Académique Documents
Professionnel Documents
Culture Documents
Bienvenue sur l’école 100% en ligne des métiers qui ont de l’avenir.
Bénéficiez gratuitement de toutes les fonctionnalités de ce cours (quiz, vidéos, accès illimité à tous
les chapitres) avec un compte.
Vous êtes manager ou responsable d’une équipe d’auditeurs, ou bien vous avez fait appel à un
prestataire externe pour réaliser l’audit. Vous êtes donc un chef d’orchestre qui doit s’assurer de la
bonne exécution du programme de travail, et plus globalement du bon déroulement des audits.
Néanmoins, vous pouvez également être amené à réaliser vous-même un audit en raison de la taille
de votre entreprise, ou de la disponibilité de votre équipe d’auditeurs.
Dans cette dernière partie du cours, je propose des méthodes et outils à la fois pour réaliser et pour
superviser les audits. Vous pourrez ainsi coacher les auditeurs, leur expliquer les méthodes et vous
assurer de la mise en œuvre des bonnes pratiques d’audit.
Avant de partir à la recherche d’informations et de preuves, je vais vous donner quelques astuces
pour gérer les informations et documents que vous avez collectés, ou que vous allez produire.
Selon les normes 2330.A1, 2330.A2 et 2330.C1 “Documentation des informations”, le responsable de
l’audit interne doit :
"[...] contrôler l’accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l’accord de la
direction générale et/ou l’avis d’un juriste avant de communiquer ces dossiers à des parties
extérieures.
Arrêter des règles en matière de conservation des dossiers de la mission et ce, quel que soit
le support d’archivage utilisé. Ces règles doivent être cohérentes avec les orientations
définies par l’organisation et avec les exigences réglementaires ou toute autre exigence
pertinente.
Les documents doivent être classés de manière claire et compréhensible, et référencés afin d’être
très facilement identifiés. Pour ce faire, je vous recommande très en amont et au fil de l’eau de les
identifier, de normer leur conservation et de définir les modalités d’accès.
En tant que chef de mission ou responsable, vous devez vous assurer que toute la documentation
liée à la mission d’audit est bien accessible dans le dossier de la mission d’audit. Ce dossier peut être
situé dans un répertoire partagé contenant tous les documents collectés et les travaux réalisés.
La mise en place d’un répertoire partagé sur un réseau requiert une gestion rigoureuse des accès et
des droits utilisateurs. Au minimum, tous les membres de votre équipe, ainsi que votre responsable,
doivent avoir accès à ce répertoire.
Vous pouvez mettre à disposition des modèles des principaux livrables d’un audit sur ce réseau. Dans
une logique d’amélioration continue, vous pouvez stocker les anciens modèles dans un dossier
“OLD”.
Si vous avez plusieurs missions d’audit à gérer en même temps, vous pouvez instaurer
une convention de nommage des documents.
Le nom du document peut être “lettre de mission”, “référentiel d’audit”, “programme de travail”,
“compte rendu d’entretien”, etc.
Le statut peut être nécessaire pour indiquer la version en cas d’aller-retour sur un document, voire
pour signaler qu’il a bien été validé.
Le statut du document est mis à jour au fur et à mesure des relectures. Voici quelques exemples :
« Projet » lors de son envoi pour relecture de la part du chef de mission et/ou des audités ;
« Projet2 » lors du deuxième renvoi, dans le cas où des modifications sont demandées, le
numéro s’incrémentant de manière chronologique ;
Ne vous sentez pas obligé de conserver dans le dossier d’audit TOUS les documents transmis par les
interlocuteurs : seuls les documents et pièces participant aux travaux de vérification et effectivement
utilisés dans le cadre des tests d’audits doivent être conservés.
Choisissez un moyen de conservation :
en format papier dans un classeur. Dans ce cas, tous les documents reçus ou les documents
de travail en format électronique devront être imprimés ;
ou en format électronique dans le dossier de mission sur le réseau partagé. Dans ce cas, tous
les documents en format papier devront être scannés.
Je vous conseille plutôt la conservation électronique pour plus de facilité et pour limiter les impacts
environnementaux.
La réunion de lancement est terminée et votre audit est lancé. La phase d’investigation commence.
Vous avez défini dans le cadre du programme de travail les procédures d’audit pour vérifier les
activités de maîtrise des risques.
À ce titre, vous avez prévu de réaliser des tests d’audit au moyen d'outils tels que des questionnaires,
des entretiens, des observations, des revues documentaires, des analyses de données, etc.
Votre objectif est d’obtenir des preuves sur la capacité des dispositifs de contrôle à maîtriser les
risques ou non. Vous devrez également vous assurer de la qualité, c’est-à-dire la pertinence, la
fiabilité et la quantité suffisante des preuves collectées.
Dans la grille d’audit que je vous ai proposée dans le chapitre précédent, vous allez compléter les
quatre colonnes de la partie “évaluation”.
1. Réaliser les tests d’audit et collecter les preuves : vous allez décrire l’AMR sur la base des
informations qui vous ont été fournies.
2. Documenter les tests d’audit : vous précisez les preuves collectées et/ou que vous avez
constituées.
3. Évaluer les résultats des tests d’audit : dans la colonne “observations”, vous décrivez les résultats
obtenus à la suite de vos tests. Les questions ci-dessous permettront aux auditeurs d’évaluer la
capacité des dispositifs de contrôle à maîtriser les risques ou non :
Le contrôle existe-t-il ?
Un point fort est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :
est bien conçu, c’est-à-dire qu’il est réalisé correctement, conformément aux procédures
et/ou à la réglementation ;
Un dysfonctionnement est identifié lorsque le résultat d’un test d’audit montre qu’un contrôle :
De la théorie à la pratique
Je vous ai présenté la démarche pour élaborer un référentiel d’audit sans vous fournir un exemple
concret. Je vous propose donc, dans cette section, d’illustrer cette démarche avec un cas standard
dans les systèmes d’information.
Votre direction vous demande de réaliser un audit “flash” des accès de l’application comptable et
financière avant l’arrivée des commissaires aux comptes. Les objectifs de l’audit sont de s’assurer
que la sécurité logique de l’application est maîtrisée et qu'il n’y a pas de risques de fraude. Vous
n’avez que très peu de temps et aucune ressource.
Vous allez donc devoir concevoir une grille d’audit compte tenu de ces contraintes.
Pour ce faire, je vous propose de réaliser des tests d’audit des contrôles généraux informatiques
(GCTI ou ITGC). Les contrôles généraux informatiques s’appliquent à tous les composants, processus
et données des SI d’une entreprise. Si ces contrôles ne sont pas mis en œuvre, ou ne fonctionnent
pas correctement, l’entreprise ne pourra pas se fier aux SI pour gérer les risques.
les contrôles de sécurité logique pour les accès aux applications et aux données ;
les contrôles de sécurité physique pour les accès aux sites d’hébergement des serveurs et les
infrastructures ;
les contrôles sur la gestion des changements et des incidents dans les applications ;
Dans le cadre de cet audit, nous ne nous focaliserons que sur le premier domaine concernant la
sécurité logique (document Excel en téléchargement avec les sous-domaines, les risques, les objectifs
d'audit).
Comme vous le remarquerez, les objectifs d’audits peuvent être nombreux pour vérifier un contrôle.
Ces objectifs ont été détaillés afin de s’assurer que les tests d’audit à réaliser permettront de vérifier
que les contrôles attendus sont bien réalisés et efficaces.
Afin de réaliser vos tests d’audits, vous allez devoir demander un certain nombre de documents, que
vous identifierez pour contrôle à tester. Vous allez également organiser au moins un entretien avec
le responsable de l’application comptable.
En résumé :
o réaliser les tests d’audit au moyen d’outils que nous verrons dans le prochain
chapitre, et collecter les preuves,
Dans le chapitre suivant, je vous présenterai des outils pour réaliser les tests d’audit et pour les
documenter.