Collectez les informations et les preuves d'audit

Bienvenue sur l’école 100% en ligne des métiers qui ont de l’avenir.

Bénéficiez gratuitement de toutes les fonctionnalités de ce cours (quiz, vidéos, accès illimité à tous
les chapitres) avec un compte.

Créer un compte ou se connecter

Vous êtes manager ou responsable d’une équipe d’auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l’audit. Vous êtes donc un chef d’orchestre qui doit s’assurer de la
bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.

Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la taille
de votre entreprise, ou de la disponibilité de votre équipe d’auditeurs.

Dans cette dernière partie du cours, je propose des méthodes et outils à la fois pour réaliser et pour
superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les méthodes et vous
assurer de la mise en œuvre des bonnes pratiques d’audit.

Pour commencer, je vais vous présenter la démarche générale de collecte d’information et de

preuve. Ce sera également l’occasion pour vous de (re)découvrir les différents outils d'audit.

Préparez le dossier de la mission d’audit

Avant de partir à la recherche d’informations et de preuves, je vais vous donner quelques astuces
pour gérer les informations et documents que vous avez collectés, ou que vous allez produire.

Selon les normes 2330.A1, 2330.A2 et 2330.C1 “Documentation des informations”, le responsable de
l’audit interne doit :

 "[...] contrôler l’accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l’accord de la
direction générale et/ou l’avis d’un juriste avant de communiquer ces dossiers à des parties
extérieures.

 Arrêter des règles en matière de conservation des dossiers de la mission et ce, quel que soit
le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations
définies par l’organisation et avec les exigences réglementaires ou toute autre exigence
pertinente.

 Définir des procédures concernant la protection et la conservation des dossiers de la mission

de conseil ainsi que leur diffusion à l’intérieur et à l’extérieur de l’organisation. Ces
procédures doivent être cohérentes avec les orientations définies par l’organisation et avec
les exigences réglementaires ou toute autre exigence pertinente.”
Compte tenu de la volumétrie des documents et de l'analyse de nombreuses données, sous format
papier ou électronique, il convient d'être rigoureux quant à la conservation des documents fournis
par des audités et de ceux produit par l’équipe d’audit.

Les documents doivent être classés de manière claire et compréhensible, et référencés afin d’être
très facilement identifiés. Pour ce faire, je vous recommande très en amont et au fil de l’eau de les
identifier, de normer leur conservation et de définir les modalités d’accès.

La création d’un répertoire partagé d’audit

En tant que chef de mission ou responsable, vous devez vous assurer que toute la documentation
liée à la mission d’audit est bien accessible dans le dossier de la mission d’audit. Ce dossier peut être
situé dans un répertoire partagé contenant tous les documents collectés et les travaux réalisés.

La mise en place d’un répertoire partagé sur un réseau requiert une gestion rigoureuse des accès et
des droits utilisateurs. Au minimum, tous les membres de votre équipe, ainsi que votre responsable,
doivent avoir accès à ce répertoire.

Vous pouvez mettre à disposition des modèles des principaux livrables d’un audit sur ce réseau. Dans
une logique d’amélioration continue, vous pouvez stocker les anciens modèles dans un dossier
“OLD”.

Le nommage des documents

Si vous avez plusieurs missions d’audit à gérer en même temps, vous pouvez instaurer
une convention de nommage des documents.

Par exemple Référence de la mission d’audit_Année_Nomdocument_Statut.

La référence de la mission d’audit est à reprendre du plan d’audit.

L’année est celle où a lieu la mission.

Le nom du document peut être “lettre de mission”, “référentiel d’audit”, “programme de travail”,
“compte rendu d’entretien”, etc.

Le statut peut être nécessaire pour indiquer la version en cas d’aller-retour sur un document, voire
pour signaler qu’il a bien été validé.

Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :

 « Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités ;

 « Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s’incrémentant de manière chronologique ;

 « Com » lorsque la version est communiquée officiellement, notamment pour un support de

réunion ;

 « Def » lorsque le document est validé.

La conservation des documents collectés

Ne vous sentez pas obligé de conserver dans le dossier d’audit TOUS les documents transmis par les
interlocuteurs : seuls les documents et pièces participant aux travaux de vérification et effectivement
utilisés dans le cadre des tests d’audits doivent être conservés.
Choisissez un moyen de conservation :

 en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les documents
de travail en format électronique devront être imprimés ;

 ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas, tous
les documents en format papier devront être scannés.

Je vous conseille plutôt la conservation électronique pour plus de facilité et pour limiter les impacts
environnementaux.

Partez à la collecte d’informations et de preuves

Comment collecter les informations et constituer des preuves d’audit ?

La réunion de lancement est terminée et votre audit est lancé. La phase d’investigation commence.
Vous avez défini dans le cadre du programme de travail les procédures d’audit pour vérifier les
activités de maîtrise des risques.

À ce titre, vous avez prévu de réaliser des tests d’audit au moyen d'outils tels que des questionnaires,
des entretiens, des observations, des revues documentaires, des analyses de données, etc.

Votre objectif est d’obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les
risques ou non. Vous devrez également vous assurer de la qualité, c’est-à-dire la pertinence, la
fiabilité et la quantité suffisante des preuves collectées.

Dans la grille d’audit que je vous ai proposée dans le chapitre précédent, vous allez compléter les
quatre colonnes de la partie “évaluation”.

La démarche est ainsi réalisée en quatre grandes étapes :

1. Réaliser les tests d’audit et collecter les preuves : vous allez décrire l’AMR sur la base des
informations qui vous ont été fournies.

2. Documenter les tests d’audit : vous précisez les preuves collectées et/ou que vous avez
constituées.

3. Évaluer les résultats des tests d’audit : dans la colonne “observations”, vous décrivez les résultats
obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs d’évaluer la
capacité des dispositifs de contrôle à maîtriser les risques ou non :

 Le contrôle existe-t-il ?

 Le contrôle fonctionne-t-il correctement (tel que conçu) ? Le contrôle permet-il de maîtriser

les risques, en réduisant sa probabilité d’occurrence ou les impacts ?

 Le contrôle est-il efficace et permet-il au processus d’atteindre ses objectifs ?

 Le contrôle est-il efficient et permet-il au processus d'atteindre ses objectifs tout en

optimisant l'utilisation des ressources ?
4. Élaborer une conclusion : vous allez conclure si le test répond ou non à l’objectif d’audit.

Un point fort est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :

 est bien conçu, c’est-à-dire qu’il est réalisé correctement, conformément aux procédures
et/ou à la réglementation ;

 fonctionne correctement (tel que conçu) ;

 permet de maîtriser les risques sous-jacents à un niveau acceptable ;

 permet au processus d’atteindre ses objectifs.

Un dysfonctionnement est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :

 n’est pas bien conçu ;

 ne fonctionne pas correctement (tel que conçu) ;

 ne permet pas de maîtriser les risques sous-jacents à un niveau acceptable ;

 ne permet pas au processus d’atteindre ses objectifs.

De la théorie à la pratique

Je vous ai présenté la démarche pour élaborer un référentiel d’audit sans vous fournir un exemple
concret. Je vous propose donc, dans cette section, d’illustrer cette démarche avec un cas standard
dans les systèmes d’information.

Votre direction vous demande de réaliser un audit “flash” des accès de l’application comptable et
financière avant l’arrivée des commissaires aux comptes. Les objectifs de l’audit sont de s’assurer
que la sécurité logique de l’application est maîtrisée et qu'il n’y a pas de risques de fraude. Vous
n’avez que très peu de temps et aucune ressource.

Vous allez donc devoir concevoir une grille d’audit compte tenu de ces contraintes.

Pour ce faire, je vous propose de réaliser des tests d’audit des contrôles généraux informatiques
(GCTI ou ITGC). Les contrôles généraux informatiques s’appliquent à tous les composants, processus
et données des SI d’une entreprise. Si ces contrôles ne sont pas mis en œuvre, ou ne fonctionnent
pas correctement, l’entreprise ne pourra pas se fier aux SI pour gérer les risques.

Les ITGC les plus courants sont regroupés en quatre domaines :

 les contrôles de sécurité logique pour les accès aux applications et aux données ;

 les contrôles de sécurité physique pour les accès aux sites d’hébergement des serveurs et les
infrastructures ;

 les contrôles sur la gestion des changements et des incidents dans les applications ;

 les contrôles de l’exploitation, y compris la sauvegarde et la restauration des systèmes et

des données.

Dans le cadre de cet audit, nous ne nous focaliserons que sur le premier domaine concernant la
sécurité logique (document Excel en téléchargement avec les sous-domaines, les risques, les objectifs
d'audit).
Comme vous le remarquerez, les objectifs d’audits peuvent être nombreux pour vérifier un contrôle.
Ces objectifs ont été détaillés afin de s’assurer que les tests d’audit à réaliser permettront de vérifier
que les contrôles attendus sont bien réalisés et efficaces.

Afin de réaliser vos tests d’audits, vous allez devoir demander un certain nombre de documents, que
vous identifierez pour contrôle à tester. Vous allez également organiser au moins un entretien avec
le responsable de l’application comptable.

En résumé :

 réfléchissez et mettez en place une stratégie de conservation et d’archivage des documents

d’audit ;

 la collecte et la constitution de preuves d’audit se fait en quatre étapes, en complétant votre

grille d’audit :

o réaliser les tests d’audit au moyen d’outils que nous verrons dans le prochain
chapitre, et collecter les preuves,

o documenter les tests d’audit,

o évaluer les résultats des tests d’audit,

o élaborer une conclusion.

Dans le chapitre suivant, je vous présenterai des outils pour réaliser les tests d’audit et pour les
documenter.