Académique Documents
Professionnel Documents
Culture Documents
ADSI
Table des matières
2
Collecte des Informations et des
Preuves d'Audit I
Vous êtes manager ou responsable d'une équipe d'auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l'audit. Vous êtes donc un chef d'orchestre qui doit s'assurer de la
bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.
Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la taille de
votre entreprise, ou de la disponibilité de votre équipe d'auditeurs.
Dans cette dernière partie du cours, l'on vous propose des méthodes et outils à la fois pour réaliser et
pour superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les méthodes et
vous assurer de la mise en œuvre des bonnes pratiques d'audit.
Pour cela, nous passerons en revue les points suivants :
1. Préparer le dossier de la mission d'audit ;
2. La collecte d'informations et de preuves ;
3. De la théorie à la pratique ;
Compte tenu de la volumétrie des documents et de l'analyse de nombreuses données, sous format
papier ou électronique, il convient d'être rigoureux quant à la conservation des documents fournis par
des audités et de ceux produit par l'équipe d'audit.
3
Collecte des Informations et des Preuves d'Audit
Les documents doivent être classés de manière claire et compréhensible, et référencés afin d'être très
facilement identifiés. Pour ce faire, l'on vous recommande très en amont et au fil de l'eau de les
identifier, de normer leur conservation et de définir les modalités d'accès.
La création d'un répertoire partagé d'audit
En tant que chef de mission ou responsable, vous devez vous assurer que toute la documentation liée à
la mission d'audit est bien accessible dans le dossier de la mission d'audit. Ce dossier peut être situé
dans un répertoire partagé contenant tous les documents collectés et les travaux réalisés.
Vous pouvez mettre à disposition des modèles des principaux livrables d'un audit sur ce réseau. Dans
une logique d'amélioration continue, vous pouvez stocker les anciens modèles dans un dossier “OLD”.
Le nommage des documents
Si vous avez plusieurs missions d'audit à gérer en même temps, vous pouvez instaurer une convention
de nommage des documents.
Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :
« Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités ;
« Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s'incrémentant de manière chronologique ;
« Com » lorsque la version est communiquée officiellement, notamment pour un support de
réunion ;
« Def » lorsque le document est validé.
La conservation des documents collectés
4
Collecte des Informations et des Preuves d'Audit
5
Collecte des Informations et des Preuves d'Audit
Il vous a été présenté la démarche pour élaborer un référentiel d'audit sans vous fournir un exemple
concret. L'on vous propose donc, dans cette section, d'illustrer cette démarche avec un cas standard
dans les systèmes d'information.
Supposons que votre direction vous demande de réaliser un audit “flash” des accès de l'application
comptable et financière avant l'arrivée des commissaires aux comptes. Les objectifs de l'audit sont de
s'assurer que la sécurité logique de l'application est maîtrisée et qu'il n'y a pas de risques de fraude.
Vous n'avez que très peu de temps et aucune ressource.
Vous allez donc devoir concevoir une grille d'audit compte tenu de ces contraintes.
Pour ce faire,l'on vous propose de réaliser des tests d'audit des contrôles généraux informatiques (GCTI
ou ITGC pour Information Technology General Control). Les contrôles généraux informatiques
s'appliquent à tous les composants, processus et données des SI d'une entreprise. Si ces contrôles ne
sont pas mis en œuvre, ou ne fonctionnent pas correctement, l'entreprise ne pourra pas se fier aux SI
pour gérer les risques.
Les ITGC les plus courants sont regroupés en quatre domaines :
les contrôles de sécurité logique pour les accès aux applications et aux données ;
les contrôles de sécurité physique pour les accès aux sites d'hébergement des serveurs et les
infrastructures ;
les contrôles sur la gestion des changements et des incidents dans les applications ;
les contrôles de l'exploitation, y compris la sauvegarde et la restauration des systèmes et des
données.
Dans le cadre de cet audit exemple, nous ne nous focaliserons que sur le premier domaine concernant
la sécurité logique (Voir le fichier Excel mis sur Moodle avec ce chapitre).
Comme vous le remarquerez, les objectifs d'audits peuvent être nombreux pour vérifier un contrôle.
Ces objectifs ont été détaillés afin de s'assurer que les tests d'audit à réaliser permettront de vérifier
que les contrôles attendus sont bien réalisés et efficaces.
Afin de réaliser vos tests d'audits, vous allez devoir demander un certain nombre de documents, que
vous identifierez pour contrôle à tester. Vous allez également organiser au moins un entretien avec le
responsable de l'application comptable.
Résumons Rappel
6
Réaliser des Test d'Audit II
Démarche Méthode
Vous connaissez maintenant la démarche générale de collecte d'information et de preuve qui consiste
en :
réaliser les tests d'audit au moyen d'outils et collecter les preuves ;
documenter les tests d'audit ;
évaluer les résultats des tests d'audit ;
élaborer une conclusion.
Vous êtes à la première étape de la démarche “réaliser les tests d'audit au moyen d'outils et collecter
les preuves”. Ce chapitre vous permettra de redécouvrir les différents outils à utiliser pour vos tests
d'audits, pour les documenter et pour évaluer les résultats des tests d'audit, afin de conclure sur
l'existence et l'efficacité des contrôles.
Nous allons ainsi passer en revue :
les bonnes pratiques en entretien d'audit ;
le diagramme des flux ;
les tests de cheminements et la piste d'audit ;
les analyses de données.
Vous disposez d'un panel d'outils que vous pouvez utiliser pour collecter des informations :
brainstorming, observations sur site, entretiens et questionnaires, etc.
Nous allons nous concentrer sur l'entretien d'audit, qui est le moyen le plus utilisé pour collecter des
informations. Mais vous vous demandez : Comment constituer des preuves avec des échanges à
l'oral ? La réponse à cette question viendra un peu plus bas.
Instaurez un climat de confiance au cours des entretiens
Les entretiens permettent de collecter des informations afin de prendre connaissance des activités du
domaine audité, et éventuellement constituer les preuves d'audit qui permettront d‘atteindre les
objectifs de la mission d'audit.
7
Réaliser des Test d'Audit
La réussite d'un entretien repose sur sa préparation en amont, le respect des personnes interrogées et
la capacité à parler leur langage. En outre, vous ne devez pas avoir d'idées préconçues en y allant. Il
s'agit là d'adopter la posture d'auditeur compétent, crédible et bienveillant, qui applique
naturellement les principes d'objectivité et d'intégrité.
Par ailleurs, en tant qu'auditeur ou responsable de mission, les informations doivent être corroborées.
Autrement dit, elles doivent impérativement être rapprochées d'autres informations collectées.
Soignez votre introduction et votre conclusion
La préparation de l'entretien consiste à :
définir les objectifs de l'entretien et les thèmes à aborder ;
identifier le(s) interlocuteur(s) ;
collecter des informations sur le domaine concerné par l'entretien et sur le(s) interlocuteur(s), et
en prendre connaissance en amont ;
lister les questions et les organiser par thème et sur le modèle QQOCPQ : Qui, Quoi, Où,
Comment, Pourquoi, Quand ;
définir un guide de l'entretien ;
organiser le rendez-vous, en transmettant par exemple une invitation par mail avec la date,
l'heure, le lieu, la durée et les objectifs de l'entretien, et les thèmes à aborder.
Vous allez poser un certain nombre de questions, vous allez évidemment écouter les réponses mais
également reformuler et valider les réponses obtenues.
8
Réaliser des Test d'Audit
Tout comme l'introduction, la conclusion a aussi son importance afin de laisser une bonne impression
de l'audit. Elle consiste à :
synthétiser et valider les points importants de l'entretien ; par exemple, reformuler et valider les
activités de contrôle réalisées sur le processus audité ;
lister les documents énumérés pendant l'entretien et définir les délais de transmission de ceux-
ci ;
présenter les étapes suivantes et les éventuels futurs échanges ;
remercier le(s) interlocuteur(s) ;
et réaliser un compte rendu de l'entretien, qui devra être validé de manière formelle par le(s)
participant(s).
Lors de la phase de préparation et de prise de connaissance du domaine à auditer, l'on vous avait déjà
conseillé de modéliser un diagramme de flux afin de visualiser les étapes d'un processus et/ou d'un
sous-processus, à partir de la documentation existante.
Au cours de la phase d'investigation, vous pouvez reprendre cette modélisation et la revoir avec vos
interlocuteurs au cours d'un entretien d'audit.
9
Réaliser des Test d'Audit
Néanmoins, il vous est recommandé d'adapter les symboles au contexte de l'entreprise. De plus, vous
souhaiteriez probablement utiliser un logiciel de modélisation qui aura ses propres formes et
permettra d'homogénéiser la méthode de représentation graphique.
Dans ce cas, il est important de savoir que les logiciels de modélisation sont assez contraignants
puisqu'ils demandent une montée en compétence. S'ils ne disposent pas de l'outil, ou s'ils ne savent
pas l'utiliser, vos interlocuteurs ne pourront pas intégrer votre diagramme dans leur procédure, ni le
modifier en cas de changements sur le processus. En revanche, l'utilisation d'un logiciel permet
d'homogénéiser la pratique ; encore faut-il que tous les utilisateurs appliquent les mêmes formes et les
mêmes principes de modélisation.
Le schéma ci-dessous un exemple de diagramme de flux réalisé sous PowerPoint, à partir de formes
simples. Il représente une partie de la modélisation du processus de gestion des achats, qui débute par
le sous-processus de gestion d'une demande d'achat.
10
Réaliser des Test d'Audit
En vue de collecter des informations et de constituer des preuves d'audit, il existe deux outils, très
souvent utilisés dans le cadre d'un audit :
le test de cheminement ;
la piste d'audit.
Le test de cheminement
Le principe est de suivre les différentes étapes d'une opération, de son origine jusqu'à son dénouement
; par exemple de l'enregistrement d'un bon de commande d'un client à l'écriture de l'opération de
vente dans le compte comptable pour constater le chiffre d'affaires. Il permet ainsi de confirmer la
compréhension d'un flux de traitement et de ses contrôles.
Vous l'avez sans doute deviné : vous pouvez bien sûr vous appuyer sur un diagramme de flux pour
effectuer le test de cheminement au cours d'un entretien d'audit !
11
Réaliser des Test d'Audit
À l'issue d'un test de cheminement, l'auditeur doit être capable de se faire un avis sur :
le bon fonctionnement du processus, tel que décrit dans les procédures et/ou dans le
diagramme de flux ;
l'existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir.
En résumé, la mise en œuvre d'un test de cheminement s'appuie sur :
des entretiens, dans lesquels vous allez poser des questions aux audités et observer les
activités, afin de :
identifier les tâches et les contrôles réalisés ;
identifier les écarts entre ce qui est décrit dans les procédures ou ce qui est attendu par le
management et la réalité ;
détecter les erreurs et prendre connaissance de la manière dont elles sont traitées ;
un test unitaire dans lequel vous allez sélectionner une transaction, la suivre au cours des
différentes étapes du processus afin de tester l'efficacité opérationnelle des contrôles. À ce titre,
vous pouvez demander à votre interlocuteur de faire des copies d'écran des opérations réalisées
dans les systèmes, afin de constituer vos preuves d'audit.
La piste d'audit
La piste d'audit s'apparente à un test de cheminement. Elle est utilisée dans le cadre des audits
financiers pour remonter à l'origine d'une opération, de l'enregistrement dans les états financiers à
l'acte de gestion. Vous pouvez donc vous inspirer de son principe pour réaliser vos tests d'audits.
L'objectif est de s'assurer de la traçabilité des opérations.
Prenons par exemple, l'encaissement d'un paiement d'un client qui peut-être déclenché si une
facture, un bon de commande et un bon d'expédition lui sont rattachés. La piste d'audit du paiement
du client repose sur la possibilité d'identifier une facture, un bon de commande et un bon d'expédition
qui le sous-tendent, au moyen d'une référence unique utilisée dans chaque opération.
Le caractère probant des résultats de l'analyse de la piste d'audit dépend des modalités de sélection
des opérations. D'un côté, vous ne pouvez pas conclure que les opérations sont bien tracées dans les
systèmes en ne réalisant qu'un seul test unitaire. De l'autre, vous n'aurez pas le temps d'analyser
l'exhaustivité des opérations dans les systèmes.
La sélection par échantillonnage est ainsi une méthode qui permettra de constituer des preuves
probantes. L'analyse de données au moyen d'un outil pourra vous aider à constituer un échantillon
plus large.
Cette méthode permet donc d'étudier les caractéristiques d'une population dont la taille ne permet
pas une analyse exhaustive.
12
Réaliser des Test d'Audit
À noter qu'en cas d'écarts identifiés dans l'échantillon testé, un échantillon supplémentaire sera tiré
afin de déterminer le caractère reproductible des anomalies au sein de la population testée.
L'analyse de données au moyen d'un outil peut aider à constituer un échantillon plus large, voire à
réaliser le test d'audit sur toute la population. Au moyen d'un outil spécialisé (Excel, MS Access, IDEA,
ACL, etc.) appelé “CAAT” (Cumputerized Assisted Audit Tool), vous allez analyser les données d'un
système de votre entreprise, sur de grands volumes. Néanmoins, les prérequis sont assez techniques. Il
convient de :
connaître et comprendre le mode de stockage et de formatage des données dans le système ;
maîtriser l'outil d'analyse de données utilisé ;
s'assurer de la fiabilité et de la disponibilité des données à analyser.
Vous allez découvrir la démarche dans le cadre d'une analyse de données réalisée au moyen d'un outil
dédié.
1. En amont, vous allez définir les procédures d'audit (échantillonnage, tests à réaliser sur les
données) à partir des objectifs d'audit. Puis, vous déterminerez les données à utiliser
(population, format, modalités de mise à jour, modalités d'accès...). Vous devez impérativement
vous assurer de leur fiabilité, en les rapprochant avec d'autres sources ou en collectant des
procédures.
2. Vous devez disposer des droits d'accès aux données dans le système, ou bien demander à une
personne de vous transmettre les données sous la forme d'extraction, dont le format doit être
spécifié.
3. Après avoir déterminé l'outil CAAT à utiliser, assurez-vous de disposer des ressources nécessaires
(matérielles, humaines, logicielles).
4. Vous allez donc pouvoir paramétrer l'outil d'analyse de données et réaliser les tests.
5. Pour documenter les tests d'audit et constituer des preuves, vous devez conserver les données
en entrée, les traitements (paramètres, code source), et les données en sortie, ainsi que la
description de vos tests et les conclusions.
13
Réaliser des Test d'Audit
Pour illustrer avec un exemple, revenons à l'audit des accès au système comptable. Sur la gestion des
habilitations des utilisateurs, un des objectifs d'audit est de vérifier la suppression systématique des
comptes utilisateurs à la fin de la période de validité d'un contrat pour les CDD et intérimaires. Ce
contrôle doit permettre de prévenir le risque qu'une personne non autorisée accède au système et
utilise, diffuse, endommage ou détruise des données.
Résumons Rappel
les facteurs de réussite d'un entretien d'audit sont les suivants : le climat de confiance, le soin
apporté à l'introduction et à la conclusion, la validation formelle du compte rendu par les
participants ;
le diagramme de flux est à la fois un outil d'aide à la prise de connaissance, puisqu'il requiert
une compréhension précise du processus, et un outil de vérification. La validation de la
description graphique du processus par son responsable permet d'en vérifier l'exactitude. Son
élaboration résulte d'un processus itératif ;
le test de cheminement permet à l'auditeur de se faire un avis sur le bon fonctionnement du
processus, tel que décrit dans les procédures et/ou dans le diagramme de flux, et de prouver
l'existence des contrôles, ou leur absence, et leur pertinence par rapport au(x) risque(s) à couvrir.
Il s'appuie sur des entretiens et le diagramme de flux ;
14
Réaliser des Test d'Audit
la traçabilité des opérations peut être auditée au moyen de la piste d'audit. La sélection des
opérations à tester par échantillonnage est une méthode qui permettra de constituer des
preuves probantes. L'analyse de données au moyen d'un outil peut aider à constituer un
échantillon plus large, voire de réaliser le test d'audit sur toute la population.
15
Superviser des Tests d'Audit III
Démarche Méthode
En tant que manager ou responsable d'une équipe d'auditeurs, internes ou externes, vous devez vous
assurer de la bonne exécution du programme de travail, et plus globalement du bon déroulement des
audits. Dans le chapitre précédent, vous aviez redécouvert des outils à utiliser pour vos tests d'audits.
Dans ce chapitre, l'on propose de vous présenter les bonnes pratiques pour superviser les missions
d'audit, et plus particulièrement pour revoir les tests d'audit, afin de vérifier que les informations
collectées sont pertinentes, fiables et en quantité suffisante, avec des preuves probantes. En effet, la
confiance n'exclut pas le contrôle.
Pour cela, nous suivrons les points suivants :
1. Déléguer et/ou superviser ;
2. Superviser les tests d'audit ;
3. Prenons un exemple ;
4. Valider avec les audités le résultat des tests d'audit.
Une mission d'audit peut faire intervenir plus de deux auditeurs, ce qui en fait une équipe à gérer. Dès
lors, le travail en équipe doit être organisé afin de réaliser des travaux de qualité. En tant que manager
ou chef de mission, ou bien responsable du service d'audit interne, des règles de délégation et de
supervision doivent être définies.
Les trois principaux rôles dans une mission d'audit
Il existe trois principaux rôles dans une mission d'audit :
le directeur ou responsable de l'audit ;
le chef de mission ou le manager ;
l'auditeur ou le collaborateur.
Intéressons-nous plus précisément à ces trois rôles.
Le directeur ou responsable de l'audit
Le directeur ou responsable de l'audit est un référent technique des managers ; il intervient dans les
missions de manière spécifique et ponctuelle. En revanche, il participera aux grands jalons de la
mission, à savoir la réunion de lancement et la réunion de clôture de l'audit.
Le directeur ou responsable de l'audit fixe la stratégie et les objectifs de la fonction d'audit interne. Il
définit l'organisation et le plan d'action pour déployer la stratégie d'audit, que nous avons traitée dans
la toute première partie. Le directeur ou responsable de l'audit intervient également dans la définition
du plan d'audit ; c'est lui qui a la responsabilité de la mise en œuvre de ce plan, sujet que nous avons
traité dans la deuxième partie du cours.
16
Superviser des Tests d'Audit
Le manager ou le collaborateur va donc réaliser une partie des tâches qu'il ne ferait pas en temps
normal. Celui qui délègue doit en revanche rester concerné par les résultats du travail du manager ou
du collaborateur, et faire le point régulièrement avec son équipe.
La supervision est une obligation
Selon la norme 2340 “Supervision de la mission” du CRIPP, “les missions doivent faire l'objet d'une
supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le
développement professionnel des auditeurs effectué.” La supervision d'une mission consiste à :
suivre l'avancement de la mission ;
prendre en considération la compétence et la capacité des équipes ;
vérifier la bonne compréhension des instructions par les équipes, notamment dans le
programme de travail ;
s'assurer que les travaux sont menés conformément à la démarche définie et aux procédures
d'audit ;
modifier le cas échéant la démarche prévue initialement dans le programme de travail, en cas de
problèmes importants.
La supervision de la mission d'audit doit être un exercice permanent. En tant que chef de mission et/ou
de directeur de l'audit, vous allez organiser des points réguliers avec l'équipe d'auditeur et revoir tous
les livrables clés de la mission d'audit avant leur communication.
17
Superviser des Tests d'Audit
Dans le cadre de la phase d'investigation, je vous propose de nous focaliser sur la supervision des tests
d'audit. À ce titre, c'est le chef de mission, ou bien le directeur de l'audit s'il remplace ce dernier, qui en
a la charge et la responsabilité.
Pour ce faire, il existe un outil très simple à mettre en place, à partir de la grille d'audit : les fiches de
tests.
Qu'est-ce qu'une fiche de tests ?
L'auditeur décrit et documente les résultats des tests d'audit sous la forme d'une fiche, afin de de
constituer une preuve suffisante, fiable et pertinente de ses travaux.
La fiche de test doit contenir au minimum :
le nom de l'auditeur qui réalise le test ;
la date de réalisation du test ;
la source des informations utilisées pour réaliser le test ;
les résultats intermédiaires permettant d'aboutir à la conclusion ;
la conclusion du test.
Dans la plupart des cas, elle se trouve dans le même classeur (ou fichier Excel) que la grille d'audit ; un
onglet correspond à une fiche de tests et une fiche de test correspond à un contrôle ou à un objectif
d'audit à tester, issu de la grille.
Grâce aux fiches de tests, le chef de mission et/ou le directeur de l'audit pourront vérifier que
tous les objectifs de la grille d'audit ont bien été testés en bonne et due forme.
Pour vous fournir un exemple de fiche de tests, revenons à l'audit des accès au système comptable,
comme l'illustre la figure.
La grille d'audit comporte six activités de maîtrise des risques attendues et treize objectifs d'audit ; il y
aura donc treize fiches de tests à formaliser sous cette forme très détaillée, qui pourra être téléchargée
au format Excel depuis moodle aussi. Cette fiche de test comporte deux grandes parties.
18
Superviser des Tests d'Audit
Dans un second temps, les deux étapes de réalisation du test qui sont :
les tests de conception : pour chaque document collecté, l'auditeur va vérifier les contrôles
formalisés et décrire précisément ce qu'il a effectué. Il va également donner son avis sur cette
étape du test de conception. S'il a bien trouvé ce qu'il attendait, l'étape de test sera “réussie” ;
dans le cas contraire, elle sera en “échec” ;
les tests d'efficacité : dans l'exemple communiqué, cette étape ne s'applique pas, étant donné
qu'il s'agit d'une revue documentaire. En revanche, elle s'applique dans des cas de tests
nécessitant un échantillonnage.
Les fiches de tests sont des documents de travail réalisés dans le cadre de la mission. Cela ne signifie
pas que vous ne devez pas les partager. À la fin des tests d'audit, votre référentiel d'audit doit être
entièrement complété.
Il vous est recommandé de communiquer le résultat des tests avec les audités après la revue de la
fiche de test par le responsable de la mission.
Vous pourrez ainsi expliquer votre méthode de travail, qui a permis de conclure sur le caractère
satisfaisant ou non des dispositifs de contrôle. Les audités, quant à eux, auront la possibilité de vous
fournir des compléments d'information.
Vous rentrez ainsi dans la phase de validation, qui est primordiale et parfois oubliée. Il s'agit de mettre
en œuvre une démarche contradictoire, pour donner l'opportunité aux audités de revenir sur certaines
observations et recommandations.
Résumons Rappel
19
Faites Valider les Résultats IV
Démarche Méthode
Les contrôles recensés dans le référentiel d'audit ont fait l'objet de tests d'audit par vos collaborateurs
ou par vous-même. Ce référentiel complété est le résultat de l'évaluation des dispositifs de contrôle
interne, qui constitue une preuve suffisante, fiable et pertinente de ces travaux.
Vous avez renseigné la colonne “recommandation”. Dans la suite, l'on vous propose des bonnes
pratiques pour mieux formuler vos propositions d'amélioration.
Après avoir réalisé les tests de conception et d'efficacité, vous devez identifier les raisons pour
lesquelles le contrôle n'est pas mis en œuvre de manière satisfaisante. Vous allez élaborer des mesures
correctives.
20
Faites Valider les Résultats
Dans un premier temps, afin de remédier de façon durable au dysfonctionnement, c'est-à-dire l'écart
entre ce qui est attendu et la situation constatée, l'auditeur doit en analyser en profondeur les
raisons. La qualité de cette analyse des causes se répercutera sur la qualité des recommandations.
Autrement dit, vous allez expliquer selon vous et de façon factuelle, “pourquoi” le dysfonctionnement
a eu lieu. Vous devez disposer de preuves suffisantes pour argumenter les causes.
Dans un deuxième temps, vous allez élaborer la recommandation, qui est l'expression d'une mesure
qui vise à renforcer la conception ou l'efficacité du contrôle.
Il se peut que pour corriger un dysfonctionnement donné, il existe plusieurs solutions. Le choix de la
mesure corrective qui fera l'objet de la recommandation sera déterminé en fonction du coût, de la
rapidité et de la facilité de mise en œuvre.
Par exemple, dans le cadre du test de conception, le contrôle attendu est mentionné, mais il n'est pas
décrit précisément dans la procédure. Il peut s'agir d'une validation du management qui est requise
pour la création d'un compte utilisateur dans un système.
Dans le cadre du test d'efficacité, vous avez sélectionné une vingtaine de demandes de création de
compte utilisateur. 50 % des demandes de votre échantillon n'ont pas été validées par un manager.
Dans 30 % des cas, la validation a été transmise par mail, dans 20 % des cas restants, le manager a
signé sur le formulaire de demande de création de compte utilisateur :
dans cet exemple, le contrôle attendu est le suivant : “les procédures doivent être établies pour
s'assurer que les actions relevant de l'ouverture, de la modification et de la fermeture des
comptes utilisateurs sont réalisées au moment opportun”. Ce contrôle permet de maîtriser le
risque qu'une “personne non autorisée accède au système et utilise, diffuse, endommage ou
détruise des données” ;
le dysfonctionnement que vous avez constaté est que la moitié des demandes de création de
compte utilisateur ne respecte pas la procédure, puisqu'elles n'ont pas été validées par le
management ;
la cause est le manque de précision sur la validation de la demande de création de compte dans
la procédure, puisqu'elle est seulement mentionnée. C'est pourquoi la validation a pris plusieurs
formes : la validation par mail et la validation sur le formulaire ;
les mesures correctives que vous pouvez proposer sont les suivantes :
la mise à jour de la procédure, en précisant que la validation du management se fait par
mail ;
la mise à jour du formulaire, en intégrant un nouveau champ permettant au management
de valider la demande et la mise à jour de la procédure ;
la mise en œuvre d'un workflow automatique, qui enverra directement un mail au
manager, afin qu'il clique sur un lien pour valider une demande de création de compte
utilisateur ;
le coût d'implémentation et la complexité de la mise en œuvre de la troisième proposition,
puisqu'elle nécessite un développement dans le système, devront être évalués. La seconde
proposition semble beaucoup plus adaptée en fonction du triptyque coût, rapidité et facilité de
mise en œuvre.
21
Faites Valider les Résultats
Cette fiche synthétise l'opinion de l'audit interne sur la conception et le fonctionnement des contrôles
qu'il a audités. La fiche de constat peut contenir :
le référentiel : à savoir le contrôle attendu et le risque à couvrir ;
les constats et observations de l'auditeur, présentant les causes et les conséquences ;
la conclusion, qui peut prendre la forme d'une évaluation du risque, compte tenu du contrôle
réalisé, ou d'une échelle de satisfaction (non satisfaisant, satisfaisant) ;
la(les) recommandation(s) ou mesure(s) corrective(s) ;
les commentaires des audités.
Si vous choisissez de formuler la conclusion sous la forme d'une évaluation du risque, il vous faut (ou
des membres de votre équipe) une bonne connaissance du domaine d'analyse des risques. En
l'occurrence, vous allez réévaluer la criticité du risque brut en fonction de la conception et de
l'efficacité du contrôle qui a été constaté lors de l'audit. Vous obtiendrez ainsi la criticité nette du
risque. Ces fiches de constat constituent le corps du rapport d'audit.
Le rapport d'audit détaillé, à l'attention des audités, doit au minimum contenir les informations
suivantes :
l'objet de la mission d'audit, en rappelant le contexte et les objectifs ;
le périmètre de la mission (activités auditées, période, sites audités...) ;
les résultats : observations, conclusions, recommandations, plan d'action.
22
Faites Valider les Résultats
Une synthèse, à l'attention de votre direction et des parties prenantes, pourra être rédigée. Dans ce
cadre, le directeur de l'audit se prononce sur la maîtrise des risques et la bonne gestion, ou non, des
activités et des opérations sur le périmètre audité.
Cette synthèse contient :
les résultats de la mission d'audit ayant un impact sur l'ensemble de l'organisation et sur
l'atteinte des objectifs de l'entreprise ;
une opinion globale, positive ou négative, sur la capacité du domaine audité à maîtriser les
risques majeurs.
Cette synthèse peut être intégrée au rapport d'audit ou faire l'objet d'une note à part. Comme indiqué
à plusieurs reprises dans ce cours, il faut veiller à communiquer les résultats de l'audit, voire la
première version du rapport d'audit, aux différentes personnes que vous avez sollicitées et à leur
responsable. Vous rentrez ainsi dans la phase de validation.
Vos interlocuteurs pourront vous fournir des compléments d'information et de preuves à analyser. Le
cas échéant, les constats et recommandations seront reformulées. N'hésitez pas à faire valider par les
responsables du domaine audité la cohérence et la formulation définitive de l'ensemble des
observations d'audit.
À la suite de ces ajustements, vous disposerez d'une version quasiment finalisée du rapport d'audit. Ce
sera le résultat tangible de l'audit, qui pourra être partagé et communiqué au cours de la réunion de
clôture.
23
Faites Valider les Résultats
La phase de suivi intervient après l'audit, lorsque les recommandations ont été traduites par des plans
d'action à mettre en œuvre afin de maîtriser les risques et améliorer les dispositifs de contrôles, et in
fine aider à atteindre les objectifs de l'entreprise. Cette phase ne relève pas du champ de responsabilité
d'un directeur de l'audit, qui ne peut être juge et partie.
Notre cours s'achève ici. Comme vous pouvez le noter, l'audit est une discipline transversale,
qui demande une certaine polyvalence, avec de fortes compétences à la fois techniques et
fonctionnelles, des compétences également en stratégie et en management.
En matière de savoir-être, avoir des qualités relationnelles permet de rendre les missions plus
appréciables, car la communication à tous les niveaux hiérarchiques de l'entreprise est un
facteur clé de succès.
L'audit est loin de l'image de l'inspecteur austère et fermé. Pour améliorer les processus et
aider l'entreprise à atteindre ses objectifs stratégiques, l'audit doit être à l'image d'un juge,
intègre et neutre.
Pour conclure, nous ajouterons que l'audit a pour objectif de produire un service et donc de
satisfaire ses clients. Et les clients ne se résument pas à la direction générale et aux parties
prenantes. Les clients de la fonction d'audit s'étendent à toute l'entreprise, puisque c'est elle qui
bénéficie du service. En d'autres termes, les audités sont les clients que l'audit doit chercher à
satisfaire, en leurs proposant notamment des recommandations utiles et pertinentes.
Votre volonté de servir et votre sens du service seront donc des atouts pour mener vos
missions d'audit avec succès. Pensez bien à soigner la première impression et la dernière
impression que vous laisserez !
24
Mentions légales
25