendent sur différents

départements, chacun avec ses propres experts techniques spécialisés. Les
 technologies de l'information (matériel) et les systèmes d'information
(programmation) auront probablement un rôle quotidien dans le respect de chacun
de ces objectifs. Cela signifie qu'en raison du sujet traité, un auditeur CISA peut
occuper un rôle de membre junior en participant à l'équipe d'audit pour les audits
financiers ou ISO.
Dans plusieurs de ces exemples, l'auditeur principal devra être ou avoir dans son
équipe un comptable agréé, un ISO certifié en qualité, un ISO certifié ISO en
systèmes environnementaux et une personne certifiée par la société pour la gestion
des ressources humaines.

La disposition relative à la compétence de

l'auditeur dans la norme d'audit vise à nous
rappeler de limiter les activités à notre
domaine d'expertise avérée ou d'obtenir une
formation supplémentaire pour développer nos
compétences.

La disposition relative à la compétence de

l'auditeur dans la norme d'audit vise à nous
rappeler de limiter les activités à notre
domaine d'expertise avérée ou d'obtenir une
formation supplémentaire pour développer nos
compétences.

ISO 19011 et 27006 spécifient l'éligibilité avant

de pouvoir mener un audit.

D'abord en se basant sur le nombre d'employés de l'entreprise, pour

déterminer la charge initiale d'audit. Puis en rajoutant des charges :

 de revue documentaire du SMSI (de 1 à 3 journées selon complexité)

 d'audit des mesures de sécurité (2 jours)
 de visite des sites (0,5 jour par site à auditer)
 de rédaction du rapport (de 1 à 3 journées selon complexité)
Une formation supplémentaire est nécessaire pour exécuter chacune des
procédures de tâche d'audit avec une expérience réelle.
Être certifié CISA n'est pas suffisant. Nous explorerons plus en détail les rôles et les
responsabilités de l'équipe d'audit plus loin dans ce chapitre.
À ce stade, mon objectif est de démontrer comment un programme d'audit
organisationnel gère plusieurs exigences de conformité tout en ignorant les limites
des services.

Étendue du programme d'audit

La taille et la complexité d'une organisation auditée auront une influence directe

sur le programme d'audit. En tant qu'auditeurs, notre objectif est le même, mais
l'échelle et le volume deviennent le défi.
Les grandes organisations exigeront une approche d'audit plus impliquée en raison
du volume de personnel et de la diversité des rôles. Prouver la gouvernance est un
défi dans les grandes organisations, où il peut être difficile de déterminer
exactement qui est responsable d'une activité spécifique.

Les auditeurs doivent trouver suffisamment de preuves à tester à l'appui de

l'hypothèse d'audit avant de parvenir à une conclusion. Dans une grande
organisation, les membres du personnel peuvent se demander s'ils ont le pouvoir de
prendre des décisions qui n'ont pas été rencontrées auparavant.
Si suffisamment de preuves ne sont pas trouvées, les auditeurs de l'équipe doivent
énumérer tout ce qui a été demandé, recherché, recherché et vérifié
physiquement avant de déclarer qu'aucune preuve n'a été trouvée.
Beaucoup trop d'auditeurs sont laxistes dans ce domaine.
Les petites organisations ont des exigences d'audit nettement inférieures
simplement parce que moins de personnes sont impliquées et que la direction a
l'avantage d'une plus grande visibilité au jour le jour.
Dans une petite entreprise, la majorité des travailleurs savent généralement ce qui
se passe et pourquoi les décisions sont prises.
Examinons les problèmes de planification d'audit que vous devez prendre en
compte, quelle que soit la taille de l’organisation :
 Nombre d'emplacements géographiques
 Activités externalisées à des tiers (sous-traitance)
 Besoin de certification, d'accréditation, de licence ou d'enregistrement
 Préoccupations soulevées par les parties intéressées
 Complexité des réglementations et des termes des contrats signés à tester
 Type, portée et nombre d'activités à auditer
 Participation requise par des sous-traitants externes
 Fréquence des audits
 Suivi des recommandations des audits précédents
 Sponsor, coût, limitations de ressources et délais
 Raccourcis peu recommandables autorisés par la direction

Les organisations changeront en réponse aux situations économiques du marché.

Les coûts de conformité sont inclus dans les frais généraux d'un produit ou d'un
service.
Indépendamment de l'industrie, il n'y a que deux résultats possibles : les produits
ou services rentables continueront, ou s'il n'est pas rentable d'être conforme, il y
aura un arrêt.
En réalité, de nombreux cadres réalisent qu'il n'y a pas de retour sur investissement
rentable pour la conformité. La conformité est un fardeau des frais généraux. La
conformité mange les bénéfices. Si vous êtes conforme, vous pouvez poursuivre vos
activités tout en tentant de réaliser un profit.

Une organisation sera expulsée si elle est découverte en infraction, ou elle devra
peut-être fermer si elle est incapable de faire un profit après tous les coûts de
conformité encourus. L'un des principaux objectifs de chaque programme d'audit
est de produire des éléments probants suffisamment fiables en utilisant les
auditeurs internes pour réduire le fardeau financier lié au recours à des auditeurs
externes.

Responsabilités du programme d'audit

Un programme d'audit permanent fait partie de la stratégie d'atténuation des
risques. Comme mentionné précédemment, son objectif est de combiner les
exigences globales en un seul plan géré de manière centralisée. Il est important de
garantir une bonne tenue des registres de toutes les activités d'audit afin de
réaliser les avantages escomptés.
 La gestion du programme d'audit comprendra généralement un système de
gestion de l'audit (AMS) commercialisé avec les fonctions suivantes :
 Base de données des éléments individuels dans les objectifs de conformité
(série NIST 800, ISO, SOX, FFIEC, HIPAA)
 Liste des tâches d'audit (planifiées, ouvertes, terminées, clôturées)
 Procédures d'audit étape par étape approuvées, pas de lignes directrices
 Modèles approuvés avec documents de travail
 Matrice de compétences couvrant les tâches de chaque membre de l'équipe
d'audit
 Fonctionnalités de planification des ressources
 Estimation du budget
 Système de suivi des performances
 Historique des audits antérieurs à des fins de comparaison
Sans ce type de contrôle centralisé du programme d’audit, la performance de
l’auditeur serait au mieux aléatoire. Les équipes d'audit individuelles s'appuieront
sur l'AMS pour assurer la cohérence entre les projets d'audit. Dans les organisations
à faible maturité, l'AMS constitue un bon point de départ. Dans les grandes
organisations, il est essentiel d’accomplir la mission de l’auditeur.

Ressources du programme d'audit

Bien que les mécanismes de planification et de suivi de l'AMS représentent une
valeur considérable, il faut de l'argent et du personnel qualifié pour exécuter un
programme d'audit. Des ressources financières doivent être allouées pour
développer, mettre en œuvre et gérer correctement la fonction d'audit en cours.
Examinons quelques-unes des exigences de base en matière de ressources :
Un engagement financier est requis, ainsi que le pouvoir de le dépenser pour tout
ce qui soutient le programme d'audit. Cela comprend le personnel, les outils, les
déplacements, la formation, le soutien administratif et d'autres dépenses. Dans les
organisations bien gérées, ces coûts de base de l'audit sont pré approuvés.
La formation des auditeurs compétents et le maintien du niveau de compétence
des auditeurs sont une lutte permanente. Il faudra plus que le minimum de deux
semaines de formation annuelle pour se tenir au courant de la prolifération des
mises à niveau logicielles des fournisseurs et des changements dans diverses
réglementations.
Les auditeurs s'appuieront également sur des experts techniques.
Expert technique Un expert technique est un non-auditeur qui fournit des
connaissances ou une expertise spécifique à l'équipe d'audit. Cette personne
apporte son aide avec des compétences particulières liées à l'organisation, au
processus ou à l'activité à auditer.
Considérez l'émission télévisée CSI: Crime Scene Investigation.CSI fait appel à des
experts en armes, criminalistique, psychologie et ainsi de suite.
Puisque CISA n'est que théorie, vous serez obligé de faire appel à des spécialistes
techniques possédant des compétences de fournisseur spécifiques pour utiliser les
contrôles de sécurité liés à Microsoft, Java, Unix, SAP, Oracle, PeopleSoft et au-
delà.
Peut-être que l'audit nécessite des compétences médico-légales ou nécessite une
assistance sur des questions linguistiques et culturelles. Dans la culture arabe, les
hommes interviewant des femmes seront un problème. Les experts techniques
exécutent des tâches spécifiques pendant que l'auditeur supervise l'évaluation des
résultats. Les experts techniques ont généralement besoin d'une formation
supplémentaire sur la manière de travailler avec l'auditeur, car l'auditeur est
toujours en charge de toutes les décisions. L'auditeur doit travailler avec des
spécialistes pour interpréter la pertinence des résultats.

Outils d'audit Il faut plus qu'un livre de techniques d'audit pour gérer correctement
le processus d'audit. Des fonds devront être alloués pour acheter des outils d'audit
ainsi que la formation nécessaire à leur utilisation. N'oubliez jamais que la
meilleure façon de sélectionner un logiciel d'audit est de suivre d'abord une
formation pour deux ou trois fournisseurs différents ; puis décidez si le logiciel
correspond réellement à votre flux de travail prévu. Certains vendeurs
décourageront d'abord la formation parce qu'elle transfère le pouvoir à l'acheteur.
Un grand nombre de bons outils sont maintenant disponibles en open source. En
fait, de nombreux outils d'audit pour l'achat utilisent secrètement des logiciels
open source gratuits.

Ressources de soutien administratif Les grandes présentations ne s’écrivent pas

toutes seules. Ils sont généralement l'œuvre de plusieurs personnes dévouées. Ces
personnes représentent un atout important. Un travail de mauvaise qualité fait à la
hâte en raison d'un délai pressé est toujours un travail de merde. Le responsable du
programme d'audit est chargé de garantir un temps de déplacement suffisant, des
aménagements appropriés, la disponibilité des ressources, la planification et
d'autres besoins.
La gestion du programme d'audit exige un engagement à faire les bonnes choses au
bon moment. Il faut de l'argent du sponsor, l'engagement de l'équipe et le suivi des
performances pour garantir la qualité. Sans le soutien total de la direction générale
en temps, en visibilité à grande échelle et en argent, votre programme d'audit
échouera. Une fois que vous disposez d'un soutien suffisant, l'étape suivante
consiste à vous assurer que les procédures appropriées sont utilisées pour assurer la
cohérence.

Procédures du programme d'audit

La politique du programme d'audit informe chacun que le programme d'audit global
est important. Nous utilisons les normes comme règle de mesure uniforme, et
chaque norme est soutenue par un ensemble de procédures. Le programme d'audit
est exécuté de la même manière qu'un programme de gestion de la qualité ISO
9001.

En tant qu'auditeur, assurez-vous que les procédures suivantes figurent dans votre
boîte à outils :
En tant qu'auditeur, assurez-vous que les procédures suivantes figurent dans votre
boîte à outils :
 Programme d’audit
 Planification des audits
 Assurer la compétence des auditeurs et des chefs d'équipe d'audit
 Sélection des équipes d'audit appropriées
 Attribution des rôles et des responsabilités
 Réaliser des audits
  Tenir les registres du programme d'audit
 Suivi des performances et de l'efficacité
 Suivi des plaintes
 Rapports à la direction sur les réalisations globales
Dans les grandes organisations, ces procédures sont incluses dans la base de
données AMS.
Dans une petite organisation, toutes ces activités peuvent être traitées dans une
seule procédure combinée.
Il est de votre devoir de vous assurer que chacun est accompli avec le degré de
rigueur approprié en fonction du risque ou des conséquences d'un échec.

Mise en œuvre du programme d'audit

Il est important de communiquer le programme et les objectifs d’audit aux parties
concernées, y compris les dirigeants, les clients, les employés et les fournisseurs.
Le responsable du programme d'audit doit participer activement aux trois aspects
de l'exécution du programme d'audit administratif.
Contrôle de gestion Le responsable du programme d'audit doit être visible par les
parties concernées afin de communiquer efficacement les problèmes et les
objectifs. Cette personne est le porte-parole de tous les auditeurs. L’objectif du
responsable du programme d’audit est de s’assurer que les audits individuels sont
menés conformément aux objectifs généraux du programme.

Système de gestion centralisée des enregistrements (RMS) Les enregistrements

d'audit fournissent des éléments probants sous la forme d'informations pertinentes
pour prouver la conformité aux critères d'audit ou les lacunes qui doivent être
corrigées.
Ces données précieuses contiennent des informations sensibles qui nécessitent des
mesures de protection contre la perte ou la divulgation non autorisée.
Un système centralisé de gestion des enregistrements fournit beaucoup plus de
contrôle qu'un système distribué.
La cohérence est essentielle pour réaliser les avantages de réduction des coûts. Les
responsables du programme d'audit sont chargés d'assurer l'examen et l'approbation
des enregistrements d'audit, en utilisant une copie de référence de chaque
procédure de test. Des contrôles du cycle de vie de la gestion des enregistrements
conformes à la norme ISO 15489 doivent être utilisés pour protéger les
enregistrements d'audit.

Les enregistrements de contrôle de distribution RMS conservés sous clé

n'apportent aucun avantage réel aux utilisateurs.
Par conséquent, le contrôle de la distribution est nécessaire pour obtenir les
enregistrements appropriés aux clients et à d'autres parties spécifiques.
Cela fait partie du flux de travail global pour assurer un suivi adéquat après l'audit.

Maintenant que les bases du contrôle ont été accomplies, il est temps d'examiner
le contenu des enregistrements du programme d'audit.

Dossiers du programme d'audit

Les auditeurs externes s'intéresseront à la manière dont les enregistrements des
audits antérieurs sont conservés. Un système très organisé de gestion des dossiers
instaure la confiance car il prouve que le programme d'audit est suivi avec une
grande rigueur. Un désordre désorganisé indiquerait un échec de mise en œuvre du
programme d'audit. Une courte liste des enregistrements d'audit que nous
prévoyons de trouver comprend les éléments suivants :
Calendrier du programme d'audit Il doit inclure un calendrier annuel des audits
individuels, y compris les dates et la durée. Il devrait y avoir une indication de la
date prévue et de la date réelle d'achèvement.
Enregistrements des audits individuels Nous devrions trouver un plan d'audit avec
des enregistrements indiquant le personnel de l'équipe d'audit, l'audité, le plan
d'échantillonnage, les procédures de test des preuves et les résultats. Chaque
fichier d'audit doit inclure une copie de la correspondance et des rapports publiés.
Ceux-ci comprennent les éléments suivants :
 Rapports de non-conformité
 Rapports d'actions correctives et préventives
 Rapports de suivi d'audit
 Résultats de l'examen du programme d'audit
Dossiers personnels de l'équipe d'audit Les rapports et les conclusions ne valent que
pour les auditeurs qui les ont produits. Des enregistrements sont nécessaires pour
indiquer comment l'équipe d'audit a été sélectionnée et les attributs individuels de
chaque membre de l'équipe. Voici quelques exemples :
 Matrice des compétences
 Critères de sélection de l'équipe
 Dossiers de formation des auditeurs (compétence)
 Évaluation des performances des auditeurs
 Recommandations pour améliorer les performances
Toutes ces informations importantes n'auraient aucune valeur à moins que les
mesures de sauvegarde de conservation des dossiers ne soient correctement mises
en œuvre. L'une des meilleures garanties est de mener un processus d'entretien de
suivi continu.

Suivi et examen du programme d'audit

Les bons résultats ne se produisent pas automatiquement. En fait, ce serait une
négligence imprudente de mettre en place un programme de vérification à moins
que les résultats ne soient suivis pour s'assurer que tout le monde fait son travail
correctement.
Du point de vue du contrôle de la qualité, il est important de vérifier que les
procédures d'audit utilisées sont conformes aux objectifs énoncés.
Revoyons trois des exigences afin d’avoir un processus d’amélioration continue.
Le premier paramètre dont nous avons besoin est l'objectif, suivi d'une mesure du
rendement, puis de rapporter les résultats avec une analyse des tendances.
Examinons la différence entre un indicateur d'objectif et un indicateur de
performance :

Indicateur d'objectif clé (KGI) Pensez simplement au KGI comme un tableau de

bord. Chaque KGI indique si un objectif spécifique a été atteint. Son but est de
montrer que vous avez atteint votre objectif global.
Des exemples de KGI personnels peuvent inclure le remboursement de votre prêt
hypothécaire, l'acceptation de vos enfants dans une belle université, l'obtention
d'un diplôme universitaire, l'épargne suffisante pour la retraite et le fait d'avoir des
petits-enfants.
Pour les travaux CISA, le KGI peut être des éléments de conformité PCI, la section
400 de la SOX relative aux «transactions hors livre», la conformité pour les projets
ou contrats non répertoriés dans les rapports financiers, la certification ISO 9001 et
d'autres initiatives majeures.
Indicateur de performance clé (KPI) Ces mesures sont comme des pourcentages
que vous pouvez trouver dans le sport. Au baseball, la moyenne au bâton (30,06%),
la moyenne des circuits (06,91%) et les bases volées (05,33%) d’un joueur
représentent la performance historique de l’athlète.
Des métriques sont également utilisées pour enregistrer les performances du
personnel, le temps et l'exactitude pendant l'audit.
Ces mesures sont le fondement de l'amélioration continue.
En tant qu'auditeurs, nous souhaitons contrôler plusieurs éléments importants
nécessaires à la réussite d'un programme d'audit.
En voici quelques-uns :
 Évolution des besoins et des attentes des parties intéressées (changements
de périmètre)
 Mise en œuvre d'alternatives ou de nouvelles procédures dans la
planification des audits
 Conformité aux procédures et calendriers d'audit
 Cohérence entre les équipes d'audit
 Améliorations de la tenue de registres
 Commentaires des clients d'audit et des audités
 Observations d'amélioration
 Résultats d'audit et tendances
Chaque audit doit faire l'objet d'une série d'examens de performance dans l'espoir
d'enregistrer les leçons tirées de chaque audit. Cela devrait inclure un examen
préalable à l'audit pour s'assurer que l'auditeur est prêt à exécuter l'audit. Une
deuxième revue de performance a lieu pendant l'audit, suivie d'une revue post-
audit pour garantir la qualité.
Commençons par la planification préalable d'un audit individuel.

Planification des audits individuels

Le processus d'audit est basé sur une série de procédures d'audit généralement
acceptées.
Un audit est simplement un examen systématique des données historiques. Il s'agit
de définir un objectif réaliste, de capturer les éléments probants applicables (plan
d'échantillonnage), de tester les éléments probants (vérification), de comparer les
résultats des tests aux critères d'audit (évaluation) et de générer un rapport de
conclusions (résultats d'audit).
La personne responsable de la gestion du programme d'audit désignera un chef
d'équipe pour chaque audit spécifique. Votre travail en tant qu'auditeur des SI
consiste à fournir une assurance raisonnable que les objectifs d'audit sont atteints
en utilisant les normes d'audit professionnelles applicables. Passons en revue
quelques principes de base de la planification de la portée :

Portée de l'audit Considérez la portée de l'audit comme des limites décrites par les
processus à examiner, dans des emplacements physiques spécifiques de
l'organisation. Restez simple en décrivant l'emplacement, les unités à mesurer, les
activités spécifiques et un processus particulier avec une période de temps
applicable mesurée en jours, semaines ou mois. La conformité ne se produit jamais
dans un audit géant. Notre objectif est de décomposer le flux de travail important
et complexe en une série de petits audits gérables exécutés à des jours ou à des
mois différents.
Critères d'audit Identifiez un ensemble de stratégies par rapport auquel le client
souhaite être évalué. Spécifiez ensuite les procédures ou exigences à comparer
avec les preuves recueillies.
Équipe d’audit Il est inhabituel que l’audit soit réalisé par une seule personne.
Dans les audits de certification ISO, la nouvelle norme consiste à inclure un
auditeur de surveillance comme témoin pour la surveillance pendant la mission. Les
auditeurs mènent l'audit avec le soutien d'experts techniques au besoin. Un
auditeur principal est nommé auditeur principal et l'équipe peut inclure des
auditeurs en formation. Ce groupe fonctionne exactement comme l'équipe
d'enquête de spécialistes présentés comme des résolveurs de crime dans les
émissions de télévision CSI. En fonction des objectifs, l'audit peut être réalisé par
du personnel interne, des fournisseurs ou des tiers externes. Voici quelques
possibilités :
Voici quelques possibilités :
Audits internes (ou audits internes) Il s'agit d'une auto-déclaration de conformité.
Un niveau d'indépendance modéré peut être démontré par l'auditeur n'ayant
aucune responsabilité dans l'activité auditée. Il s'agirait d'une personne sans
responsabilité opérationnelle qui vérifie dans un domaine différent sans rapport
avec son propre travail.
Audits externes (ou audits de seconde partie) Les clients, les fournisseurs ou
toute personne intéressée par l'activité auditée mèneront l'audit.
Audits externes indépendants (ou audits tiers) Il s'agit du niveau de confiance le
plus élevé car les auditeurs ne sont pas liés à l'organisation auditée. Les conclusions
de cet audit peuvent être utilisées pour l'octroi de licences ou la certification de
l'industrie.
Audit intégré (ou audit combiné) Cela se produit lorsque deux fonctions ou plus
sont auditées en même temps par souci d'efficacité.
Audit conjoint Dans un audit conjoint, deux ou plusieurs organisations d'audit
coopèrent pour auditer un seul audité. Cela peut se produire en raison de la
complexité de la portée ou des délais serrés. Une attention particulière devrait
être accordée à la division officielle du travail entre les différentes organisations et
examinée avant le début de l'audit.
Lors d'un audit, il est important de se rappeler que toutes les décisions et opinions
devront être étayées par des preuves et des documents. En tant qu'auditeur, il est
de votre responsabilité d'assurer la cohérence du processus d'audit. Vous devez
adopter un plan de contrôle qualité de l'audit pour soutenir ces objectifs de base.
Il y a 10 étapes d'audit à connaître lors de l'exécution d'un audit. Les CISA doivent
être conscients de leurs tâches à chacune de ces étapes :
 Approuver la charte d'audit ou la lettre de mission
 Planification préalable de l'audit
 Effectuer une évaluation des risques
 Déterminer si un audit est possible
 Réalisation de l'audit proprement dit
 Rassembler des preuves
 Réalisation de tests d'audit
 Analyser les résultats
 Rapporter les résultats
 Mener des activités de suivi

Dans ce chapitre, nous examinerons chacune de ces étapes en détail ainsi que les
différentes procédures utilisées lors de l'audit. La figure suivante 3.1 illustre un
organigramme simple du processus d'audit. L'exécution réelle de l'audit sera plus
complexe.
Nous commencerons par le processus d’établissement d’une charte d’audit afin
d’acquérir le pouvoir d’effectuer un audit. Vous pouvez suivre le processus en
utilisant le graphique à barres suivant pour rester synchronisé au fil des 10 étapes.

Établissement et approbation d'une charte d'audit

Le premier objectif de l'audit est d'établir une charte d'audit, qui vous donne le
pouvoir de réaliser un audit.
La charte d'audit est émise par la direction générale ou le conseil des
administrateurs.

La charte d’audit doit clairement énoncer l’affirmation de responsabilité de la

direction, ses objectifs et la délégation de pouvoirs.

La charte d’audit doit clairement énoncer l’affirmation de responsabilité de la

direction, ses objectifs et la délégation de pouvoirs. Une charte d'audit décrit
votre responsabilité, votre autorité et votre obligation de rendre compte :

Responsabilité Fournit une portée avec des buts et des objectifs

Autorité Accorde le droit d'effectuer un audit et le droit d'obtenir l'accès pertinent
pour l'audit
Responsabilité Définit les actions convenues d'un commun accord entre le comité
d'audit et l'auditeur, ainsi que les exigences en matière de rapports
Rôle du comité d'audit
Chaque organisation devrait avoir un comité d'audit composé de dirigeants
d'entreprise. Chaque membre du comité d'audit doit posséder des compétences
financières et être en mesure de lire et de comprendre les états financiers, y
compris les bilans, les états des résultats et les états des flux de trésorerie.
Les membres du comité d'audit doivent avoir une expérience professionnelle
antérieure en comptabilité ou en finance et détenir une certification en
comptabilité (comptable public agréé ou CPA). Un investisseur ou un directeur
général ayant une sophistication financière comparable peut être membre d'un
comité d'audit.
Le comité d'audit devrait maintenir une relation de travail positive avec la
direction, les auditeurs internes et les auditeurs indépendants. Le comité gère les
activités d'audit prévues et les résultats des audits internes et externes.
Le comité est autorisé à engager des experts extérieurs pour une assurance
indépendante.
Les auditeurs internes et les auditeurs externes disposeront de procédures
d'escalade conçues pour communiquer les faiblesses significatives identifiées.

En tant qu'auditeurs, nous devons toujours chercher à ce que l'audité corrige les
faiblesses afin de donner une assurance positive que le risque est désormais
détecté, contrôlé et géré de manière appropriée.
Le responsable de l'audit interne et le représentant de l'audit externe devraient
avoir libre accès au président du comité d'audit.
Cela garantit une opportunité de faire part de nos préoccupations concernant les
processus, les contrôles internes, les risques et les limites.
Cette relation hiérarchique est illustrée dans le graphique suivant.

Le comité d'audit devrait se réunir régulièrement, au moins quatre fois par an,
pour répondre à cette exigence. La loi Sarbanes-Oxley de 2002 (SOX) oblige les
dirigeants à certifier que toutes les faiblesses du contrôle interne ont été
découvertes via des contrôles de détection entièrement fonctionnels utilisant la
combinaison de méthodes administratives, physiques et techniques. Une
divulgation complète doit être fournie aux membres du comité d'audit tous les 90
jours. Ne comptez jamais uniquement sur des méthodes administratives !

Le comité d'audit est chargé de publier la charte d'audit pour conférer le pouvoir
d'audits internes. La charte d'audit doit être approuvée par le plus haut niveau de
direction ainsi que par le comité d'audit. L'autorité doit également être accordée
pour un audit indépendant. Un document appelé lettre de mission donne le pouvoir
d'effectuer un audit externe indépendant.

Planification d'audits spécifiques

La charte d'audit permet la délégation d'un audit à une organisation externe via
une lettre de mission. La lettre de mission permet de définir la relation avec un
auditeur indépendant pour les missions individuelles. La lettre enregistre la
compréhension entre l'audit comité et les auditeurs indépendants.
Note : La principale différence entre une lettre de mission et une charte d'audit
est qu'une lettre de mission traite de l'indépendance de l'auditeur.

Les lettres de mission doivent inclure les éléments suivants :

■ Tous les points décrits dans la charte d'audit
■ Indépendance des auditeurs (responsabilité)
■ Preuve d'un accord sur les termes et conditions (autorité)
■ Portée convenue avec dates d'achèvement (responsabilité)

Maintenant que nous avons le pouvoir, il est temps de passer à la planification

préalable de tout ce que nous allons faire dans le cadre de la vérification.
La première étape de la planification préalable consiste à se demander : «Quel est
l’objectif de cet audit particulier?»
L'objectif peut être la conformité à une norme particulière, un audit de
surveillance comme suivi pour déterminer si le personnel adhère toujours à ses
propres procédures, ou quelque chose de nouveau. Une excellente méthode pour
déterminer la portée consiste à lancer une discussion en posant des questions sur
six domaines clés. N'oubliez pas que la portée est définie comme une limite entre
ce qui est inclus et ce qui ne l'est pas. Commençons donc par ces questions et
sujets :
Management Quels sont les règles et objectifs métier ? La direction a-t-elle
officiellement adopté une norme à suivre ? La direction exige-t-elle que ses
systèmes soient certifiés ? La direction générale fournit-elle l'accréditation du
système matériel / logiciel complet avant son entrée en production ?
Données De quelles données s'agit-il ? S'agit-il de données clients, de données
d'ingénierie, de données financières ? Existe-t-il des réglementations régissant les
restrictions de données, l'utilisation acceptable ou inacceptable ?
Utilisation prévue dans leur flux de travail Comment ces données sont-elles
utilisées ? Pourquoi est-ce ? Peut-être une opération manuelle ? Fait-il partie d'une
application logicielle ? Demandez-leur diagramme de flux de travail.
Plateforme technologique Ces données sont-elles contrôlées dans un programme
informatique ? Dans un classeur ? Transmis sans fil sur les téléphones portables ?
Aurez-vous une présentation multimédia impressionnante tirant parti des avantages
des Mac Apple ? Oracle Financials est-il la plateforme ? Le service téléphonique
utilise-t-il la voix sur protocole Internet (VoIP) ? L'utilisateur a-t-il besoin de son
écran LCD dans une paire de lunettes de soleil ? L'objectif est-il de réduire le
support des utilisateurs finaux ? Allez-vous passer des serveurs Microsoft aux
serveurs Unix pour réduire les coûts de licence utilisateur ?
Installations Où le travail est-il effectué ? Les principaux systèmes se trouvent-ils
ici ou ailleurs ? Combien d'espace est nécessaire pour accueillir le personnel ? Où se
trouvent les clients ? Où se trouvent les sous-traitants pour les travaux sous-
traités ? Combien d'établissements sont concernés ? Avons-nous besoin d'une
autorisation de sécurité spéciale pour y accéder ? Les tests de dépistage normaux
des médicaments HIPAA sont-ils requis pour les personnes ayant un accès privilégié,
y compris les auditeurs ? Normalement, le dépistage des médicaments HIPAA est
requis.
Personnes impliquées Avec qui travaillerons-nous côté client ? Qui sont les
personnes du côté de l'audité ? En utilisant la matrice des compétences comme
référence, qui est disponible pour faire partie de l'équipe d'audit ? Avons-nous les
experts techniques appropriés disponibles ? Qui sont les observateurs et auditeurs
en formation sur ce projet ? L'un des participants a-t-il un conflit de voyage ou une
restriction d'horaire ? Conflit ou restriction d'horaire ?