L'ISA 315.13 exige que vous compreniez les contrôles informatiques pertinents pour l'audit. Dans un environnement de bureau traditionnel, ces contrôles sont visibles et documentés : serveurs physiques, accès aux fichiers, sauvegardes sur site. Le cloud change trois éléments fondamentaux.

Table des matières

Pourquoi l'audit cloud diffère de l'audit traditionnel

L'ISA 315.13 exige que vous compreniez les contrôles informatiques pertinents pour l'audit. Dans un environnement de bureau traditionnel, ces contrôles sont visibles et documentés : serveurs physiques, accès aux fichiers, sauvegardes sur site. Le cloud change trois éléments fondamentaux.
Premier changement : les données financières résident sur des serveurs externes. Vous ne pouvez pas inspecter physiquement le système ni vérifier les contrôles de sauvegarde. L'ISA 402.8 s'applique si le fournisseur cloud héberge des applications qui traitent les transactions financières de votre client. Xero, QuickBooks Online et Sage Business Cloud entrent dans cette catégorie.
Deuxième changement : les utilisateurs accèdent aux données depuis n'importe où avec une connexion internet. Les contrôles d'accès traditionnels (bureau verrouillé, poste de travail unique) n'existent plus. Un employé peut poster une écriture depuis un café à Barcelona avec les mêmes droits qu'au siège social. L'ISA 315.A94 mentionne l'importance des contrôles d'accès dans les environnements IT complexes.
Troisième changement : la synchronisation automatique remplace la saisie manuelle. Les transactions remontent directement depuis les systèmes de point de vente, les banques, ou les plateformes de commerce électronique. Cette automatisation réduit les erreurs de saisie mais crée de nouveaux risques de complétude et d'exactitude que l'ISA 240.A28 identifie dans les environnements hautement automatisés.
Ces changements ne modifient pas vos objectifs d'audit. Ils modifient les procédures nécessaires pour les atteindre.

Contrôles d'accès et autorisation selon l'ISA 315

L'ISA 315.21 vous oblige à identifier les contrôles pertinents pour l'audit. Dans un système cloud, les contrôles d'accès deviennent votre première ligne de défense contre les erreurs et les fraudes.

Qui peut modifier quoi et depuis où


Documentez chaque utilisateur actif dans le système comptable cloud. Ne vous contentez pas de la liste que vous fournit la direction. Connectez-vous avec les droits administrateur et exportez le rapport d'utilisateurs complet. Vérifiez :
L'ISA 315.A127 souligne que les contrôles d'accès inadéquats peuvent permettre des modifications non autorisées. Dans un cabinet de 150 personnes que nous avons audité, QuickBooks Online comptait 23 utilisateurs actifs pour une équipe comptable de 4 personnes. Les 19 comptes supplémentaires appartenaient à d'anciens employés ou à des consultants externes qui conservaient un accès complet.

Tests de séparation des fonctions


Les systèmes cloud permettent souvent une séparation des fonctions plus granulaire que les logiciels de bureau. Xero distingue les droits de saisie, d'approbation et de clôture mensuelle. QuickBooks Online sépare la création de factures, l'enregistrement des paiements et la réconciliation bancaire.
Testez cette séparation en créant un échantillon d'écritures et en traçant qui les a saisies, qui les a approuvées, et qui peut les modifier. L'ISA 265.A6 définit les déficiences de contrôle interne qui méritent communication à la direction. Un employé capable de créer des factures ET d'enregistrer les paiements clients présente un risque de détournement.

Authentification à deux facteurs et politiques de mot de passe


L'authentification à deux facteurs (2FA) devient un contrôle compensatoire quand la séparation des fonctions physiques disparaît. Si vos clients n'activent pas le 2FA, documentez ce choix comme une déficience de contrôle dans votre mémorandum de planification.
Vérifiez les paramètres de sécurité du système : expiration des mots de passe, complexité requise, verrouillage après tentatives échouées. Ces contrôles préventifs réduisent le risque d'accès non autorisé que l'ISA 240.A41 identifie comme un facteur de risque de fraude.

  • Le nombre d'utilisateurs actifs versus les employés autorisés
  • Les niveaux de permission de chaque utilisateur (lecture seule, saisie, approbation, administrateur)
  • Les dates de dernière connexion (les comptes inactifs restent-ils ouverts)
  • Les restrictions géographiques ou temporelles éventuelles

Tests d'intégrité des données et pistes d'audit

L'ISA 500.7 exige que vous évaluiez la fiabilité des informations utilisées comme éléments probants. Les données cloud ajoutent une couche de complexité : vous devez vérifier non seulement l'exactitude des soldes, mais aussi l'intégrité du processus de stockage et de récupération.

Vérification des sauvegardes automatiques


Les systèmes cloud sauvegardent automatiquement, mais à quelle fréquence et avec quelle granularité ? Xero sauvegarde en continu. QuickBooks Online sauvegarde toutes les heures. Sage Business Cloud varie selon l'abonnement. Obtenez ces détails du fournisseur ou de la documentation technique de votre client.
Testez la récupération en demandant à votre client de générer un rapport à une date antérieure spécifique. Si le système ne peut pas reproduire un état historique précis, vous avez identifié une limitation dans vos éléments probants. L'ISA 500.A31 mentionne que les limitations dans la disponibilité des informations peuvent affecter la nature et l'étendue de vos procédures.

Journaux d'audit et pistes de révision


Chaque système cloud maintient un journal des modifications, mais avec des niveaux de détail variables. Le journal doit capturer :
Exportez ce journal pour votre période d'audit. Recherchez les écritures postées en dehors des heures de bureau, les modifications en lot importantes, ou les ajustements effectués par des utilisateurs inattendus. L'ISA 240.A47 suggère d'examiner les journaux d'écritures pour identifier les ajustements inhabituels.
Si le journal ne capture pas suffisamment de détails pour permettre une piste d'audit claire, documentez cette limitation. Vous devrez peut-être étendre vos tests substantifs pour compenser l'affaiblissement des contrôles de piste.

Intégrations automatiques et flux de données


Les systèmes cloud excellent dans l'intégration avec d'autres applications : banques, processeurs de paiement, systèmes de point de vente, plateformes de commerce électronique. Chaque intégration crée un point de données automatisées qui contourne les contrôles manuels traditionnels.
Identifiez chaque flux automatique. Pour chacun, documentez :
Testez l'exactitude en sélectionnant un échantillon de transactions du système source et en les traçant jusqu'aux écritures comptables. L'ISA 330.18 exige des tests de détail pour les assertions où les contrôles sont insuffisants. Les flux automatisés non testés entrent souvent dans cette catégorie.

  • Qui a effectué chaque modification
  • Quand la modification a eu lieu
  • Quelles données ont changé (avant et après)
  • Depuis quelle adresse IP ou quel appareil
  • La source des données (Stripe, PayPal, système bancaire)
  • La fréquence de synchronisation (temps réel, quotidienne, hebdomadaire)
  • Les champs de données transmis
  • Les contrôles de validation côté réception

Exemple pratique : Audit d'une PME sur Xero

> Contexte client : Rousseau Électricité SARL, installateur électrique basé à Lyon, 12 employés, 2,4 M EUR de chiffre d'affaires. Migration sur Xero Business il y a 18 mois. Intégrations actives avec Stripe (paiements en ligne) et BNP Paribas (flux bancaires).

Étape 1 : Évaluation des contrôles d'accès


Connexion avec les droits administrateur fournis par le dirigeant. Export du rapport utilisateur complet via Paramètres > Utilisateurs et organisations.
Constatation : 8 utilisateurs actifs pour une équipe de 3 personnes (dirigeant, comptable, secrétaire). Les 5 comptes supplémentaires incluent l'ancien comptable (parti il y a 6 mois) et un consultant IT avec droits administrateur complets.
Note de documentation : Déficience de contrôle identifiée. Recommandation de désactivation immédiate des comptes non utilisés. Révision trimestrielle des droits d'accès à implémenter.

Étape 2 : Test des séparations de fonctions


Sélection d'un échantillon de 25 factures émises en novembre. Vérification via Rapports > Journal général détaillé.
Constatation : Le dirigeant crée les factures ET enregistre les règlements clients. La comptable effectue les rapprochements bancaires mais peut également modifier les factures validées.
Note de documentation : Séparation des fonctions insuffisante. Contrôles compensatoires à identifier (approbations, revues hebdomadaires). Extension des tests substantifs sur les créances clients.

Étape 3 : Intégrité des flux automatiques Stripe


Test de 15 transactions Stripe du 15 novembre. Comparaison entre le tableau de bord Stripe et les écritures Xero correspondantes.
Constatation : Synchronisation quotidienne à minuit. Toutes les transactions tracées correctement. Les frais Stripe (2,9% + 0,25 EUR) comptabilisés automatiquement en charges financières. Un décalage de 2 jours entre l'encaissement client et le virement bancaire, reflété correctement dans le compte d'attente Stripe.
Note de documentation : Flux automatique fiable. Contrôles de rapprochement mensuel Stripe/Xero documentés et testés satisfaisants.

Étape 4 : Vérification des sauvegardes et récupération


Demande de génération d'un bilan au 31 octobre, puis au 15 octobre pour tester la granularité historique.
Constatation : Xero reconstitue les états historiques sans problème. Journal d'audit disponible depuis la mise en service. Aucune limitation technique identifiée pour les éléments probants.
Note de documentation : Intégrité des données historiques confirmée. Pas de limitation sur la disponibilité des éléments probants.
Conclusion : Contrôles d'accès déficients mais flux de données fiables. Plan d'audit ajusté avec extension des tests substantifs sur les cycles ventes-clients et achats-fournisseurs pour compenser l'absence de séparation des fonctions. Recommandations de gestion communiquées pour la désactivation des comptes et la révision des droits.

Checklist des procédures cloud essentielles

  • Obtenir la liste complète des utilisateurs actifs avec leurs niveaux de permission depuis l'interface administrateur du système (ISA 315.13). Ne pas se fier uniquement aux déclarations de la direction.
  • Exporter le journal d'audit complet pour la période sous revue. Vérifier qu'il capture qui, quand, quoi, et depuis où pour chaque modification (ISA 500.7).
  • Identifier et tester chaque intégration automatique : source, fréquence, champs transmis, contrôles de validation. Tracer un échantillon de la source au système comptable (ISA 330.18).
  • Vérifier la capacité de récupération historique en générant des rapports à différentes dates. Documenter toute limitation comme restriction sur les éléments probants (ISA 500.A31).
  • Évaluer les contrôles de sécurité : authentification à deux facteurs, politique de mots de passe, verrouillage des comptes, restrictions géographiques (ISA 315.A127).
  • L'accès administrateur est requis pour une évaluation complète des contrôles. Sans cet accès, vous ne pouvez pas valuer l'environnement de contrôle selon les normes ISA 315.

Erreurs fréquentes dans l'audit cloud

  • Traiter les systèmes cloud comme des logiciels de bureau en ignorant les contrôles d'accès distants et les intégrations automatiques. L'environnement de contrôle est fondamentalement différent.
  • Accepter les listes d'utilisateurs fournies par la direction sans vérification indépendante. Les comptes inactifs ou les droits excessifs passent souvent inaperçus dans les déclarations de gestion.
  • Négliger de tester la récupération des données historiques avant de s'appuyer sur les rapports générés par le système pour les éléments probants.
  • Omettre de tester les intégrations automatiques entre systèmes. Les flux automatisés (banque vers comptabilité, point de vente vers facturation) contournent les contrôles manuels traditionnels. L'ISA 330.18 exige des tests de détail lorsque les contrôles sont insuffisants sur ces flux.

Ressources connexes

  • Calculateur de matérialité ISA 320 - Ajustez vos seuils selon l'environnement de contrôle cloud identifié
  • Guide des contrôles informatiques ISA 315 - Évaluation complète des contrôles IT dans les environnements mixtes
  • Checklist d'évaluation des risques ISA 240 - Points de contrôle spécifiques aux environnements cloud pour la détection de fraude

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.