Embed Size (px)
Citation preview
Audit en continu :Coordonner l’audit et le contrôle en continu
pour fournir une assurance continue
2ème édition
Mars 2015 - ISBN : 978-2-915042-71-9
Copyright © 2013 par l’Institute of Internal Auditors, 247 Maitland Ave., Altamonte Springs, Floride, 32701-4201,États-Unis. Tous droits réservés. Imprimé aux États-Unis. Aucune partie de cette publication ne peut être reproduite,stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électro-nique, mécanique, reprographie, enregistrement ou autre) sans autorisation écrite préalable de l’éditeur.
L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des informations, maisne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit,par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comp-tables, il convient de recourir à l’assistance de professionnels.
GTAG – Table des matières
3
RÉSUMÉ .......................................................................................................................................................... 4
INTRODUCTION ........................................................................................................................................... 6
CADRE DE RÉFÉRENCE DE L'ASSURANCE CONTINUE ....................................................................... 9
CADRE OPTIMISÉ DE L'ASSURANCE CONTINUE ............................................................................... 13
APPLICATIONS PRATIQUES DE L'AUDIT EN CONTINU .................................................................... 15
MISE EN ŒUVRE DE L'AUDIT EN CONTINU ........................................................................................ 18
ANNEXE – ÉTUDES DE CAS ...................................................................................................................... 25
AUTEURS, RELECTEURS ET CONTRIBUTEURS ..................................................................................... 34
GTAG – Résumé
4
Résumé
L’environnement réglementaire en constante évo-lution, la mondialisation, l’amélioration des opé-rations dictée par la pression des marchés etl’évolution rapide des conditions d’exploitationsuscitent des besoins d'audit en continu, tant pourles données financières qu'opérationnelles. Grâceà de tels programmes, l'audit interne est enmesure d'apporter aux organes de gouvernanceune assurance continue sur l'efficacité descontrôles et de la gestion des risques.
L'audit en continu se fonde sur des évaluationscontinues des risques et des contrôles. Celles-cis’appuient sur les SI et sur un nouveau paradigmequi ne cantonne pas l’audit uniquement à des éva-luations périodiques des risques et des contrôles,à partir d’un échantillon de transactions, maisprend également en compte des évaluations per-manentes qui couvrent un plus grand nombre detransactions. L'audit en continu repose sur l'ana-lyse de sources d'informations susceptibles demettre en lumière des valeurs hors normes(outliers) dans les systèmes. Ces sources incluentla surveillance des niveaux de sécurité, des accèsou des incidents, des données non structurées, desévolutions des configurations SI, des contrôlesapplicatifs et des contrôles relatifs à la séparationdes tâches.
Grâce à l'audit en continu, les services d'auditinterne peuvent améliorer leur efficience demanière significative et enrichir leurs points devue. Les étapes clés de la mise en œuvre de l'auditen continu sont les suivantes :
1. Établir une stratégie d'audit en continu.
2. Recueillir des données pour une utilisationrégulière.
3. Élaborer des indicateurs d'audit en continu(évaluations continues des risques et descontrôles).
4. Communiquer et gérer les résultats.
Néanmoins, pour tirer pleinement profit d’un pro-gramme d'audit en continu, il est nécessaire de lecoordonner avec les programmes de contrôle encontinu exécutés par les fonctions opérationnelleset de contrôle.
Dans l'idéal, les organisations appliquent un cadrede contrôle et de gestion des risques sous-tendupar trois lignes de maîtrise1. La première ligne demaîtrise regroupe les managers opérationnels quiendossent et gèrent les risques. La deuxième lignede maîtrise comprend notamment des fonctionsde gestion des risques et de conformité qui exer-cent une surveillance des risques. La troisièmeligne de maîtrise correspond quant à elle à l'auditinterne, qui fournit une assurance objective surl'efficacité de la gouvernance, de la gestion desrisques et du contrôle interne. Le contrôle encontinu correspond aux travaux réalisés en perma-nence par les 1re et 2e lignes de maîtrise pour veillerà ce que les politiques, procédures et processusfonctionnent efficacement. Cela suppose d’iden-tifier les objectifs des contrôles et les assertionsapplicables et d’instaurer des tests automatiséspour mettre en évidence les activités et les trans-actions non conformes aux normes fixées. L'auditinterne peut apporter une assurance continue àl'organisation en réalisant des tests récurrents surle contrôle en continu, en parallèle de ses activitésd'audit en continu.
L'audit en continu peut s'appliquer lors de l'éla-boration du plan d'audit, en appui à une missiond'audit donnée ou dans le cadre du suivi deconstats d’audit. Les responsables de l'auditinterne devraient être conscients que l’audit encontinu va transformer la nature des preuves, lagestion du temps, les procédures et le niveau d’im-plication des auditeurs internes. En coordonnantl'audit en continu, le contrôle en continu et lestests s'y appliquant, l'audit interne et le manage-ment peuvent maximiser leurs retours sur inves-tissements, atteindre leurs objectifs de conformitéet améliorer la performance et la compétitivité del'organisation.
1 Prise de position de l'IIA, Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficaces.
GTAG – Résumé
5
Une telle coordination se traduit par une notifica-tion en temps utile des écarts et carences observésdans les dispositifs de contrôle et de gestion desrisques. Elle instaure en outre un environnementpropice à une mise en œuvre, en temps opportun,des procédures de suivi et de traitement. Coordon-ner l'audit en continu et le contrôle en continupeut permettre à l'organisation d'améliorer sacompréhension globale des données, des risqueset des contrôles. L'audit interne sera ainsi pleine-ment en mesure d'apporter une assurance conti-nue efficace à la direction générale et au Conseil.
GTAG – Introduction
6
Introduction
Traditionnellement, l'audit interne évalue l'effica-cité du contrôle interne et de la gestion des risquesde manière rétrospective et teste les contrôles surune base cyclique, souvent plusieurs mois après laréalisation des activités concernées. Deux facteursconduisent néanmoins à modifier cette approche :• L'organisation doit pouvoir suivre le rythmeauquel se déroulent les activités en répondantà temps à l'accélération des changements etaux risques émergents.
• Les progrès technologiques ont permis la miseen place d'évaluations continues des risques etdes contrôles.
Dans sa première édition intitulée Audit continu :répercussions sur l’assurance, le pilotage et l’évalua-tion des risques, ce guide pratique d’audit des tech-nologies de l’information (GTAG) se focalisait surle contrôle des données transactionnelles. Il éta-blissait en outre un parallèle entre l'audit encontinu et le référentiel de contrôle interne duCOSO (Committee of Sponsoring Organizations ofthe Treadway Commission). Cette deuxième éditionprésente l'audit en continu avec le prisme des troislignes de maîtrise pour une gestion des risques etun contrôle efficaces. Elle ne se focalise plus seu-lement sur des données transactionnelles, maiségalement sur d'autres données provenant de lasurveillance des niveaux de sécurité, des accès oudes incidents, des données non structurées, desévolutions des configurations SI, des contrôlesapplicatifs et des contrôles relatifs à la séparationdes tâches.
Pertinence de l'audit en continu
Dans beaucoup d'organisations, la direction géné-rale et le Conseil commencent à se lasser de laduplication et de la redondance, réelles ou per-çues, des revues des contrôles et de la gestion desrisques réalisées par les trois lignes de maîtrise.L'audit en continu peut y remédier en :• optimisant l'équilibre entre les revues effec-tuées par l'audit interne et celles réalisées parle management ;
• encourageant une utilisation plus efficientedes ressources de l'organisation ;
• réduisant le coût des évaluations et des pres-tations d'assurance concernant l'adéquationdes dispositifs de contrôle interne ;
• réalisant des évaluations continues des risqueset des contrôles ;
• notifiant, en temps opportun, les écarts et fai-blesses observés afin de favoriser des mesurescorrectives rapides ;
• donnant la flexibilité nécessaire pour hiérar-chiser les mesures de traitement ;
• favorisant une meilleure compréhension desperformances, des risques et de la conformité ;
• permettant à l'audit interne de fournir uneassurance continue sur les contrôles, lesrisques et les opportunités.
Lignes directrices de l'IIA
Les lignes directrices du Cadre de référence inter-national des pratiques professionnelles de l'auditinterne (CRIPP) relatives à l'audit et au contrôleen continu ainsi qu’à l'assurance continue sont lessuivantes :
Norme 1210 : CompétenceLes auditeurs internes doivent posséder lesconnaissances, le savoir-faire et les autres compé-tences nécessaires à l’exercice de leurs responsa-bilités individuelles. L’équipe d’audit interne doitcollectivement posséder ou acquérir les connais-sances, le savoir-faire et les autres compétencesnécessaires à l'exercice de ses responsabilités.
Norme 2010 : PlanificationLe responsable de l'audit interne doit établir unplan d’audit fondé sur les risques afin de définirdes priorités cohérentes avec les objectifs de l'or-ganisation.
Norme 2120 : Management des risquesL'audit interne doit évaluer l’efficacité des proces-sus de management des risques et contribuer àleur amélioration.
GTAG – Introduction
7
Norme 2130 : ContrôleL’audit interne doit aider l’organisation à mainte-nir un dispositif de contrôle approprié en évaluantson efficacité et son efficience et en encourageantson amélioration continue.
2130.A1 – L'audit interne doit évaluer la per-tinence et l'efficacité du dispositif de contrôlechoisi pour faire face aux risques relatifs augouvernement d'entreprise, aux opérations etsystèmes d'information de l'organisation.Cette évaluation doit porter sur les aspectssuivants :• l’atteinte des objectifs stratégiques de l’or-ganisation ;
• la fiabilité et l’intégrité des informationsfinancières et opérationnelles ;
• l'efficacité et l'efficience des opérations etdes programmes ;
• la protection des actifs ;• le respect des lois, règlements, règles, pro-cédures et contrats.
Norme 2320 : Analyse et évaluationLes auditeurs internes doivent fonder leursconclusions et les résultats de leur mission sur desanalyses et évaluations appropriées.
Modalité pratique d’application 2320-4 :Assurance continue
GTAG 14 : Auditing User-developed Applications(Audit des applications développées par desutilisateurs)
GTAG 16 : Data Analysis Technologies(Techniques informatisées d'analyse dedonnées)
Définitions des concepts clés
1re ligne de maîtrise – managers opérationnelsqui endossent et gèrent les risques.
2e ligne de maîtrise – fonctions qui exercent une
surveillance des risques (comme les fonctions degestion des risques et de conformité).
3e ligne de maîtrise – fonction d'audit interne quifournit une assurance indépendante.
Techniques d’audit assistées par ordinateur(CAAT ou Computer Assited Auditing Techniques)– techniques d’audit automatisées, comme leslogiciels d’audit généralisés, les logiciels utilitaires,les données de test, les outils de traçage logique etde cartographie de logiciels d’application, et lessystèmes experts d’audit, qui aident l’auditeurinterne à tester directement les contrôles intégrésdans les systèmes d’information informatisés et lesdonnées contenues dans les fichiers informatiques(Internal Auditing Assurance & Advisory Services, 3e
édition, Fondation de la Recherche de l'IIA2).
Configuration – paramètres de contrôle, niveauxde sécurité, paramètres et données de référencequi garantissent l'autorisation, l'exactitude etl'exhaustivité du traitement des transactions. Laconfiguration retenue a un impact sur les fonction-nalités, les performances et les contrôles automa-tisés des systèmes.
Assurance continue – activité réalisée par l'auditinterne, qui combine l'audit en continu et les testssur le contrôle en continu effectué par les 1re et 2e
lignes de maîtrise.
Audit en continu – combinaison d'évaluationscontinues des risques et des contrôles qui s'ap-puient sur les systèmes d’information. L'audit encontinu doit permettre à l'auditeur interne decommuniquer ses constats sur l'objet considérébien plus rapidement que dans le cadre de l'ap-proche rétrospective traditionnelle.
Contrôle en continu – processus exécuté par lemanagement, qui lui permet de vérifier en perma-nence si les dispositifs de contrôle interne fonc-tionnent efficacement (MPA 2320-4 : Assurancecontinue).
2 NdT : Version française, réalisée par l’IFACI, à paraître en 2015 chez Eyrolles.
GTAG – Introduction
8
Évaluation continue des contrôles – évaluationcontinue, d'une part, des dispositifs de contrôleinterne par rapport à un état de référence, et d'au-tre part, des changements de configuration ulté-rieurs, à l'aide de techniques d'audit informatisées.
Évaluation continue des risques – identificationet évaluation continues des risques susceptiblesd’avoir un impact sur la réalisation des objectifs, àl'aide de techniques d'audit informatisées.
Techniques d'audit informatisées – tout outild’audit automatisé tel que les logiciels d’auditgénéralisés, les générateurs de données de test, lesprogrammes d’audit informatisés, les utilitairesd’audit spécialisés et les techniques d’audit assis-tées par ordinateur (CAAT) (Normes internationalesde l'IIA pour la pratique professionnelle de l'auditinterne).
Données transactionnelles – flux dynamique dedonnées détaillées concernant généralement unprocessus ou une opération tel qu’une commande,une facture ou un paiement.
Données non structurées – données non res-treintes à un champ précis dans une feuille decalcul ou une base de données. Les données texte,audio, vidéo et multimédia sont des exemples dedonnées non structurées exploitables dans le cadrede l'application des techniques d'audit et decontrôle en continu.
Rôles et responsabilités
Pour exécuter et coordonner l'audit et le contrôleen continu et apporter une assurance continue, ilest nécessaire d’avoir une vision claire des rôles etresponsabilités de chacun (cf. Tableau 1).
RÔLE RESPONSABILITÉS
Responsablede l’audit interne
• Légitimer la réalisation des activités d'audit en continu en veillant à ce que les audi-teurs internes soient dotés des compétences nécessaires et possèdent les outils, lesdispositifs de sécurité des données et le budget suffisants.
• Sensibiliser les auditeurs internes, la direction générale et le Conseil sur les rôles etresponsabilités de l'audit interne et du management.
• Engager une stratégie pluri-annuelle pour obtenir un plus grand soutien de la partdes parties prenantes.
• Communiquer les résultats de l'évaluation de l'efficacité du contrôle en continu réa-lisée par l'audit interne.
Audit interne(3e ligne de maîtrise)
• Planifier l'audit en continu en lien avec les 1re et 2e lignes de maîtrise.• Réaliser l'audit en continu :
- Relier les analyses aux assertions et aux objectifs de l'organisation.- Relier les facteurs de risque et les activités de contrôle.- Apporter de la valeur ajoutée en tant que conseiller stratégique évaluant lesrisques émergents.
• Réaliser des tests d'audit sur le contrôle en continu.• Apporter une assurance continue en lien avec des objectifs d'audit tels que l'exhaus-tivité, l'exactitude et la sécurité.
• Maintenir des dispositifs efficaces de sécurité des données.
Management(1re et 2e lignes demaîtrise)
• Concevoir et réaliser le programme de contrôle en continu afin d'évaluer l'adéqua-tion et l'efficacité des dispositifs de contrôle et de gestion des risques.
• Exploiter les connaissances sur les processus et réagir face aux risques. Concevoir etmettre en œuvre les décisions du management concernant les causes premières oucauses racines (root causes).
• Agir plus rapidement.
Tableau 1 : Rôles et responsabilités dans le cadre de l'assurance continue
GTAG – Cadre de référence de l'assurance continue
9
Cadre de référence de l'assurance continue
Le cadre de référence de l'assurance continue englobe deux activités réalisées par l'audit interne : l'auditen continu et les tests d'audit sur le contrôle en continu. En tant que troisième ligne de maîtrise pour unegestion des risques et un contrôle efficaces, l'audit interne s'efforce d’identifier les points d’achoppementau sein du cadre de contrôle et, ainsi, fournit à l'organisation le degré d'assurance objective le plus élevépossible.
Audit en continu
Les évaluations des risques et des contrôles entrant dans le cadre de l'audit en continu sont réalisées àl'aide de techniques d'audit informatisées telles que des logiciels d’audit généralisés, des feuilles de calcul,des scripts élaborés à l’aide de logiciels d’audit spécialisés, des utilitaires d’audit spécialisés, des techniques
Figure 1 : Cadre de référence de l'assurance continue
Activités d'audit interne entrant dans le cadre de l'assurancecontinue :
• Tests d'audit sur les contrôles en continu réalisés par les 1re et 2e lignes de maîtrise• Audit en continu
3e ligne de maîtrise :L'audit interne fournit
une assuranceindépendante.
2e ligne de maîtrise :Des fonctions
(comme les fonctions de gestion des
risques et de conformité) exercent une surveillance
des risques.
1re ligne de maîtrise :Les managersopérationnels
endossent et gèrentles risques.
Audit encontinuvia des
techniquesinformatiséesd’évaluation
continuedes risques
et descontrôles
Contrôleen continu
Tests d'auditsur les contrôles
en continu réalisés par les 1re et 2e
lignes de maîtrise
GTAG – Cadre de référence de l'assurance continue
10
d’audit assistées par ordinateur, des progiciels pro-posés dans des solutions clé en main ou dévelop-pés sur mesure. Ces techniques doivent êtresouples et évolutives pour une optimisation effec-tive des éléments suivants :• Identification en temps opportun des excep-tions et des anomalies.
• Analyse des schémas (patterns) et des ten-dances.
• Analyse détaillée des transactions à l’aide deseuils de référence.
• Tests des contrôles.• Analyse comparative avec des situations simi-laires.
L'audit en continu est un moyen d'identifier lesindicateurs de risque et d'évaluer les paramètresde risque liés à des opérations SI, des applicationsSI et des processus métier, via l'analyse des sys-tèmes en termes de changements, de sécurité,d'incidents, de valeurs hors normes (outliers) et detransactions. Grâce à l'audit en continu, les audi-teurs internes sont davantage en mesure de s'ex-primer sur la disponibilité et l'utilité des données,de comprendre les contrôles applicatifs et d'opti-miser les processus opérationnels par le recours àl’automatisation. Lorsqu'il est déployé de manièreefficace, l'audit en continu :• met l'accent sur les assertions et les objectifsd'audit tels que l'exhaustivité, l'exactitude etl'autorisation, en vue de déterminer la fiabilitédes informations sur lesquelles s'appuient lesdécideurs ;
• permet de détecter les domaines de risqueémergents et les faiblesses des contrôles.
Selon le cadre de référence de l'assurance continue(cf. Figure 1), l'audit et le contrôle en continu nesont pas redondants, et le premier peut être réalisémême si le second n'existe pas dans les 1re et 2elignes de maîtrise. Toutefois, partout où il est pos-sible d'appliquer l'audit en continu, le contrôle encontinu est également envisageable. Il est possiblede formuler des observations ou des recomman-dations d'audit lorsqu'il existe des opportunités de
contrôle en continu mais que le management neles exploite pas.
Évaluations continues des risques etdes contrôles
Les évaluations continues des risques et descontrôles devraient être conçues de manière com-plémentaire afin de soutenir la démarche d'assu-rance et, potentiellement, de rallonger l'intervalleentre deux missions d'audit traditionnelles.
Évaluation continue des risques
L'évaluation continue des risques devrait com-prendre un examen des résultats du pilotage effec-tué par le management, notamment sur lesindicateurs avancés ou précurseurs3, les mesuresde performance, le contrôle qualité et la séparationdes tâches. Elle permet d'identifier et d'évaluer lesrisques en continu grâce à des techniques d'auditinformatisées. Celles-ci sont utilisées pour :• examiner et analyser les tendances et lesvaleurs hors normes (outliers) et procéder à descomparaisons, au sein d’un processus, par rap-port aux performances passées et par rapportaux autres processus et systèmes en place dansl’organisation ;
• corréler et analyser les valeurs hors normes(outliers) afin de montrer comment le manage-ment traite les risques et de donner une visionprospective des risques émergents ;
• mettre en évidence les expositions potentiellesà inclure dans le périmètre d'audit (de manièrepériodique et en temps réel) ;
• identifier les valeurs hors normes (outliers)dans les unités opérationnelles, les zones géo-graphiques ou les processus susceptibles d'êtreexposés à des risques accrus ou à des rythmesde changement inhabituels ;
• mettre en évidence les domaines où lescontrôles sont inexistants ou non réalisésconvenablement, ce qui incite les auditeursinternes à évaluer les contrôles de manièreplus approfondie dans certains domaines ;
3 NdT : Dans la suite du texte « leading indicators » sera traduit par indicateurs précurseurs. Il s’agit de signaux avant-coureurs ou avancés.
GTAG – Cadre de référence de l'assurance continue
11
• gérer les feuilles de calcul critiques pour lesmétiers et les autres applications développéespar des utilisateurs4 ;
• prévoir ou anticiper les risques du futur.
Les résultats de l'évaluation continue des risquesservent de point de départ pour le plan d'audit etles activités liées à l'évaluation continue descontrôles.
Évaluation continue des contrôles
L'évaluation continue des contrôles permet d'éva-luer en permanence, d'une part, les dispositifs decontrôle interne en fonction d'un état de réfé-rence, et d'autre part, les changements de confi-guration ultérieurs. Elle tient compte desinterdépendances entre les contrôles automatisés,les contrôles généraux informatiques et lescontrôles manuels (cf. Figure 2). Dans tous les cas,l'auditeur devrait rechercher les schémas (patterns)inhabituels ou les valeurs hors normes (outliers).Cette évaluation permet au responsable de l'auditinterne d’avertir rapidement le management desviolations ou des défaillances de contrôle.
L’évaluation continue des contrôles ne doit pasforcément être effectuée en temps réel. La fré-quence de l’analyse devrait dépendre du niveau derisque, du cycle des processus métier et du niveaude pilotage des contrôles par le management. Parexemple :• Les transactions par cartes de paiement pour-raient être analysées une fois par mois, àréception du relevé des transactions envoyépar l’établissement financier.
• La liste des salariés payés pourrait être testéeune fois par période de paie, au moment del'émission des transactions de paie.
• Les tests visant à détecter les factures et lespaiements en double pourraient être effectuéstous les jours.
• Les changements apportés aux contrôles auto-matisés sont plutôt rares et pourraient êtreexaminés, dans le cadre du cycle habituel demise à jour des SI.
• Les patchs appliqués au système d'exploitationpourraient être testés chaque trimestre.
Dans certains cas, un auditeur peut procéder auxtests initiaux puis confier le contrôle en continu aumanagement.
4 Pour de plus amples informations, voir le GTAG 14, Auditing User-developed Applications (Audit des applications développées par des utilisa-teurs).
Définir les objectifs de contrôle :• Autorisation• Exhaustivité• Exactitude
Déterminerles contrôles clés
Évaluer l’état de référence des contrôles(toujours actifs et réalisés) et les changements de configuration ultérieurs
Processus MétierObjectifs de contrôle
Contrôles (applicatifs) automatisés :• Changements• Sécurité• Incidents• Valeurs hors normes (outliers) et transactions
Contrôles généraux informatiques :• Base de données• Système d’exploitation• Réseau
Figure 2 : Évaluation continue des contrôles
GTAG – Cadre de référence de l'assurance continue
12
Les résultats de l'évaluation continue descontrôles, organisés par processus, devraient :• étayer les objectifs d'audit ; et• mettre en évidence :
- les conditions des contrôles clés, comme lescapacités en matière de sécurité ;
- les changements apportés aux contrôlesautomatisés.
Contrôle en continu
Le management devrait assumer et exécuter lecontrôle en continu. De nombreuses techniquesde contrôle en continu utilisées par le manage-ment sont analogues à celles qui sont déployéespar les auditeurs internes pour l’audit en continu.Les principes du contrôle en continu sont les sui-vants :• Objectif – tenir compte des objectifs de l'or-ganisation et des facteurs clés de succès.
• Risque – identifier les obstacles éventuels quipourraient menacer la réussite de l'organisa-tion.
• Traitement – rapprocher les diverses sourcesd'informations afin de détecter les risquesémergents et d’en corroborer l’existence (parexemple, les conditions paramétrables, leschangements, l’enregistrement des accès, lestransactions financières et les données nonstructurées).
• Calendrier – détecter en temps réel les pro-blèmes liés aux contrôles.
• Action – identifier les déficiences pour pren-dre des mesures correctives.
Déployé de manière efficace, le contrôle encontinu peut contribuer à :• identifier et résoudre rapidement les pro-blèmes liés aux contrôles ;
• réduire les impacts des erreurs et des fraudes ;• améliorer l’efficience opérationnelle ;• améliorer les résultats de l’activité grâce à lacombinaison des économies de coûts, laréduction des dépenses excessives et dumanque à gagner ;
• améliorer la satisfaction des clients grâce à unequalité et une intégrité accrues du serviceclient.
GTAG – Cadre optimisé de l'assurance continue
13
Cadre optimisé de l'assurance continue
Dans certains cas, les auditeurs internes peuvent apporter une aide stratégique aux fonctions qui endos-sent et gèrent les risques et les contrôles (1re ligne de maîtrise), ainsi qu'aux fonctions qui exercent unesurveillance sur ces risques et ces contrôles (2e ligne de maîtrise), en contribuant à l'établissement de pro-cessus de contrôle et de gestion des risques. Le processus d'assurance continue est optimisé lorsque, pourréaliser un contrôle en continu fiable et efficace face aux risques, les 1re et 2e lignes de maîtrise emploientdes techniques informatisées conçues par des auditeurs internes.
Le management peut adopter des techniques d'audit en continu dans le cadre de son contrôle en continu.En effet, audit en continu et contrôle en continu, tout comme les 2e et 3e lignes de maîtrise, peuvent pré-senter des redondances. Lorsque les techniques d'audit en continu sont transférées au management, ilconvient de veiller à ce que les auditeurs n’endossent pas la propriété du contrôle en continu, ce qui ris-querait de compromettre leur objectivité.
Figure 3 : Cadre optimisé de l'assurance continue
Activités d'audit interne entrant dans le cadre de l'assurancecontinue :
• Tests d'audit sur les contrôles en continu réalisés par les 1re et 2e lignes de maîtrise• Audit en continu
3e ligne de maîtrise :L'audit interne fournit
une assuranceindépendante.
2e ligne de maîtrise :Des fonctions
(comme les fonctions de gestion des
risques et de conformité) exercent une surveillance
des risques.
1re ligne de maîtrise :Les managersopérationnels
endossent et gèrentles risques.
Contrôleen continu
Tests d'auditsur les contrôles
en continu réalisés par les 1re et 2e
lignes de maîtrise
Audit encontinuvia des
techniquesinformatiséesd’évaluation
continuedes risques
et descontrôles
Transfert destechniques
d'audit en continu
GTAG – Cadre optimisé de l'assurance continue
14
Relation entre audit en continu etcontrôle en continu
Il existe une relation inversement proportionnelleentre l'audit en continu et le contrôle en continu.L'ensemble des trois lignes de maîtrise contri-buent à l’évaluation et au renforcement de l'effi-cacité des contrôles et de la gestion des risques.L'audit interne devrait ajuster le périmètre de sestravaux d'audit en continu en fonction du niveaud'adéquation et de cohérence du contrôle encontinu déployé par le management. Si les 1re et2e lignes de maîtrise n'ont pas déployé de contrôleen continu, ou si celui-ci manque de cohérence,l'audit interne devrait accroître en conséquenceses missions d'audit en continu (cf. Figure 4).
Dans les domaines où le management n’a pas misen œuvre de contrôle en continu, les auditeursdoivent procéder à des tests détaillés en recourantaux techniques d’audit en continu. Lorsque les 1reet 2e lignes de maîtrise procèdent à un contrôle encontinu exhaustif, d’un bout à l’autre des proces-
sus, il n'est pas forcément nécessaire que l’auditinterne déploie des techniques aussi détailléesqu’il ne le ferait dans le cadre de l’audit en continu.Les auditeurs pourront alors plutôt s’attacher àd’autres procédures afin de déterminer si lecontrôle en continu est fiable. De telles procédurescomprennent :• l’examen des anomalies détectées et de laréaction du management ;
• l'examen des mesures correctives décidées parle management ; et
• l’examen et le test des contrôles sur le proces-sus même de contrôle en continu, par exem-ple :- sécurité,- contrôle des changements,- opérations SI.
Ces procédures sont analogues aux vérifications etaux tests des contrôles généraux informatiqueseffectués durant le processus habituel d’évaluationde la fiabilité des techniques d’audit assistées parordinateur.
Figure 4 : Relation entre les démarches d'audit en continu et de contrôle en continu
1re et 2e lignes de maîtriseTravaux de contrôle en continu
Audit interne (3e ligne de maîtrise)Travaux d'audit en continu
Pilotage exhaustifdes dispositifs
de contrôle interne
Travaux accrus /ressources plus importantes
Pilotagesuccinct
descontrôles
Travauxréduits
GTAG – Applications pratiques de l'audit en continu
15
L'audit en continuen pratique
L'audit en continu vient en soutien aux activitéstout au long du processus d'audit. Il peut s'appli-quer lors de l'élaboration du plan d'audit, du sou-tien aux missions d'audit et de la vérification de lamise en œuvre des recommandations d’audit (cf.Figure 5). Par ailleurs, le responsable de l’auditinterne doit prendre en compte l’existence de fonc-tions de la 2e ligne de maîtrise (gestion des risques,conformité, déontologie et sécurité), qui sont étroi-tement liés à l’audit en continu. Les auditeursinternes doivent déterminer comment l’audit encontinu peut être utilisé pour évaluer ces fonctionset employer les informations qu’elles génèrent.
Élaboration du plan d’audit
Au cours de l'élaboration du plan d'audit, l'audit encontinu permet aux auditeurs d'instaurer et demaintenir un univers d'audit permettant de mieuxfaire face aux risques. Au lieu de planifier les auditsselon un cycle standard de rotation sur un, deux outrois ans, il convient de définir la fréquence desaudits en fonction des risques, ainsi que de la com-plexité, de l'omniprésence et de la vitesse des chan-gements. Grâce à l'audit en continu, les auditeursinternes sont en mesure d'identifier rapidementl’évolution des risques et de l’exposition potentielle.
Mise en œuvre de l'évaluation continue desrisques
Il convient d'utiliser les analyses de données pourétablir des indicateurs précurseurs qui permettentd’identifier les missions ou domaines spécifiquesdevant être inclus dans le plan d’audit. Sur la basede ces indicateurs, il est par exemple possible derecourir à l’évaluation continue des risques dansune mission concernant un large périmètre afin desélectionner les sites à visiter, de définir les objec-tifs d'audit et le champ de la mission, , ou pourdéclencher la revue immédiate des processusd’une entité dont le risque s’est significativementaccru de façon inexplicable.
Voici quelques exemples d’utilisation de l'évalua-tion continue des risques lors de l'élaboration duplan d'audit :• Développement de plans d’audit à un niveauplus stratégique et ajustements au gré del’évolution des profils de risque.
• Allocation de ressources d’audit peu nom-breuses et très spécialisées aux domaines pré-sentant des valeurs hors normes (outliers), etqui ont un niveau de risque plus élevé.
• Évaluation des activités de réduction desrisques mises en œuvre par le management.
• Détermination des points d’attention et desthèmes stratégiques pour l'univers d'auditinterne.
• Définition du périmètre et des objectifs desmissions d'audit.
Figure 5 : L'audit en continu selon les étapes du processus d'audit
Élaboration du plan d’audit
Identifier les indicateurs de risque.Évaluer les valeurs hors normes(outliers).Définir le périmètre, l'approche etle calendrier.
Évaluer les risques.Préciser le champ et les objectifsde la missionSélectionner des sites. Effectuer des inspections et desanalyses.
Déterminer si les recommanda-tions ont été mises en œuvre.Déterminer si les mesures correc-tives ont permis de réduire leniveau de risque.Définir un niveau de référence etcomparer les résultats.
En appui des missions d'auditSuivi des recommandations
AUDIT EN CONTINU
GTAG – Applications pratiques de l'audit en continu
16
La différence essentielle entre le recours à l’éva-luation continue des risques pour l’élaboration duplan d’audit, et son utilisation lors d’une missiond’audit, réside dans le niveau de granularité desinformations requises. Des informations agrégéesseront peut-être suffisantes pour identifier lesvaleurs hors normes (outliers) et réaffecter les res-sources lors de l'élaboration du plan d'audit. Acontrario, des informations plus détaillées pour-ront être nécessaires pour identifier les risques ettester les contrôles destinés à étayer le champ etles objectifs d'une mission d'audit.
Utilisation lors de missions d'audit
L'audit en continu peut être intégré au pro-gramme de travail des auditeurs ; les techniques yafférentes s'améliorent et s'affinent au cours desmissions. Les auditeurs conçoivent et modifientles techniques d'audit en continu au fur et àmesure qu'ils identifient des facteurs de risque. Ilsévaluent également les procédures analytiquesd'audit et les mesures correctives. Grâce à l'auditen continu, les auditeurs peuvent :• affiner le champ de la mission afin de mieuxmettre l'accent sur les zones à risque;
• réaliser des tests d'audit lorsque de simplescomparaisons ne permettent pas d’atteindrel'objectif d'audit ;
• identifier avec précision les indicateurs derisque et évaluer les contrôles critiques ;
• détecter les suspicions de fraude, de gaspillageet d’abus en identifiant les anomalies et lesvaleurs hors normes (outliers).
Les procédures analytiques d'audit et les tech-niques d'audit en continu diffèrent en termes depérimètre, de calendrier et d'objectif.
• En règle générale, les procédures analytiquesd'audit sont :- restreintes au périmètre et au calendrierd'une mission spécifique ;
- conçues pour améliorer la qualité d'unemission.
• Les techniques d'audit en continu, souvent
issues d'analyses et d'enseignements tirés demissions antérieures, sont appliquées demanière systématique et fréquente, sansnécessairement se limiter au périmètre et aucalendrier d'une mission d'audit spécifique.Elles permettent de rendre compte, en tempsopportun, des tendances, schémas (patterns) etvaleurs hors normes (outliers).
Mise en œuvre de l'évaluation continue desrisques
Lors d'une mission, l'évaluation continue desrisques permet de mieux comprendre le processusmétier étudié. Par exemple, dans le domaine descréances fournisseurs, l'examen des divers typesde paiement peut révéler que les virements (trans-ferts électroniques de fonds) et les chèques rédigésmanuellement sont traités par des services diffé-rents. Grâce à cette information, l'auditeur est enmesure de mieux comprendre le processus« créances fournisseurs » sur chaque site, et d'enévaluer les risques.
Mise en œuvre de l'évaluation continue descontrôles
Voici quelques exemples d’utilisation de l'évalua-tion continue des contrôles lors d'une missiond'audit :• Examen des données transactionnelles (parexemple en identifiant tous les paiementseffectués par carte de crédit supérieurs au pla-fond autorisé ou auprès de commerçants nonagréés).
• Évaluation des configurations :- Interrogation des systèmes afin de détermi-ner l'état des contrôles automatisés paramé-trables ;
- Examen des niveaux d'autorisation et descapacités d'accès.
• Évaluation des changements de programmeset de paramètres.
• Examen minutieux de la gestion des incidentset des erreurs.
• Examen des données agrégées (par exemplesur le total des transactions mensuelles destitulaires de carte qui dépassent 10 000 dollars,
GTAG – Applications pratiques de l'audit en continu
17
lorsque les titulaires n’appartiennent pas à lafonction achats).
• Analyse comparative (par exemple du total desheures supplémentaires payées par rapport àcelles effectuées par les autres salariés occu-pant un poste similaire, et du seuil permettantde repérer les heures supplémentaires exces-sives ou non autorisées).
• Test des soldes par compte du grand livregénéral (mettant en évidence les comptes dontle solde s’écarte de plus de 25 % de celui del’exercice précédent, afin de détecter des acti-vités inhabituelles, par exemple une augmen-tation des sorties de bilan).
• Test de conformité pour la gestion des fichesde données de sécurité actuelles concernantl'ensemble des substances achetées, stockées,fabriquées ou vendues.
Dans tous les cas, les auditeurs peuvent approfon-dir rapidement la question pour évaluer la causepotentielle des problèmes et prendre plus rapide-ment – voire plus facilement – les mesures néces-saires.
Suivi des constats de l'audit
Mise en œuvre de l'évaluation continue desrisques
Le recours à l'évaluation continue des risques pourvérifier la mise en œuvre des préconisations del'audit renforce l’amélioration continue et l’ac-croissement des performances. À l'issue d'unemission, les auditeurs peuvent recourir à l’évalua-tion continue des risques afin de déterminer sileurs recommandations ont été suivies et si lesmesures correctives produisent l’effet escompté.
Les plans d'action du management devraient pré-ciser les indicateurs de performance nécessairespour évaluer la réussite des mesures correctives. Ilserait alors plus facile de définir un niveau de réfé-rence et de comparer les résultats, avant et aprèsla mise en œuvre de la recommandation. Les audi-teurs devraient se coordonner avec le manage-
ment pour trouver des indicateurs appropriés qui,dans l'idéal, pourraient être évalués de manièresystématique.
GTAG – Mise en œuvre de l'audit en continu
18
Le séquencement des activités citées dans letableau 2 peut varier ; il peut être nécessaire deréaliser d'autres activités que celles énuméréeslorsque l'on développe l'audit en continu dans lecadre d'une mission d'audit particulière.
Établir une stratégie d'auditen continu
Le responsable de l'audit interne, dont les pou-voirs sont définis dans le cadre d'un mandat, d'une
mission ou d'une charte d'audit interne validé parles instances de gouvernance, devrait établir unestratégie d'audit en continu à court et long terme.Par exemple, une stratégie à court terme pourraitprévoir que l'audit en continu soit utilisé dans desaudits de conformité réglementaire. Toutefois, desavantages supplémentaires tels que la contributionà l’amélioration de la performance de l'organisa-tion peuvent avoir une importance tout aussigrande. Les principales activités sont décrites ci-après.
Mise en œuvre de l'audit en continu
Pour que sa mise en œuvre soit fructueuse, l’audit en continu nécessite du leadership, une gestion duchangement et une approche progressive partant des systèmes les plus critiques de l’organisation. Mêmesi chaque organisation est différente, il existe certaines activités communes qui devraient être soigneuse-ment planifiées et gérées lorsque le recours à audit en continu est envisagé (cf. Tableau 2).
PHASES CLÉS DE LA MISE EN ŒUVRE DE L'AUDIT EN CONTINU
1. ÉTABLIR UNE STRATÉGIE D'AUDIT EN CONTINU• Mettre en place une coordination avec les 1re et 2e lignes de maîtrise.• Fixer des priorités et obtenir le soutien du management.• Adapter le plan d'audit annuel afin de préciser les indicateurs d'audit en continu.
2. RECUEILLIR DES DONNÉES POUR UNE UTILISATION REGULIERE• Établir un accès systématique à l'environnement de production.• Développer des capacités d'analyse.• Renforcer le savoir-faire et les connaissances des auditeurs.• Évaluer la fiabilité des sources d’informations.• Préparer et valider les données.
3. ÉLABORER DES INDICATEURS D'AUDIT EN CONTINU
ÉVALUATION CONTINUE DES RISQUES• Développer des indicateurs de risque.• Concevoir des procédures analytiques pour
mesurer l'accroissement des niveaux de risque.
ÉVALUATION CONTINUE DES CONTRÔLES• Faire le lien avec les objectifs de contrôle.• Identifier les contrôles clés.• Évaluer l’état de référence et les changements
apportés aux contrôles.
4. COMMUNIQUER ET GÉRER LES RÉSULTATS• Élaborer une méthodologie facile à reproduire.• Communiquer les résultats.• Faciliter les actions du management.• Prendre en compte le contrôle en continu et adapter la stratégie d'audit en continu.
Tableau 2 : Phases clés de la mise en œuvre de l'audit en continu
GTAG – Mise en œuvre de l'audit en continu
19
Mettre en place une coordination avec les 1re et2e lignes de maîtrise.
L'audit interne met en place une coordinationavec les 1re et 2e lignes de maîtrise pour susciterl'adhésion des lignes de métier et de la DSI et lesinciter à soutenir la stratégie d'audit en continu. Ildevrait s'intéresser aux processus métier de bout-en-bout et aux contrôles interdépendants sur lessystèmes d'information. La fiabilité des systèmeset des données relatives aux transactions est pri-mordiale, non seulement pour le dispositif decontrôle interne et pour l'intégrité du reportingfinancier, mais aussi pour l'efficience des activitésopérationnelles. Ainsi, le responsable de l'auditinterne et la direction générale doivent avoir pourobjectif principal de veiller à la fiabilité, à l'intégritéet à la disponibilité des systèmes et des données.L'audit en continu peut aider l'organisation àatteindre cet objectif en facilitant l'évaluation desdispositifs de contrôle et de gestion des risques.
Fixer des priorités et obtenir le soutiendu management
L'audit en continu implique de disposer d'unaccès systématique aux applications et aux don-nées de production. Or, la mise en place de tech-nologies fiables peut nécessiter des investis-sements conséquents et prendre plusieurs années.Le soutien du Conseil et de la direction généraleest donc essentiel. Une stratégie comprenant unemise en œuvre progressive sur deux ans ou pluspermettra de mieux gérer le rythme et les attentes,tout en montrant régulièrement les avantagesdécoulant des technologies et des méthodes d'au-dit en continu.
Adapter le plan d'audit annuel afin de préciserles indicateurs d'audit en continu
L'audit interne élabore une feuille de route pourles macro-processus tels que ceux allant de l'ap-provisionnement au paiement (procurement-to-pay)ou de la demande à l’encaissement (customer-to-cash), puis établit des liens entre les techniquesd'audit en continu et trois catégories de risques yafférentes : les opérations SI, les applications et lestransactions au niveau des processus métier. Il tire
parti des procédures analytiques d'audit afin d'éla-borer des spécifications pour les indicateurs derisque et de contrôle. Il coordonne le plan d'auditinterne afin d'identifier les processus et les mis-sions permettant de préciser les indicateurs clés derisque (KRI – Key Risk Indicators) et de contrôle envue de leur utilisation dans le cadre de l'évaluationcontinue ultérieure. La planification des missionsd'audit permet aux équipes d'audit et au manage-ment d'examiner de concert les indicateurs, pré-curseurs et révélateurs, relatifs aux objectifs del’organisation. Les résultats de la mission d'auditsont ensuite utilisés pour élaborer des spécifica-tions prospectives (cf. Figure 6).
Recueillir des donnéespour une utilisation régulière
L'audit en continu ne se résume pas à des aspectstechniques. Cependant, il est essentiel de sélec-tionner les technologies qui permettront d’obtenirdes résultats probants sur le long terme. La stra-tégie d'audit en continu devrait orienter le choixdes logiciels. Lorsqu’il sélectionne des outils d’au-dit en continu, le responsable de l’audit internedoit tenir compte des technologies et des capacitésexistantes dans le portefeuille SI de l'organisation.Il doit établir des liens entre son programme etl’environnement informatique de l’organisationainsi que les prévisions d’évolutions concernantles systèmes clés. Les logiciels d’audit offrent unecertaine flexibilité et peuvent lire divers types dedonnées, y compris celles émanant des ordina-teurs centraux existants, des systèmes client/ser-veur, des systèmes reposant sur Internet, ou desprogiciels de gestion intégrés comme SAP, Oracleou d'autres systèmes métier. Pour de plus amplesinformations, veuillez consulter le GTAG 16 del'IIA, Data Analysis Technologies (Techniques infor-matisées d'analyse de données). Les principalesactivités sont décrites ci-après.
Établir un accès systématiqueà l'environnement de production
Le responsable de l’audit interne devrait travailleravec le management pour veiller à ce que l’accèset l’utilisation des données des systèmes par les
GTAG – Mise en œuvre de l'audit en continu
20
auditeurs internes n’aient pas d’incidence négativesur le fonctionnement opérationnel de l'environ-nement de production et ses systèmes connexes,et à ce que la technologie utilisée par l’audit soitcompatible avec l’environnement informatique del’organisation. L'audit interne devrait évaluer laréglementation applicable en matière de protec-tion de la vie privée5 et veiller à la mise en œuvrede normes de confidentialité et de sécuritéconformes à celles établies dans l'environnementde production ou allant au-delà de ces exigences.
Développer des capacités d'analyse
L'audit interne renforce les capacités d'analyse
conformément à la stratégie d'audit en continu etaux objectifs de l’organisation avant d'automatiserle pilotage. Les preuves apportées par l'audit encontinu sont souvent suffisamment convaincanteslorsqu'elles reposent sur un ensemble d'indica-teurs, comme les changements apportés auxcontrôles automatisés, le niveau de sécurité dessystèmes, les incidents, les valeurs hors normes(outliers) et les transactions. Les discussions avecles propriétaires des systèmes peuvent aider lesauditeurs à déterminer la méthode, le calendrieret le protocole de données les mieux adaptés pourl’audit en continu.
Figure 6 : Élaborer des spécifications prospectives pour les indicateurs de risque et de contrôle
MISSION D'AUDIT
Élaborer des spéci#cationsprospectives
PLANIFICATIONDÉFINITION DU
PÉRIMÈTRE MISE EN ŒUVRE COMMUNICATION
Indicateurs de l’évaluationcontinue des risques
Indicateurs de l’évaluationcontinue des contrôlesDé#nir l'univers d’audit
Pilotage e&ectuépar le management
SUIVI
• Concevoir les procédures analytiques• Étudier les résultats de l'audit en continu ou du contrôle en continu
• Identi�er les principaux objectifs de l’organisation• Dé�nir le périmètre de la mission et l’ajuster en fonction des risques• Demander des informations
• Suivre la mise en œuvre des mesures correctives
• Relier les enjeux à des indicateurs précurseurs et révélateurs
• Tester le pilotage e�ectué par le management• Évaluer les risques : - Opérations SI - Applications - Transactions• Analyser
5 Pour de plus amples informations, voir le Guide pratique de l'IIA, « L'audit des risques d'atteinte à la vie privée ».
GTAG – Mise en œuvre de l'audit en continu
21
Renforcer le savoir-faire et les connaissancesdes auditeurs
La Norme 1210 stipule que « les auditeurs internesdoivent posséder les connaissances, le savoir-faireet les autres compétences nécessaires à l’exercicede leurs responsabilités individuelles ». Ils devronten effet démontrer différents niveaux de maîtrisedes SI au cours du développement et de la miseen œuvre de l'audit en continu. Par exemple, lorsdes phases initiales de mise en œuvre :• Il est possible qu’en raison de la sensibilité desparamètres, du caractère plus ou moins détailléde l'analyse et d’autres facteurs, un grandnombre de transactions soient repérées etmarquées. La charge de travail nécessaire àl'examen des résultats décroîtra à mesure queles contrôles seront améliorés, les procéduresanalytiques affinées et que l’audit en continuévoluera.
• Les résultats peuvent contenir des erreursd'interprétation des données. Les imprécisionspeuvent découler d'un manque de compré-hension systèmes ou d’expérience et de lanature des tests effectués.
Pour améliorer la maîtrise des SI :• Examiner les champs et éléments de donnéesclés.
• Examiner les méta-données dérivées des fonc-tionnalités de traitement des données.
• Déterminer le niveau de disponibilité des don-nées.
• S’assurer que l’information est actualisée.• Identifier la fréquence de mise à jour• Déterminer la date de la dernière mise à jour• Déterminer si l’information est complète etexacte.
• Vérifier les hypothèses d’audit et l’analyse del’auditeur auprès des programmeurs des appli-cations concernées.
• Vérifier l’intégrité des données en effectuantdivers tests : contrôles de vraisemblance,contrôles des états de sortie, comparaison avecd’autres sources, y compris des investigationset des rapports d’audit antérieurs (intégritésyntactique, sémantique et pragmatique desdonnées).
• Exploiter les connaissances acquises lors desmissions d'audit interne.
Évaluer la fiabilité des sources d’informations
La fiabilité des données est un élément essentielà la mise en œuvre fructueuse de l'audit encontinu. Elle devrait être évaluée dans le cadred'une mission classique. Les données provenantd'un environnement de production soumis à descontrôles généraux informatiques sont en principeplus fiables que celles issues d'applications déve-loppées par les utilisateurs finaux. Plus les don-nées gagnent en fiabilité, moins il est nécessairede procéder à des tests et des vérifications pourramener le risque d'audit à un niveau acceptable.Pour de plus amples informations, veuillez consul-ter le GTAG 14, Auditing User-developed Applica-tions (Audit des applications développées par desutilisateurs).
Préparer et valider les données
En amont de l’analyse, l'audit interne développede solides capacités de validation des données etélabore des critères en garantissant l'intégrité.L'un des principaux avantages de l’audit encontinu réside dans l'extraction des données deplusieurs systèmes présents au sein de l’organisa-tion et dans l'établissement de connexions en vued’une analyse inter-systèmes plus poussée. Lacombinaison de données émanant de divers sys-tèmes nécessite de valider les données afin d'éli-miner les transactions non fiables, et de lespréparer dans un format d'audit standard. Les fluxautomatisés de données peuvent réduire les délaisde validation et accroître la fréquence de l'analyse.
Élaborer des indicateurs d'auditen continu
Définir une feuille de route intégrée au plan d'au-dit. L'audit interne conçoit et élabore des tech-niques d'audit en continu reposant sur lesenseignements et les spécifications tirés des mis-sions traditionnelles antérieures.
GTAG – Mise en œuvre de l'audit en continu
22
Évaluation continue des risques
Conformément à la Norme 2120, l'audit encontinu permet aux auditeurs d'« évaluer l’effica-cité des processus de management des risques et[de] contribuer à leur amélioration ». Les princi-pales activités et considérations à prendre encompte dans l'évaluation continue des risquessont les suivantes :• Élaboration d'indicateurs de risque :
- La collecte et l'analyse des données qui sup-portent les processus clés et les domainesles plus risqués, devraient être effectuées ens’appuyant sur différents niveaux de l’orga-nisation afin d’identifier, d’évaluer et de faireface aux risques.
- Collaborer avec les propriétaires des proces-sus métier et la DSI pour concevoir des indi-cateurs de risque faciles à mesurer etsensibles au changement.
- Exploiter les résultats de l'évaluation desrisques pour, le cas échéant, modifier le pland'audit, ainsi que le périmètre et les objectifsd’une mission donnée.
• Conception des procédures analytiques pourmesurer l'accroissement des niveaux de risque.- Les indicateurs clés de risque (KRI)devraient : porter sur l'ampleur des changementsque connaît l'entité au fil du temps (laconception des KRI devrait faciliter l'éta-blissement de tendances) ;
combiner les indicateurs précurseursrelatifs aux processus et les indicateursrévélateurs, symptomatiques de certainsévènements ;
être suffisamment nombreux afin queleur comparaison régulière permetted'isoler les entités hors normes (outliersentities) qui acceptent des risques dépas-sant le seuil de tolérance fixé.
Évaluation continue des contrôles
L’évaluation continue des contrôles procure uneanalyse indépendante des contrôles applicatifsautomatisés et des contrôles généraux informa-tiques en évaluant leur état de référence et les
changements de configuration ultérieurs. Ladégradation des contrôles informatiques précèdesouvent la survenance d’erreurs révélatrices dansles données. Le recours à l'évaluation continue descontrôles permet donc au responsable de l'auditinterne d'avertir rapidement le management desviolations ou des défaillances des contrôles. Lesprincipales activités et considérations à prendre encompte dans l'évaluation continue des contrôlessont les suivantes :• Relier à des objectifs de contrôle.
- Plutôt que d'automatiser chaque phase d'unprogramme d'audit existant, il convientd’identifier un plus petit nombre procéduresanalytiques en lien avec des macro-objectifsde contrôle.
- Tirer parti du véritable atout de l'évaluationcontinue des contrôles, sa capacité à offrirune assurance adaptée, en temps opportunet de manière efficace.
- Optimiser les processus d'assurance et deconformité, en intégrant l’évaluation descontrôles généraux informatiques et descontrôles applicatifs automatisés. En effet,les contrôles généraux informatiques assu-rent la fiabilité continue des contrôles auto-matisés.
- Chercher à comprendre les contrôles auto-matisés en échangeant avec le managementet la DSI. Les contrôles automatisés sontparamétrés dans des applications demanière à garantir l'exactitude, l'exhausti-vité et l'autorisation des transactions.
• Déterminer les contrôles clés.- Analyser un scénario d’activité et envisagerles problèmes potentiels. Déterminer com-ment les techniques automatisées ont étéconçues et paramétrées dans le systèmepour contrôler l'autorisation, l'exhaustivitéet l'exactitude des transactions.
- Vérifier de manière systématique lescontrôles paramétrés afin d'identifier leurétat actuel et leur état de référence, et dedéterminer s'ils fonctionnent de manièreefficace.
- Suivre les changements (qui devraient enprincipe être rares) apportés aux contrôlesautomatisés paramétrables. Les contrôles
GTAG – Mise en œuvre de l'audit en continu
23
automatisés mal paramétrés ou qui chan-gent fréquemment réduisent le niveau deconfiance de l'auditeur sur l'efficacité desactivités de contrôle.
• Évaluation de l’état de référence des contrôles.- Une fois les principaux processus métierainsi que les objectifs de contrôle etcontrôles automatisés y afférents définis, lesclasser afin d’identifier les points de contrôlecritiques (impact le plus élevé par rapport àun risque donné).
- Concernant les points de contrôle critiques,définir des procédures analytiques appro-priées pour chaque objectif de contrôle.
- Evaluer l’état actuel des contrôles automa-
tisés paramétrés par rapport à une valeur deréférence.
- Déterminer si la situation de ces contrôles aévolué depuis le dernier audit de référence.
- Etudier la fréquence et l'ampleur des chan-gements apportés aux contrôles automatisésparamétrés.
- Vérifier les transactions exceptionnelles afinde confirmer l'efficacité du contrôle.
La Figure 7 décrit, à titre d'exemple, une évalua-tion continue des contrôles appliquée au proces-sus allant de la demande à l'encaissement(customer-to-cash).
Communiquer et gérer les résultats
Après avoir conçu et élaboré des indicateurs d'au-dit en continu, l'audit interne devrait planifier desévaluations continues des risques et des contrôlesen lien avec l'univers d'audit. Celles-ci devraientpermettre d’analyser les résultats des techniquesd'audit en continu, de les vérifier le cas échéant, etde formuler des recommandations.
La gamme des livrables peut varier d'un simplegraphique mettant en lumière des comparaisonset des tendances à une visualisation des donnéesrelatives aux risques et aux contrôles (cf. annexe).Ce processus est de nature itérative. Ainsi, lesauditeurs internes renforcent leurs compétencesen matière d'audit et de contrôle en continu àmesure qu’ils collaborent avec les 1re et 2e lignesde maîtrise. Des programmes probants d'audit en
Établir des liens avecles objectifs de contrôle
Autorisation
Exhaustivité
Exactitude
Déterminer lescontrôles clés
Vérification de l'approbation ducréditTriple correspondance (Par exemple,correspondance entre la facture, lebon de commande et le bordereaude réception)Séparation des tâches
Composantes du système requises :• Données client• Données caractéristiques du
produit• Prix
Transmission des rapprochementsà un échelon supérieurCodification du compte de résul-tatSeuils de tolérance
Évaluer l’état deréférence des contrôles
Condition : Le contrôle paramétra-ble est-il actif ?
Changements : Le contrôle para-métré a-t-il changé depuis le der-nier audit de référence ?
Figure 7 : Évaluation continue des contrôles du processus allant de la demande à l'encaissement
GTAG – Mise en œuvre de l'audit en continu
24
continu et de contrôle en continu favorisent larapidité de la prise de décision, la coordination desplans d'action et la mise en place de mesures cor-rectives efficaces.
Élaborer une méthodologie facile à reproduire
Afin de garantir une mise en place en temps utiledes mesures correctives liées aux exceptions iden-tifiées, une méthode structurée de gestion desrésultats devrait intégrer les étapes suivantes :
1. Identification et examen des exceptions pourune mesure des risques de plus en plus fine.
2. Réalisation d'une analyse causale afin d'iden-tifier les faiblesses dans la conception et/oul'exécution des contrôles. Grâce à une telleanalyse, il est possible de prévenir les excep-tions récurrentes, formuler de meilleuresrecommandations, et mettre en évidence lavaleur ajoutée de la méthode d'audit encontinu.
3. Formulation de recommandations pourl'adoption de mesures correctives.
4. Enregistrement et suivi du plan d'actions cor-rectives du management.
Communiquer les résultats
Il est préférable de publier les résultats de l'auditen continu sur un site plutôt que d'envoyer parcourrier électronique des fichiers volumineux quicontiennent des informations sensibles. L'éventaildes stratégies de communication est large : il va dela simple extraction des exceptions vers un dossierpartagé sur un lecteur réseau à des notificationspar courrier électronique, en passant par le suividu diagramme de flux des mesures correctives, destableaux de bord ou la visualisation des données.Plusieurs méthodes peuvent être utilisées pourrépondre aux besoins des 1ère, 2e et 3e lignes demaîtrise, de la direction générale et du Conseil. Lesprincipaux éléments à prendre en compte pour lacommunication des résultats de l'audit en continusont les suivants :• Publication régulière, sur un lecteur réseau,d'un ensemble de rapports apportant les pré-cisions nécessaires sur l'audit en continu et lecontrôle continu.
• Stockage des informations concernant lesexceptions dans une base de données sécuri-sée.
• Présentation des tendances dans un tableau debord ou sur une représentation graphique(heat map) disponible en ligne.
Faciliter les actions du management
Chaque plan d'action devrait être placé sous laresponsabilité d'un décideur chargé de son suivi,allant de la définition des mesures correctives à larésolution des problèmes. Chaque exceptiondevrait être délimitée et signalée comme résolue,et le contrôle en continu devrait par la suite éva-luer si la résolution est pérenne.
Prendre en compte le contrôle en continu et adapter la stratégie d'audit en continu
L’audit en continu devrait rester flexible et réactifaux changements qui interviennent au niveau del'exposition au risque et de l’environnement decontrôle. Le responsable de l'audit interne devraitrégulièrement actualiser la stratégie d'audit encontinu afin de l'adapter à de nouvelles prioritéset thématiques. Il peut devoir ajouter de nouveauxpoints de contrôle ou de nouvelles expositions aurisque, et en transférer d'autres au managementafin qu'il les prenne en charge dans le cadre de sesactivités de contrôle en continu. Au fil du temps, ilpeut devoir renforcer, ou assouplir, les seuils ainsique les tests et paramètres de contrôle des diffé-rentes procédures analytiques. À l'issue de la miseen œuvre, le responsable de l'audit interne devraitintégrer les résultats positifs obtenus grâce aucontrôle en continu dans d'autres activités dumanagement, comme l’ERM (Entreprise RiskManagement – Gestion des risques à l’échelle del’organisation) et la mesure des performances. Laquantification des avantages constatés par lesauditeurs et les autres prestataires d'assurance meten évidence l'existence d'un retour sur investisse-ment, améliore l’image du programme et justifiedes ressources supplémentaires pour des investis-sements et le développement stratégique.
GTAG – Annexe – Études de cas
25
Cette annexe présente trois exemples d’applica-tions de l'audit en continu.• Cas A.1 – Évaluation continue de contrôlesapplicatifs
• Cas A.2 – Évaluation continue des contrôlesd'un système de gestion de frais profession-nels
• Cas A.3 – Évaluation continue des risques d'unprocessus de traitement manuel des piècesjustificatives
Cas A.1 – Évaluation continue decontrôles applicatifs
Les contrôles applicatifs sont paramétrés demanière à garantir l'exhaustivité, l'exactitude etl'autorisation des transactions. L'automatisationde l'examen des contrôles applicatifs peut aider lesauditeurs et les professionnels de la conformité àrépondre aux questions suivantes :• À quelle fréquence les contrôles automatisésévoluent-ils ?
• L'équipe en charge de l’application ou des SI
a-t-elle effectué des mises à jour ou appliquédes patchs ?
• La configuration des principaux processusopérationnels a-t-elle été modifiée ?
• Certains des changements intervenus peu-vent-ils modifier le comportement de l'appli-cation ?
En fonction des réponses données à ces questions,il est possible de déterminer la nécessité de testssupplémentaires et, éventuellement, d’améliorerl'efficacité et l'efficience de l'audit.
Dans cette étude de cas, l'évaluation continue descontrôles applicatifs s’est accompagnée d’uneréduction du temps de travail nécessaire aux testsde près de 6 000 heures par rapport à l'année pré-cédente. Après avoir obtenu le soutien des princi-pales parties prenantes au niveau dumanagement, de la DSI, des auditeurs externes,des propriétaires d’applications, les auditeursinternes ont identifié les principaux éléments dela configuration des contrôles, ont automatisé l'ex-traction des données et ont procédé à une compa-raison des résultats.
Figure 8 : Contrôles applicatifs – Rapport de comparaison
Audit de référence :
Mois et année de référence déterminés en fonction de la date du dernier audit.
Mois de référence : Année de référence :
Mois à comparer : Année à comparer :
détails Page de sortie
Veuillez sélectionner les contrôles : Contrôles du processus allant de la demande à l'encaissement
Tous les contrôles
AUTO – Système Bon Commande inclut Fichier Client C2C 0 (01)
AUTO – Système Bon Commande inclut Fichier Produit C2C 0 (02)
AUTO – Sytème Tarification copié C2C 03 (03)
AUTO – Système Carnet Commande ajusté C2C 04 (04)
AUTO – Système Bon Expédition vérifié C2C 05 (05)
AUTO – Système Filtre Crédit appliqué C2C 06 (06)
AUTO – Système Comptable initialisé C2C 07 (07)
AUTO – Système Expédition inclut délai d’acheminement C2C 08 (08)
AUTO – Système Facturation requiert PGI C2C 09 (09)
AUTO – Système Chiffre d’Affaires requiert PGI C2C 10 (10)
AUTO – Balance Agée Comptes Clients généré C2C 11 (11)
AUTO - EDI Système Paiement sur Place C2C 12 (12)
AUTO – Paiement sécurisé en ligne C2C 13 (13)
SOX - Contrôles App C2C - Velocité - 2008 (200867)
Juillet 2013
Janvier 2016
pas de changement
pas de changement
nouvelles entrées entrées modifiées
pas de changement
pas de changement
pas de changement
pas de changement
pas de changement
pas de changement
pas de changement
entrées modifiées entrées supprimées
pas de changement
pas de changement
GTAG – Annexe – Études de cas
26
Identifier les principaux élémentsde la configuration des contrôles
La première étape a consisté à identifier les prin-cipaux éléments du contrôle applicatif, y comprisles programmes, les écrans, les pages Internet etles tables. Les phases suivantes ont consisté àdéterminer la méthode d'automatisation de l'ex-traction des données et l'existence de change-ments dans les contrôles.
Automatiser l'extraction des donnéesde l'application
Il existe sur le marché de nombreux outils d'ex-traction de données. Toutefois, dans le cas présent,un outil d'extraction déjà développé en interneétait disponible, ce qui a permis de réduire le coûtde mise en œuvre de l'audit en continu. Une foisl'outil choisi, un certain nombre de décisions ontdû être prises :• À quelle fréquence les données relatives auxcontrôles devaient-elles être extraites de l'ap-plication pour être comparées aux données deréférence ?
• Qui devait mettre à jour l'historique des don-nées, et où devait-il être stocké ?
• Lors de la comparaison entre les données rela-tives aux contrôles et le dernier audit de réfé-rence, qui devait évaluer l’importance deschangements intervenus dans l'application etsélectionner les contrôles devant être testés ànouveau ?
Comparer les résultats
Après extraction, les données ont été comparéesavec la période de référence. Le rapport comparatifa permis d’identifier les principaux contrôles auto-matisés ayant subi des changements depuis lapériode de référence, ainsi que la nature de ceschangements (cf. Figure 8, p.25). Dans l’idéal, lescontrôles applicatifs devraient demeurer inchan-gés.
Les auditeurs ont sélectionné les contrôles clés etles ont analysés afin d'en évaluer les évolutions.Les rapports comparatifs ont, le cas échéant, été
incorporés aux documents de travail de la mission,afin d'apporter la preuve qu'il était inutile decontinuer à tester les contrôles, ou pour mettre enévidence la nécessité de procéder à de nouveauxtests. Cette démarche comparative a donc facilitéla mise en œuvre d’une approche fondée sur lerisque en matière de réexécution des tests. Dansla mesure du possible, cette approche a étédéployée dans le cadre du contrôle en continu réa-lisé par le management, d’où une efficacité accrue.
À l'issue de la mise en œuvre de l'évaluation conti-nue des contrôles, il était possible de valider 58 %des contrôles applicatifs sans procéder à aucuntest. Sur les 42 % restants, 16 % ont été testés aucours du premier semestre, et les 26 % restants aucours du second. Le temps de travail nécessairepour tester les contrôles applicatifs est passé de 6300 à 352 heures, soit une baisse de 94 % en unan.
GTAG – Annexe – Études de cas
27
Cas A.2 – Évaluation continue descontrôles d'un système de gestion defrais professionnels
L'audit en continu peut s'avérer plus efficacelorsqu'il est appliqué à des systèmes de grandecapacité accessibles par un grand nombre d'utili-sateurs. Cette étude de cas explique comment lesauditeurs internes ont utilisé des techniques d'au-dit en continu lors d’une mission relative au sys-tème de gestion des frais professionnels.
Historique et enjeux
Les précédentes missions relatives au système degestion des frais professionnels s'étaient révéléesfastidieuses et avaient nécessité la mobilisationd'un nombre important de collaborateurs. Par ail-leurs, leur périmètre était parfois limité par lescontraintes de ressources. Le système de gestiondes frais professionnels était régi par un certainnombre de règles. Il reposait en outre sur descontrôles automatisés mis en œuvre à de multiplesniveaux afin de gérer la qualité des données ren-seignées et de procéder à la validation desdépenses. Citons à titre d'exemple :
• Contrôles des dépenses saisies :- Si des dépenses redondantes étaient saisiespour une date, une catégorie et un montantidentiques, le système alertait l'utilisateur,exigeait l'approbation explicite d'un respon-sable, et signalait la dépense en questionafin qu'elle soit vérifiée.
• Contrôles des approbations effectives :- Les transactions douteuses étaient suspen-dues dans l'attente du contrôle d'un super-viseur.
- Un collaborateur ne pouvait procéder lui-même à l'approbation de sa propredemande.
Les contrôles portaient généralement sur leslimites ou les autorisations, mais ne comportaientpas systématiquement la vérification de la validitéou de l'exactitude des données saisies. Les erreursaccidentelles ou intentionnelles de classification,ou les observations inexactes saisies par un colla-borateur étaient susceptibles de passer inaperçues.L'efficacité d’un tel système dépendait de :• La précision et l'honnêteté du collaborateursaisissant les informations relatives aux fraisprofessionnels.
• La volonté et la capacité des responsables à
Figure 9 : Nombre total d'heures de travail économisées
33 ; 16%
122 ; 58% 55 ; 26%
■ À tester à nouveau au 1e semestre■ À tester à nouveau au 2e semestre■ Validé sans test
Nombre total d'heures de travail
Aprèscomparaison 352
6 300
0 4 000 8 000
Avantcomparaison Nombre total
d’heures detravail
5 948 h. économisées
GTAG – Annexe – Études de cas
28
vérifier de manière précise les demandesconcernant les frais professionnels et à lesapprouver ou à les rejeter rapidement.
Confrontés à ces enjeux, les auditeurs internes onttenté d'identifier la meilleure méthode pour testerla validité des transactions.
La démarche d'audit en continu
En résumé, les auditeurs internes ont formulé lesconstats suivants :
1. Le détail des transactions réalisées par carte decrédit était disponible auprès de l'émetteur dela carte. La comparaison entre les donnéesélectroniques issues du système de gestion desfrais professionnels et les données de l'émet-teur de la carte a permis de mieux appréhenderla validité des frais engagés.
2. Une fois les données de l'émetteur rappro-chées des données du système électronique degestion des frais professionnels par numéro dematricule du collaborateur, date de facturationet montant facturé, la classification des frais etles observations ont pu être comparées aucode de la transaction et à sa description. Lesauditeurs internes ont par exemple pu identi-
fier une transaction portant un code marchandcorrespondant à une boutique de chaussures,mais classée dans le registre des dépenses entant que repas.
3. L'émetteur de carte transmettait des « rapportsde transactions suspectes » qui ont pu êtreadaptés afin de cibler des catégories particu-lières de commerçants, et utilisés sur une basemensuelle ou trimestrielle.
Les exemples ci-après montrent comment lestechniques d'audit en continu ont été utiliséespour identifier les défaillances et les anomalies decontrôle, ainsi que les signalements indiquant desfraudes et abus potentiels. Bien que cela ne soitpas quantifié ici, les auditeurs internes ont indiquéque le nombre d'heures nécessaires pour acquérirles données, procéder à leur analyse, et contrôleret examiner les résultats au regard des missionsprécédentes relatives au système électronique degestion des frais professionnels, avait diminué.
Données relatives aux dépenses contestablesIdentification de toutes les dépenses contestables,classées par code marchand, par collaborateur etpar établissement.
6 000
5 000
4 000
3 000
2 000
1 000
0
Alcool / Tabac / P
roduits
détaxés
Habillement /
Chaussures
Produits
cosmétiq
ues / Salons d
e beauté et de coi�ure
Grands magasin
s
Médicaments / S
ervices médicaux
Loisirs
Ameublement / Appareils
électroniques /
Électroménager
Bijoux / S
acs et m
aroquinerie
Moyens de tr
ansport
non conventionnels
Services a
ux personnes
Fréquence des dépenses suspectespar code marchand
0,00
Total des dépenses suspectes facturéespar code marchand
500 000,00
450 000,00
400 000,00
350 000,00
300 000,00
250 000,00
200 000,00
150 000,00100 000,00
50 000,00
Alcool / Tabac / P
roduits
détaxés
Habillement /
Chaussures
Produits
cosmétiq
ues / Salons d
e beauté et de coi�ure
Grands magasin
s
Médicaments / S
ervices médicaux
Loisirs
Ameublement / Appareils
électroniques /
Électroménager
Bijoux / S
acs et m
aroquinerie
Moyens de tr
ansport
non conventionnels
Services a
ux personnes
GTAG – Annexe – Études de cas
29
Dépenses contestables dans des établissements interditsIdentification de toutes les dépenses effectuées dans des établissements interdits et facturées en tant quefrais professionnels. Les établissements interdits ont été identifiés grâce à des indicateurs tels que la raisonsociale du fournisseur, l'adresse indiquée, les sites combinant dépenses personnelles et professionnelles,les transactions fractionnées impliquant des sommes importantes, et les mots-clés interdits (par exemple,« enfants », « hôpital », « boîte de nuit », « pour hommes », « casino », « premium » et « surclassement »).
Synthèse des classifications erronéesIdentification de toutes les dépenses non relatives à la restauration (ex. dépenses vestimentaires) classéesde façon erronée en tant que repas ou loisirs.
Articles interditsIdentification de mots-clés interdits (par ex. « enfants », « hôpital », « boîte de nuit », « pour hommes »,« casino », « premium » et « surclassement ») dans les champs de description des transactions. Ce typed'analyse implique en général l'utilisation d'un logiciel d'analyse de données.
Principales dépenses non justifiéesIdentification, pour chaque catégorie de dépenses, des principales dépenses non justifiées.
Utilisation de la carte dans la ville de résidenceIdentification d'une utilisation régulière de la carte dans le périmètre de l'adresse de facturation ou de laville du titulaire.
Notes d'hôtelIdentification de toutes les notes d'hôtel contestables, classées par article, par collaborateur et par hôtel.Cette catégorie inclut les articles non remboursés au titre de la politique de remboursement des frais pro-fessionnels, et dissimulés dans le montant total de la note d'hôtel.
Frais de transport aérienIdentification de l'ensemble des dépenses engagées pour le transport aérien, lorsqu'il existe une incohé-rence entre la catégorie de dépenses ou les observations et la description des frais fournie par le trans-porteur. Par exemple, un surclassement enregistré comme frais aériens ou frais de bagage.
Utilisation personnelle de cartes entachées d'incidents de paiementIdentification d'une utilisation personnelle fréquente de carte liée à un compte entaché d'incidents depaiement.
Termeinterdit
Description dela transaction (1)
Description dela transaction (2)
Matricule ducollaborateur
Date defacturation Montant
ENFANTSKIDS TOON AMMANJORDAN AMMAN
23 000 JOD (Dinarjordanien)
12345678 12/01/2015 32,49
HÔPITALAL KINDI SPECIALIZEDHOSPITAL WLL MANAMA
5 000 BHD (Dinarde Bahreïn)
34567891 22/01/2015 13,26
BOÎTE DENUIT
BC OF NOLA 274600029NEW ORLEANS LA
REF# ID6155 BAR/NIGHTCLUB15/01/15
23456789 12/01/2015 225,00
GTAG – Annexe – Études de cas
30
Utilisation personnelle et non professionnelleIdentification de l'ensemble des cas d'utilisation personnelle et non professionnelle de la carte par com-paraison avec les demandes de remboursement des frais avancés en liquide.
Fractionnement des dépensesIdentification des dépenses susceptibles d'avoir été fractionnées pour contourner les seuils de transaction.Cette analyse a été effectuée en recherchant les transactions réalisées avec le même commerçant et fac-turées à la même date. Les outils d'analyse de données comportant des fonctions intégrées permettantde cibler les doublons se sont révélés très utiles.
Matricule ducollaborateur
N° dufournisseur
Raison socialedu fournisseur Code marchand Date de
facturation Montant
12345678 9945845279EL ARRIERO STEAKHOUSE
RESTAURATION /RESTAURANTS
11/02/2015 450,00
12345678 9945845279EL ARRIERO STEAKHOUSE
RESTAURATION /RESTAURANTS
11/02/2015 300,00
23456789 9903904407 WORLD CAR SALOCATION DE
VOITURES – TOUTESCATÉGORIES
13/02/2015 225,00
23456789 9903904407 WORLD CAR SALOCATION DE
VOITURES – TOUTESCATÉGORIES
13/02/2015 175,00
GTAG – Annexe – Études de cas
31
Cas A.3 – Évaluation continue desrisques d'un processus de traitementmanuel des pièces justificatives
Une évaluation continue des risques au niveau desprocessus permet :• d'identifier, dès la réalisation de la transaction,les risques nouveaux ou émergents qui lui sontassociés ;
• d'aider les auditeurs à identifier des tendancesanormales et à évaluer leur effet cumulatifainsi que les pertes potentielles liées à cesrisques.
Cette étude de cas met en lumière les différentesétapes franchies par les auditeurs internes dansl'élaboration et la mise en œuvre d'une évaluationcontinue des risques du processus.
1. Comprendre le processus
La première étape a consisté à acquérir une com-préhension approfondie du processus. Dans le casprésent, les auditeurs ont conduit des recherchesexternes et ont recueilli des informations perti-nentes auprès du management et des propriétairesdes processus afin de mieux appréhender l’ensem-ble des éléments considérés, les rapports disponi-bles, les domaines non conventionnels et lesrelations de dépendance à d'autres processus. Lesauditeurs internes ont ensuite construit un proto-type de base de données portant sur les caracté-ristiques des risques pouvant influer sur leprocessus.
2. Créer un prototype de base de données surles risques
Les auditeurs internes ont utilisé des outils analy-tiques et statistiques pour créer un prototype debase de données sur les risques. Cette base dedonnées a été élaborée selon un processus itératifpermettant de vérifier l'intégrité et l'exhaustivité
des données et leur exactitude logique. Les carac-téristiques des risques de la base de données sontpar exemple les suivantes :
Impact des risques• Impact sur le bénéfice net• Impact sur les recettes et les dépenses• Impact sur les liquidités et les autres élémentsde l'actif
• Impact sur le passif
Indicateurs de risque• imputations par des utilisateurs non autorisésou dont l'accès a été suspendu.
• imputations après la date butoir.• imputations pendant les congés.• imputations sans séparation appropriée desfonctions.
• imputations sans les documents ou les appro-bations nécessaires.
• justificatifs correspondants à des sommesimportantes.
• justificatifs relatifs à des transactions fraction-nées.
3. Identifier les risques inconnus et les valeurshors normes (outliers) grâce à destechniques statistiques
Des techniques statistiques, susceptibles deréduire l'effet de surprise, ont été utilisées pourl'identification de risques nouveaux et émergents.Différentes catégories d'analyses ont été réalisées :analyse de grille d’erreurs, analyse typologique, loide Benford, analyse de régression et analyse desensibilité.
• L'analyse de grille d’erreurs a été utilisée pourrépartir l'échantillon selon deux variables, lepourcentage de justificatifs gérés manuelle-ment et la balance générale (trial balance).Dans la grille ci-dessous, dix pays ont étérépartis de manière à identifier en un coupd'œil les plus risqués et les plus performants,
GTAG – Annexe – Études de cas
32
les données relatives à ces derniers ayant étéutilisées pour le partage de bonnes pratiques.
• L'analyse typologique par grappes a été utili-sée pour classifier l'échantillon et identifier desgroupes de transactions risquées, en ayantrecours à de multiples variables, comme l'im-portance des sommes en jeu, l'imputation enpériode de congés et les transactions de find'exercice.
• La loi de Benford a été utilisée pour analyserl'occurrence de certains chiffres au sein deschamps numériques critiques et identifier lesschémas anormaux, contrefaits, ou potentiel-lement frauduleux. Un exemple d'analyse de
tendance anormale concernant un pays estprésenté ci-après.
• La régression a été utilisée afin d'identifier lesvaleurs hors normes (outliers). Dans l'exempleci-dessous, elle a permis d'identifier les paysse démarquant par le rapport entre la valeurtotale de justificatifs gérés manuellement etleur balance générale.
• Les analyses de sensibilité ont été utiliséespour anticiper les relations futures entre lesvariables.
4. Collaborer pour améliorer lacommunication
L'évaluation continue des risques a été conçue demanière à présenter automatiquement les résul-tats sous forme de graphiques, tableaux et autrestypes de présentations destinés aux rapports d'au-dit et tableaux de bord. Des tableaux de bord d'au-dit ont été créés de manière systématique, puis la
Montant de la balance générale
< 1 million1 à 4
millions1 à 4
millions
1 2 4
Proportion des justificatifs gérés manuellement (en %)
de 0à 9 %
1 Pays A Pays I Pays H
de 10à 29 %
2Pays BPays C
Pays GPays EPays F
> 30 % 3 Pays J Pays D
300 000 $
250 000 $
200 000 $
150 000 $
100 000 $
50 000 $
0 $20 40 60 80 100 120
50 000 $
Gestion risquée des justi"catifs
48, 15%
6, 28%94, 4%
89, 29%
18, 19%
25, 5%
010 20 30 40 50 60 70 80 90
20406080
100
120
140160180200
Observé Attendu
MJV_d
Balance générale
5 000 000 000
4 000 000 000
3 000 000 000
2 000 000 000
1 000 000 000
1 000 000 000 2 000 000 000 3 000 000 000 4 000 000 000 5 000 000 000 6 000 000 000
-1 000 000 000
0
0
UK
Inde
Chine
Intervalle
s de con"
ance de 9
5 %
Droite d’a
justement
GTAG – Annexe – Études de cas
33
démarche a été étendue aux tableaux de bord degestion. Cela a permis d'éviter la duplication desdonnées et des démarches nécessaires pour rédi-ger des rapports et communiquer des résultats aumanagement. Le management s'est avéré mieuxà même de piloter les indicateurs clés de perfor-mance. La collaboration a permis aux auditeursinternes de comprendre les résultats du contrôleen continu effectué par le management. L'auditinterne a pris soin de préserver son indépendanceet de n'assumer aucun risque. Les rapports decontrôle en continu ont servi de base aux plansd'action du management et ont offert de meil-leures opportunités pour prévenir les fraudes etéviter les surprises.
GTAG – Auteurs, relecteurs et contributeurs
34
Auteurs, relecteurset contributeurs
Auteurs
Bradley C. Ames, CPA, CRMA, CISARoy D’Cunha, ACMA, CIA, CISA, CGMAPatricia Geugelin-DanneggerPeter B. MillarSajay Rai, CPA, CISSP, CISMAndrew Robertson, CRMAThomas Steeves, CISA
Relecteurs et contributeurs
David CoderreCarrie Gilstrap, CISASteven Hunt, CBM, CGEIT, CIA, CISA, CRISC,CRMASteve Jameson, CIA, CCSA, CFSA, CRMAPeter SchraederDragon Tai, CIA, CISA, CCSA, CRMAJaroslaw B. Tarbaj, CISA
Réviseurs
Marie-Elisabeth Albert, CIAJulien Cornuché, CIABéatrice Ki-Zerbo, CIASébastien Lepers, CIA, CGAP, CRMA, CFEJacques RenardGilles Trolez
A PROPOS DE L’INSTITUTE OF INTERNAL AUDITORS
Fondé en 1941, The Institute of Internal Auditors (IIA) est une organisation professionnelle internationale dont lesiège mondial se situe à Altamonte Springs, en Floride, aux États-Unis. L’Institute of Internal Auditors est la voixmondiale, une autorité reconnue, un leader incontesté et le principal défenseur de la profession d’auditeur interne.C’est également un acteur de premier plan pour la formation des auditeurs internes. Il est représenté en Francepar l’IFACI.
A PROPOS DES GUIDES PRATIQUES
Les guides pratiques détaillent la réalisation des activités d’audit interne. Ils contiennent des processus et des pro-cédures, tels que les outils et techniques, les programmes et les approches pas-à-pas, et donnent des exemples delivrables. Les guides pratiques s’inscrivent dans le Cadre de référence international des pratiques professionnellesde l'audit interne de l’Institute of Internal Auditors. Ces guides pratiques relèvent de la catégorie des dispositionsfortement recommandées. La conformité à ces guides pratiques n’est donc pas obligatoire, mais fortement recom-mandée. Ces guides ont été officiellement révisés et approuvés par l’IIA.Le Global Technologies Audit Guide (GTAG) est un type de guide pratique qui aborde, dans un langage courant,une question d’actualité liée à la gestion, au contrôle ou à la sécurité des technologies de l’information.Pour de plus amples informations sur les documents de référence proposés par l’Institute, vous pouvez consulternotre site Web, www.theiia.org.guidance ou www.ifaci.com.
AVERTISSEMENT
L’Institute of Internal Auditors publie ce document à titre informatif et pédagogique. Cette ligne directrice n’a pasvocation à apporter de réponses définitives à des cas précis, et doit uniquement servir de guide. L’Institute ofInternal Auditors vous recommande de toujours solliciter un expert indépendant pour avoir un avis dans chaquesituation. L’Institute dégage sa responsabilité pour les cas où des lecteurs se fieraient exclusivement à ce guide.
COPYRIGHT
Le copyright de ce guide pratique est détenu par l’Institute of Internal Auditors et par l’IFACI pour sa version fran-çaise. Pour l’autorisation de reproduction, prière de contacter l’Institute of Internal Auditors à l’[email protected] ou l’IFACI à l’adresse [email protected].
The Institute of Internal Auditors IFACI247 Maitland Avenue, Altamonte Springs 98bis, Boulevard HaussmannFlorida 32701, États-Unis 75008 PARIS, FranceTéléphone : +1 407 937 1100 Téléphone : 01 40 08 48 00Télécopie : 1 407 937 1101 Fax : 01 40 08 48 20Site Web : www.theiia.org Site Web : www.ifaci.comCourrier électronique : [email protected] Courrier électronique : [email protected]
