Académique Documents
Professionnel Documents
Culture Documents
Processus d'audit
L'OBJECTIF DE CE CHAPITRE EST D'ACQUERIR AU LECTEUR LES CONCEPTS SUIVANTS :
✓ Développer et mettre en œuvre une stratégie d'audit basée sur les risques
✓ Gérer les conflits, les risques potentiels et communiquer aux parties prenantes
Prenons l'exemple d'une entreprise qui accepte les cartes de crédit comme moyen
de paiement. Le tableau 3.1 présente une vue simplifiée de certains objectifs du
programme d'audit que cette organisation serait susceptible de rencontrer.
Une organisation sera expulsée si elle est découverte en infraction, ou elle devra
peut-être fermer si elle est incapable de faire un profit après tous les coûts de
conformité encourus. L'un des principaux objectifs de chaque programme d'audit
est de produire des éléments probants suffisamment fiables en utilisant les
auditeurs internes pour réduire le fardeau financier lié au recours à des auditeurs
externes.
Outils d'audit Il faut plus qu'un livre de techniques d'audit pour gérer correctement
le processus d'audit. Des fonds devront être alloués pour acheter des outils d'audit
ainsi que la formation nécessaire à leur utilisation. N'oubliez jamais que la
meilleure façon de sélectionner un logiciel d'audit est de suivre d'abord une
formation pour deux ou trois fournisseurs différents ; puis décidez si le logiciel
correspond réellement à votre flux de travail prévu. Certains vendeurs
décourageront d'abord la formation parce qu'elle transfère le pouvoir à l'acheteur.
Un grand nombre de bons outils sont maintenant disponibles en open source. En
fait, de nombreux outils d'audit pour l'achat utilisent secrètement des logiciels
open source gratuits.
En tant qu'auditeur, assurez-vous que les procédures suivantes figurent dans votre
boîte à outils :
En tant qu'auditeur, assurez-vous que les procédures suivantes figurent dans votre
boîte à outils :
Programme d’audit
Planification des audits
Assurer la compétence des auditeurs et des chefs d'équipe d'audit
Sélection des équipes d'audit appropriées
Attribution des rôles et des responsabilités
Réaliser des audits
Tenir les registres du programme d'audit
Suivi des performances et de l'efficacité
Suivi des plaintes
Rapports à la direction sur les réalisations globales
Dans les grandes organisations, ces procédures sont incluses dans la base de
données AMS.
Dans une petite organisation, toutes ces activités peuvent être traitées dans une
seule procédure combinée.
Il est de votre devoir de vous assurer que chacun est accompli avec le degré de
rigueur approprié en fonction du risque ou des conséquences d'un échec.
Maintenant que les bases du contrôle ont été accomplies, il est temps d'examiner
le contenu des enregistrements du programme d'audit.
Portée de l'audit Considérez la portée de l'audit comme des limites décrites par les
processus à examiner, dans des emplacements physiques spécifiques de
l'organisation. Restez simple en décrivant l'emplacement, les unités à mesurer, les
activités spécifiques et un processus particulier avec une période de temps
applicable mesurée en jours, semaines ou mois. La conformité ne se produit jamais
dans un audit géant. Notre objectif est de décomposer le flux de travail important
et complexe en une série de petits audits gérables exécutés à des jours ou à des
mois différents.
Critères d'audit Identifiez un ensemble de stratégies par rapport auquel le client
souhaite être évalué. Spécifiez ensuite les procédures ou exigences à comparer
avec les preuves recueillies.
Équipe d’audit Il est inhabituel que l’audit soit réalisé par une seule personne.
Dans les audits de certification ISO, la nouvelle norme consiste à inclure un
auditeur de surveillance comme témoin pour la surveillance pendant la mission. Les
auditeurs mènent l'audit avec le soutien d'experts techniques au besoin. Un
auditeur principal est nommé auditeur principal et l'équipe peut inclure des
auditeurs en formation. Ce groupe fonctionne exactement comme l'équipe
d'enquête de spécialistes présentés comme des résolveurs de crime dans les
émissions de télévision CSI. En fonction des objectifs, l'audit peut être réalisé par
du personnel interne, des fournisseurs ou des tiers externes. Voici quelques
possibilités :
Voici quelques possibilités :
Audits internes (ou audits internes) Il s'agit d'une auto-déclaration de conformité.
Un niveau d'indépendance modéré peut être démontré par l'auditeur n'ayant
aucune responsabilité dans l'activité auditée. Il s'agirait d'une personne sans
responsabilité opérationnelle qui vérifie dans un domaine différent sans rapport
avec son propre travail.
Audits externes (ou audits de seconde partie) Les clients, les fournisseurs ou
toute personne intéressée par l'activité auditée mèneront l'audit.
Audits externes indépendants (ou audits tiers) Il s'agit du niveau de confiance le
plus élevé car les auditeurs ne sont pas liés à l'organisation auditée. Les conclusions
de cet audit peuvent être utilisées pour l'octroi de licences ou la certification de
l'industrie.
Audit intégré (ou audit combiné) Cela se produit lorsque deux fonctions ou plus
sont auditées en même temps par souci d'efficacité.
Audit conjoint Dans un audit conjoint, deux ou plusieurs organisations d'audit
coopèrent pour auditer un seul audité. Cela peut se produire en raison de la
complexité de la portée ou des délais serrés. Une attention particulière devrait
être accordée à la division officielle du travail entre les différentes organisations et
examinée avant le début de l'audit.
Lors d'un audit, il est important de se rappeler que toutes les décisions et opinions
devront être étayées par des preuves et des documents. En tant qu'auditeur, il est
de votre responsabilité d'assurer la cohérence du processus d'audit. Vous devez
adopter un plan de contrôle qualité de l'audit pour soutenir ces objectifs de base.
Il y a 10 étapes d'audit à connaître lors de l'exécution d'un audit. Les CISA doivent
être conscients de leurs tâches à chacune de ces étapes :
Approuver la charte d'audit ou la lettre de mission
Planification préalable de l'audit
Effectuer une évaluation des risques
Déterminer si un audit est possible
Réalisation de l'audit proprement dit
Rassembler des preuves
Réalisation de tests d'audit
Analyser les résultats
Rapporter les résultats
Mener des activités de suivi
Dans ce chapitre, nous examinerons chacune de ces étapes en détail ainsi que les
différentes procédures utilisées lors de l'audit. La figure suivante 3.1 illustre un
organigramme simple du processus d'audit. L'exécution réelle de l'audit sera plus
complexe.
Nous commencerons par le processus d’établissement d’une charte d’audit afin
d’acquérir le pouvoir d’effectuer un audit. Vous pouvez suivre le processus en
utilisant le graphique à barres suivant pour rester synchronisé au fil des 10 étapes.
En tant qu'auditeurs, nous devons toujours chercher à ce que l'audité corrige les
faiblesses afin de donner une assurance positive que le risque est désormais
détecté, contrôlé et géré de manière appropriée.
Le responsable de l'audit interne et le représentant de l'audit externe devraient
avoir libre accès au président du comité d'audit.
Cela garantit une opportunité de faire part de nos préoccupations concernant les
processus, les contrôles internes, les risques et les limites.
Cette relation hiérarchique est illustrée dans le graphique suivant.
Le comité d'audit devrait se réunir régulièrement, au moins quatre fois par an,
pour répondre à cette exigence. La loi Sarbanes-Oxley de 2002 (SOX) oblige les
dirigeants à certifier que toutes les faiblesses du contrôle interne ont été
découvertes via des contrôles de détection entièrement fonctionnels utilisant la
combinaison de méthodes administratives, physiques et techniques. Une
divulgation complète doit être fournie aux membres du comité d'audit tous les 90
jours. Ne comptez jamais uniquement sur des méthodes administratives !
Le comité d'audit est chargé de publier la charte d'audit pour conférer le pouvoir
d'audits internes. La charte d'audit doit être approuvée par le plus haut niveau de
direction ainsi que par le comité d'audit. L'autorité doit également être accordée
pour un audit indépendant. Un document appelé lettre de mission donne le pouvoir
d'effectuer un audit externe indépendant.
La charte d'audit permet la délégation d'un audit à une organisation externe via
une lettre de mission. La lettre de mission permet de définir la relation avec un
auditeur indépendant pour les missions individuelles. La lettre enregistre la
compréhension entre l'audit comité et les auditeurs indépendants.
Note : La principale différence entre une lettre de mission et une charte d'audit
est qu'une lettre de mission traite de l'indépendance de l'auditeur.